Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга

11,078 views

Published on

Published in: News & Politics
  • Be the first to comment

Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга

  1. 1. Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга Евтеев Д. И. Технический директор компании HeadLight Security
  2. 2. Определение фишинга Фишинг — одна из разновидностей социальной инженерии в рамках электронных коммуникаций, основанная на введении пользователей в заблуждение. Цель фишинга — получение доступа к конфиденциальным данным пользователей (ПДн, логины и пароли, данные банковских карт и пр.).
  3. 3. Зарубежный опыт борьбы с фишингом 2005 год, США. Фишинг законодательно определен как создание поддельных веб-сайтов (доменов) и отправка электронных писем для получения посредством обмана конфиденциальных данных пользователей. https://www.congress.gov/bill/109th-congress/senate-bill/472 2008 год, Великобритания. Запрет на создание хакерских инструментов. Законодатели первоначально хотели полностью запретить легальные программы, которые могут быть использованы и для преступной деятельности. В том числе под запрет попал и известный сканер Nmap. Эта мера была признана технически неграмотной. http://www.securitylab.ru/news/360522.php
  4. 4. Типовая методика реализации фишинговых атак 1. Регистрация нового фишингового домена (как правило, созвучного популярному бренду). 2. Копирование имеющихся элементов с интернет- ресурса, в отношении которого будет осуществляться фишинговая кампания. 3. Размещение фишингового сайта в Интернете. 4. Привлечение посетителей:  Продвижