Бизнес-модель современнойкиберпреступностиЛукацкий Алексей, консультант по безопасностиsecurity-request@cisco.com
ВВЕДЕНИЕ ВКИБЕРПРЕСТУПНОСТЬ
Киберпреступность: недавнее прошлое   Разработчики           Актив          Результат     Инструменты         атак        ...
Эволюция угроз                                     Malware   Вирус          Шпионское         (трояны,           Эксплоиты...
Эволюция тактики реализации угроз                                             Фокус на              Передовые Массовое    ...
Киберпреступность: настоящее                  Атаки первой                              Атаки второйРазработчики         в...
Cisco Cybercrime ROI Matrix
ВВЕДЕНИЕ В БИЗНЕС-МОДЕЛИРОВАНИЕ
Где деньги – там бизнес… и бизнес-модели!• Бизнес-модель – это стратегический план, который претворяется  в жизнь через ор...
Шаблон бизнес-модели Ключевые            Ключевые        Ценностные     Взаимоотношения      Потребительские партнеры     ...
Потребительские сегменты• Клиенты – сердце любой бизнес-модели   – Киберпреступники      • Владельцы ботнетов      • Спаме...
Ценностное предложение• Какие товары и услуги представляют ценность для каждого  потребительского сегмента?   –   Какая це...
В чем ценность продуктов для киберпреступников?•   Новизна и инновации•   Производительность•   Изготовление на заказ•   Д...
Пример: инновации в спаме• Рост сложности   – Фокусировка   – Скрытые ссылки• Новые вектора   – SMS vishing   – IM SPAM (S...
Спам vs фишинг• Объем спама снижается• Объем фишинга растет• Целевые атаки на более  ценные объекты более  выгодны
Пример: ценность в автоматизации
Пример: ценность в управлении
Эксклюзивные разработка и услуги
Каналы сбыта• Собственные / Партнерские• Прямые – большая прибыль, но дороже организация и  управление   – Торговые агенты...
Простая реклама инструментов рассылки спама• Еще в 2003г. появились коммерческие программы для рассылок  спама, такие как:...
«Спонсорская» реклама в поисковиках
Установка фальшивого антивируса через партнеров• Установка adware через ботнет – $0.3-1.5 за одну копию ПО• Установка malw...
Пример: партнерская сеть Bakasoftware• Партнерская сеть по продаже  scareware                                             ...
Взаимоотношения с клиентами• Мотивация взаимоотношений   – Приобретение клиентов   – Удержание клиентов   – Увеличение про...
Можно создать, а можно купить бота
Полный сервис
Полный сервис
Потоки поступления доходов• За что готовы платить потребители?• Типы доходов   – Разовые сделки   – Регулярный доход от пе...
«Давить на жалость»
«Давить на жалость»
Монетизация Koobface• Вредоносный код перехватывает учетные записи пользователей  в социальных сетях и рассылает вредоносн...
Разные доходы от одного продукта – ботнета                                             DDoS                               ...
Ценообразование• Фиксированные цены                                                         Учетная   –   По прайс-листу  ...
Немного цифр• Стоимость DDoS-атаки   – От $50 до $1000-2000 в сутки• Стоимость ПДн   – Жителя США/Канада – $5-8   – Жителя...
Ценообразование зависит от страны
Богатые тоже платют!                         Источники                       фишинговых атак  Цели фишинговых        атак
Деньги играют важную роль, но есть и другие мотивы            Кибер-       Кибер-   Хактивисты   Писатели   Старая   Фрике...
Ключевые ресурсы•   Материальные•   Интеллектуальные•   Персонал•   Финансы
Ресурсов надо не так много – их можно купить• Smartbot.Net Malware   – Opened CD-ROM tray   – “If your cd-rom drive’s open...
Ключевые виды деятельности• Производство• Разрешение проблем• Платформы/сети
Для RAT производство spyware – это стиль жизни
Производство и разрешение проблемMpack как коммерческий проект основан в 2006г. тремя Русскимипрограммистами.Стоимость про...
Обновления эксплойтов: статистика Mpack
SaaS для киберпреступности• Проверка вредоносного кода на проверку набором антивирусов• Снижение рисков обнаружения
Ключевые партнеры• Оптимизация и экономия в сфере производства• Снижение риска и неопределенности• Поставки ресурсов и сов...
Структура издержек• Какие наиболее важные расходы предполагает бизнес-модель?• Какие из ключевых ресурсов наиболее дороги?...
Издержки на разработку продукта             CAPTCHA test
Структура издержек спамаПоказатель         Значение     Показатель       ЗначениеПослано спама      40.000.000   Хостинг  ...
Криминальный арбитраж • Задача гаранта — быть независимым и гарантировать получение   услуг/товаров покупателем и денег пр...
Вывод денег• Мулы (дропперы) – люди, найденные через Интернет,  используемые для снятия/обналичивания/перевода денег   – Р...
ФАРМАЦЕВТИЧЕСКИЙ СПАМ
Сайт My Canadian Pharmacy
My Canadian Pharmacy ориентируется на потребности• В США запрещена безрецептурная продажа многих лекарств   – Каждый поход...
Реальный адрес офиса My Canadian Pharmacy                  1592 Wilson Avenue                  Toronto, ON M3L 1A6• Доход ...
Спам и фишинг для рекламы «Виагры»• Ботнет Storm отправлял различные спамерские рассылки,  включая   – Фишинг банков   – Р...
Связь Storm и SpamIt
Самообслуживание на Spamit.com• Сервис Spamit.com управляет спам-доменами   – Регистрация доментов для рассылки спама, соз...
Российский GlavMed связан с Spamit.com    GlavMed is a BEST way to convert your pharmacy traffic into real money. Forget  ...
КОГДА ВСЕ ОБЪЕДИНЯЕТСЯВМЕСТЕ
Троян/ботнет Zeus• Автор – предположительно Россия или страна бывшего СССР• Известна с 2007-го года   – Первоначально прод...
Zeus – одна из последних успешных бизнес-моделей
Один из сценариев заражения компьютера
Первый случай функционирования Zeus• Казначей из Кентукки получил Zeus на свой ПК• Злоумышленник украл реквизиты доступа и...
Конфиг Zeus – пример настройки под нужды клиента• По умолчанию Zeus крадет все поля в формах• Каждый контролер ботнета мож...
Демонстрация ценности: популярность ZeuS• Несколько сотен центров управления зафиксировано на ZeuS  Tracker• Примерно 1.6M...
ZeuS Tracker Источник: ZeuS Tracker - https://zeustracker.abuse.ch/
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Киберпреступники постоянно меняют бизнес-модель• MetaQuotes занимается  разработкой ПО для  финансовых рынков• MetaQuotes ...
Старые методы уже не работают   Мотивация         Известность       Деньги     Метод              Дерзко       Незаметно  ...
Индустрия киберпреступности похожа на ИТ• Высокообразованные специалисты взаимодействуют между  собой для создания новых в...
Что делать?• Это уже не детские шалости и бороться в одиночку с этой  проблемой потребители не в состоянии• Технические ср...
Взаимодействие банков и провайдеров• Необходимо активное взаимодействий операторов связи  (провайдеров Интернет-услуг) и б...
Необходимо участие государства и регуляторов• Создать единую площадку для оперативного обмена  информацией о хищениях или ...
Дополнительная информация•   Cisco 2Q11 Global Threat Report•   Cisco 2010 Annual Threat Report•   Email Attacks: This Tim...
Спасибо!
Business model of cybercrime
Upcoming SlideShare
Loading in …5
×

Business model of cybercrime

8,396 views

Published on

Published in: Self Improvement
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
8,396
On SlideShare
0
From Embeds
0
Number of Embeds
5,809
Actions
Shares
0
Downloads
148
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Business model of cybercrime

  1. 1. Бизнес-модель современнойкиберпреступностиЛукацкий Алексей, консультант по безопасностиsecurity-request@cisco.com
  2. 2. ВВЕДЕНИЕ ВКИБЕРПРЕСТУПНОСТЬ
  3. 3. Киберпреступность: недавнее прошлое Разработчики Актив Результат Инструменты атак Слава Скомпрометиро- ванные хост или приложение Кража Вредоносное ПО Черви Шпионаж) Скомпрометиро- Вирусы ванное окружение Трояны
  4. 4. Эволюция угроз Malware Вирус Шпионское (трояны, Эксплоиты ПО кейлоггеры, скрипты) Исследования Вредоносные Web и социальные Вредоносные NSS LAB программы сети все чаще программыпоказывают, что воруют уже не становятся используют для даже лучшие ссылки на рассадником своих действий антивирусы и посещаемые вредоносных неизвестные Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day, эффективны реквизиты инструментом 0-Hour) против доступа к ним разведки современных злоумышленников угроз
  5. 5. Эволюция тактики реализации угроз Фокус на Передовые Массовое Полимор- и тайные конкретную заражение физм средства жертву (APT)Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся не интересует постоянно меняются, разработаны модульными, известность и чтобы средства специально под вас – самовосстанавлива- слава – им важна защиты их не они учитывают вашу ющимися и финансовая отследили – инфраструктуры и устойчивыми к выгода от изменение встраиваются в нее, что отказам иреализации угрозы поведения, адресов делает невозможным обнаружению серверов управления применение стандартных методов анализа
  6. 6. Киберпреступность: настоящее Атаки первой Атаки второйРазработчики волны Посредники Результат волны Инструменты Прямая атака Слава атак от хакера Атака на отдельные системы и приложения Шпионаж Вредоносное ПО Создание Заражение ботнетов DDoS Вымогательство Черви Рассылка Вирусы Спама Месть Управление ботнетом: Аренда, продажа Реклама Трояны Фарминг, Фишинг/ Сбор DNS Poisoning Мошеннические информации продажи Шпионское ПО Кража информации Накручивание Продажа информации кликов Мошенничество $$$ Финансовые потоки $$$
  7. 7. Cisco Cybercrime ROI Matrix
  8. 8. ВВЕДЕНИЕ В БИЗНЕС-МОДЕЛИРОВАНИЕ
  9. 9. Где деньги – там бизнес… и бизнес-модели!• Бизнес-модель – это стратегический план, который претворяется в жизнь через организационные структуры, процессы и системы – Говоря о киберпреступности, обычно рассматриваются все эти элементы по отдельности• Бизнес-модель состоит из 9 обязательных элементов – Потребительский сегмент – Ценностное предложение – Каналы сбыта – Взаимоотношения с клиентами – Потоки поступления доходов – Ключевые ресурсы – Ключевые виды деятельности – Ключевые партнеры – Структура издержек
  10. 10. Шаблон бизнес-модели Ключевые Ключевые Ценностные Взаимоотношения Потребительские партнеры виды деятельности предложения с клиентами сегменты Ключевые Каналы сбыта ресурсы Структура издержек Потоки поступления доходов
  11. 11. Потребительские сегменты• Клиенты – сердце любой бизнес-модели – Киберпреступники • Владельцы ботнетов • Спамеры • Кардеры • Мулы (дропперы) • Разработчики вредоносного ПО и т.д. – Компании, покупающие информацию об уязвимостях – Компании-производители продуктов и услуг• Потребности (для киберпреступников) – Быстрота – Скрытность – Автоматизация – Гибкость
  12. 12. Ценностное предложение• Какие товары и услуги представляют ценность для каждого потребительского сегмента? – Какая ценность предлагается потребителю? – Какие проблемы помогают решить потребителю? – Какие потребности удовлетворяются? – Какие продукты и услуги предлагаются потребителю?
  13. 13. В чем ценность продуктов для киберпреступников?• Новизна и инновации• Производительность• Изготовление на заказ• Доработка и поддержка• Скрытость – Заказа и работы покупаемого продукта• Автоматизация, удобство, гибкость• Концентрация на профильном бизнесе – остальное делает заказчик• Цена – Снижение расходов (хостинг, сдача в аренду бот-сетей и т.п.)• Снижение рисков (хостинг в «толерантных» странах)• Доступность – Для новых категорий клиентов (автоматизация и тулкиты)
  14. 14. Пример: инновации в спаме• Рост сложности – Фокусировка – Скрытые ссылки• Новые вектора – SMS vishing – IM SPAM (SPIM) – Социальные сети• Социальный инжиниринг• 50% пользователей открывают спам или кликают по ссылкам в нем
  15. 15. Спам vs фишинг• Объем спама снижается• Объем фишинга растет• Целевые атаки на более ценные объекты более выгодны
  16. 16. Пример: ценность в автоматизации
  17. 17. Пример: ценность в управлении
  18. 18. Эксклюзивные разработка и услуги
  19. 19. Каналы сбыта• Собственные / Партнерские• Прямые – большая прибыль, но дороже организация и управление – Торговые агенты – Продажи через Интернет• Непрямые – меньшая прибыль, но больший охват – Фирменные магазины – Партнерские магазины – Оптовики
  20. 20. Простая реклама инструментов рассылки спама• Еще в 2003г. появились коммерческие программы для рассылок спама, такие как: Dark, Revolution и Reactor Mailer
  21. 21. «Спонсорская» реклама в поисковиках
  22. 22. Установка фальшивого антивируса через партнеров• Установка adware через ботнет – $0.3-1.5 за одну копию ПО• Установка malware через ботнет – от $3 (CH) до $140 (US)
  23. 23. Пример: партнерская сеть Bakasoftware• Партнерская сеть по продаже scareware Day 1 – Рекламируется на GlavMed Day 2 Day 3• Партнеры загружают Day 4 scareware на зараженные Day 5 компьютеры и получают Day 6 комиссию 60% c продаж Day 7 Day 8 – Русские IP не заражаются Day 9• Объем продаж за десять дней Day 10 $147K (154 825 установки и 2 Total 772 продажи) – Платит 1-2% зараженных пользователей Статистика продаж Bakasoftware за 10 дней• $5M в год Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
  24. 24. Взаимоотношения с клиентами• Мотивация взаимоотношений – Приобретение клиентов – Удержание клиентов – Увеличение продаж• Типы взаимоотношений – Персональная поддержка – Особая персональная поддержка – Самообслуживание – Автоматизированное обслуживание – Сообщества
  25. 25. Можно создать, а можно купить бота
  26. 26. Полный сервис
  27. 27. Полный сервис
  28. 28. Потоки поступления доходов• За что готовы платить потребители?• Типы доходов – Разовые сделки – Регулярный доход от периодических платежей, получаемых от клиентов за ценностные предложения или постпродажное обслуживание• Виды – Продажа активов – Плата за использование – Оплата подписки – Аренда/лизинг – Лицензии – Процент от сделки – Реклама
  29. 29. «Давить на жалость»
  30. 30. «Давить на жалость»
  31. 31. Монетизация Koobface• Вредоносный код перехватывает учетные записи пользователей в социальных сетях и рассылает вредоносные ссылки• Вредоносный код «говорит» пользователю, что он инфицирован и должен приобрести антивирус для лечения его ПК
  32. 32. Разные доходы от одного продукта – ботнета DDoS Сдать в аренду Рассылка спамаСоздание Установка Продажа Ботнет Использовать PAN ботнета scareware Кража Продажа данных account Продать Продажа Стоимость Фишинг ПДн$0.5 за бот для небольших ботнетов$0.1-0.3 за бот для крупных ботнетов Поисковый Аренда спам$2000 в месяц за 1000 писем в минуту
  33. 33. Ценообразование• Фиксированные цены Учетная – По прайс-листу запись в – В зависимости от характеристик продукта/услуги банке – В зависимости от потребителя – В зависимости от величины закупки Украсть Продать• Свободные цены деньги учетную самому запись – Договорная цена – Управление доходами – Аукцион Фиксированная % от суммы цена ($1-1500) на счете Цена на запись зависит от количества
  34. 34. Немного цифр• Стоимость DDoS-атаки – От $50 до $1000-2000 в сутки• Стоимость ПДн – Жителя США/Канада – $5-8 – Жителя Евросоюза – $10-15• Стоимость e-mail – $20-100 за базу из 1М адресов электронной почты – Стоимость спамерской рассылки – $150-200 на 1М адресов• Стоимость учетных записей платных ресурсов – $7-15 за учетную запись популярного онлайн-магазина• Аренда FastFlux-хостинга – $1000-2000 в месяц• 16-17% кликов по рекламным ссылкам мошеннические• Редиректы - $0.5-1 за тысячу пользователей
  35. 35. Ценообразование зависит от страны
  36. 36. Богатые тоже платют! Источники фишинговых атак Цели фишинговых атак
  37. 37. Деньги играют важную роль, но есть и другие мотивы Кибер- Кибер- Хактивисты Писатели Старая Фрикеры Самураи Script Warez террористы воины malware школа kiddies D00dzСложность + + + + +Эго + + + +Шпионаж + +Идеология + + + + +Шалость + + +Деньги + + + + +Месть + + + + Источник: Furnell, S. M• Отсутствие желания заработать не означает отсутствие бизнес- модели – Anonymous, Lulzsec демонстрируют это в полной мере
  38. 38. Ключевые ресурсы• Материальные• Интеллектуальные• Персонал• Финансы
  39. 39. Ресурсов надо не так много – их можно купить• Smartbot.Net Malware – Opened CD-ROM tray – “If your cd-rom drive’s open . . .you desperately need to rid your system of spyware pop-ups immediately! Download Spy Wiper now!” – Spy Wiper продавался за $30• Рассылка спама через Twitter/Facebbok/MySpace – Фишинг и кража паролей – Заработок свыше $500K Сэнфорд Вуоллэс
  40. 40. Ключевые виды деятельности• Производство• Разрешение проблем• Платформы/сети
  41. 41. Для RAT производство spyware – это стиль жизни
  42. 42. Производство и разрешение проблемMpack как коммерческий проект основан в 2006г. тремя Русскимипрограммистами.Стоимость продукта с годовой подпиской на обновления $500 – $1000Q: Как вы получаете эксплойты?A: Для нашего продукта мы используем два основных метода: 1. Друзья присылают нам любые материалы найденные в Интернете,купленные, или полученные от других. 2. Анализ публично анонсированных уязвимостей и POC-эксплойтов. Иногда мы платим за эксплойты. Средняя цена за zero-day уязвимость вInternet Explorer составляет $10 000 в случае хорошей эксплуатации.Q: Ощущаете ли вы чувство вины перед жертвами заражений?A: Я ощущаю, что мы лишь фабрика по производству оружия.Источник: http://www.securityfocus.com/news/11476
  43. 43. Обновления эксплойтов: статистика Mpack
  44. 44. SaaS для киберпреступности• Проверка вредоносного кода на проверку набором антивирусов• Снижение рисков обнаружения
  45. 45. Ключевые партнеры• Оптимизация и экономия в сфере производства• Снижение риска и неопределенности• Поставки ресурсов и совместная деятельность• Типы партнеров – Abuse-хостеры – Гаранты – Владельцы ботнетов – Владельцы анонимных прокси – И т.д.
  46. 46. Структура издержек• Какие наиболее важные расходы предполагает бизнес-модель?• Какие из ключевых ресурсов наиболее дороги?• Какие ключевые виды деятельности требуют наибольших затрат?
  47. 47. Издержки на разработку продукта CAPTCHA test
  48. 48. Структура издержек спамаПоказатель Значение Показатель ЗначениеПослано спама 40.000.000 Хостинг $230Click-through ratio 0.12% 4 дня аренды $6800Соотношение 1/200 ботнетапродаж Стоимость базы $4000Всего продаж 240 e-mailОбъем продаж $37440 Затраты $11030Комиссия 50%спаммераДоход $18720 Прибыль - $7690 в неделю
  49. 49. Криминальный арбитраж • Задача гаранта — быть независимым и гарантировать получение услуг/товаров покупателем и денег продавцомРазработчик Кардеры malwareРазработчик Вымогатели ExploitKit Владелец Гарант Гарант ботнета Упаковщик Конкуренты malware СпамерыAbuse-хостер
  50. 50. Вывод денег• Мулы (дропперы) – люди, найденные через Интернет, используемые для снятия/обналичивания/перевода денег – Рекрутинг на сайтах, в социальных сетях, через спам• Мулы открывают банковские счета, а затем переводят полученные через троянцев (например, Zeus) или вручную деньги на указанные счеты – Также возможно обналичивание средств, перевод средств на мобильные телефоны, использование систем мгновенных переводов, системы электронных платежей и т.д.• Получают процент от перечисленных средств – Открывают счета на свои или украденные ПДн
  51. 51. ФАРМАЦЕВТИЧЕСКИЙ СПАМ
  52. 52. Сайт My Canadian Pharmacy
  53. 53. My Canadian Pharmacy ориентируется на потребности• В США запрещена безрецептурная продажа многих лекарств – Каждый поход к врачу за рецептом стоит денег
  54. 54. Реальный адрес офиса My Canadian Pharmacy 1592 Wilson Avenue Toronto, ON M3L 1A6• Доход от продажи плацебо или фальсифицированных лекарств составляет не менее $100M в год
  55. 55. Спам и фишинг для рекламы «Виагры»• Ботнет Storm отправлял различные спамерские рассылки, включая – Фишинг банков – Рекрутинг мулов (дропперов) – Фрамацевтический спам, рекламирующий Canadian Pharmacy (до 80% всех рассылок Storm)
  56. 56. Связь Storm и SpamIt
  57. 57. Самообслуживание на Spamit.com• Сервис Spamit.com управляет спам-доменами – Регистрация доментов для рассылки спама, создание записей DNS, серверов NS, Web-сайтов – Владельцы ботнетов, используют сервис Spamit для мониторинга сайтов и доходов от рассылки спама• Доход фармадилеров – 40% от успешной сделки
  58. 58. Российский GlavMed связан с Spamit.com GlavMed is a BEST way to convert your pharmacy traffic into real money. Forget about miserable sums youre getting sending your visitors to PPC pharmacy. Youre loosing at least half of YOUR money converting traffic like this. GlavMed offers you a possibility to eliminate any agents and sell most popular pharmacy products directly. It means 30-40% revenue share.
  59. 59. КОГДА ВСЕ ОБЪЕДИНЯЕТСЯВМЕСТЕ
  60. 60. Троян/ботнет Zeus• Автор – предположительно Россия или страна бывшего СССР• Известна с 2007-го года – Первоначально продавался на «черном» рынке с адаптацией под требования заказчика• Высокий уровень модификации кода Zeus – До несколько тысяч версий в месяц – Доступен конструктор ботнета – Модульная структура• Троян работает с системами Интернет-банкинга и системами электронных денег – Кража ПДн, учетных записей, ключей ЭП, сертификатов, передаваемой платежной информации – Фишинг• Средняя стоимость – €1.5-10K (зависит от модулей)
  61. 61. Zeus – одна из последних успешных бизнес-моделей
  62. 62. Один из сценариев заражения компьютера
  63. 63. Первый случай функционирования Zeus• Казначей из Кентукки получил Zeus на свой ПК• Злоумышленник украл реквизиты доступа и получил доступ к банковскому счету с компьютера казначея – Мул (дроппер) был найден на Careerbuilder.com – Мул «заведен» как фиктивный работник – Мул получил $9700 и послал $8700 в Украину через Western Union• Более 25 снятий со счета сумм <$10,000• Общая сумма потерь $415K – Владелец данной копии Zeus заработал 90% – Мул заработал 10%
  64. 64. Конфиг Zeus – пример настройки под нужды клиента• По умолчанию Zeus крадет все поля в формах• Каждый контролер ботнета может быть настроен на жертву Красть отсюда• А могут быть и исключения Отсюда не красть
  65. 65. Демонстрация ценности: популярность ZeuS• Несколько сотен центров управления зафиксировано на ZeuS Tracker• Примерно 1.6M ботов в ботнетах на базе ZeuS• 960 банков в числе жертв• Топ5 банков США – на каждый из них нацелено около ботнетов 500 ZeuS – По данным Cisco• 88% компаний Fortune 500 пострадали от ZeuS – По данным RSA• Небольшие компании больше подвержены действиям ZeuS ввиду отсутствия адекватных средств защиты• Российские компании пока не так активно попадают в прицел ZeuS – Патриотизм?
  66. 66. ZeuS Tracker Источник: ZeuS Tracker - https://zeustracker.abuse.ch/
  67. 67. В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
  68. 68. Киберпреступники постоянно меняют бизнес-модель• MetaQuotes занимается разработкой ПО для финансовых рынков• MetaQuotes готова платить за участие пользователей в облачных вычислениях• Троян Trojan- Downloader.Win32.MQL5M iner.a скачивает ПО MetaQuotes на ПК жертвы• Деньги за участие в вычислениях идут автору трояна
  69. 69. Старые методы уже не работают Мотивация Известность Деньги Метод Дерзко Незаметно Фокус Все равно Мишень Средства Вручную Автомат Результат Подрыв Катастрофа Тип Уникальный код Tool kit Цель Инфраструктура Приложения Агент Изнутри Третье лицо
  70. 70. Индустрия киберпреступности похожа на ИТ• Высокообразованные специалисты взаимодействуют между собой для создания новых вредоносных программ• Для управления большими проектами используются специализированные средства разработки ПО, контроля версий и взаимодействия разработчиков• Разработчики вредоносных программ ничем не отличаются от таких же в ИТ-индустрии• Обмен информацией и талантами при совместной работе дает гораздо больший эффект, чем работа в одиночку• Большие заработки не оставляют надежды на самостоятельное прекращение этого бизнеса
  71. 71. Что делать?• Это уже не детские шалости и бороться в одиночку с этой проблемой потребители не в состоянии• Технические средства также не в состоянии решить эту проблему – В цикле «проактивные действия – активная защита – реагирование» технические решения направлены, как правило, на вторую стадию• Любой бизнес может быть прекращен или снижен его масштаб устранив основные причины его возникновения и способы получения прибылей – Если удастся заблокировать перевод украденных денежных средств, то у киберпреступников пропадут стимулы участвовать в данной бизнес-модели• Нужно сделать киберпреступление дорогим или опасным – Это выбьет почву из под ног киберпреступников
  72. 72. Взаимодействие банков и провайдеров• Необходимо активное взаимодействий операторов связи (провайдеров Интернет-услуг) и банков, а также специализированных компаний, занимающихся расследованием преступлений и разработкой средств защиты – Уязвимым местом в бизнес-модели является обработка платежей за киберпреступления• Если – вооружить банки черными списками продавцов, использующих спам – убедить банки блокировать процессинг в пользу онлайн- сервисов, запятнавших свою репутацию• киберпреступники лишатся механизма получения доходов, а с ними и те, кому они платят за разработку инструментания• Но… нужна помощь государства
  73. 73. Необходимо участие государства и регуляторов• Создать единую площадку для оперативного обмена информацией о хищениях или покушении на хищения денежных средств• Разработать единый порядок взаимодействия операторов по переводу денежных средств в таких инцидентах• Разработать оперативный механизм блокирования последующего вывода денежных средств на счета «мулов», а также механизм возврата украденных средств• Внести изменения в нормативно-правовые акты в части квалификации компьютерных преступлений и определения времени и места окончания преступления – Необходим регламент проведения расследования таких преступлений• Провести обучение сотрудников правоохранительных и судебных органов в области киберпреступлений
  74. 74. Дополнительная информация• Cisco 2Q11 Global Threat Report• Cisco 2010 Annual Threat Report• Email Attacks: This Time It’s Personal• Cisco Security Website• Cisco Security Intelligence Operations• Cisco Security Blog• Cisco Security Facebook• Cisco Security TwitterВ презентации использованы материалы Cisco,Лаборатории Касперского, BlackHat, Arbor, NESTA,SecureWorks, Trend Micro и других
  75. 75. Спасибо!

×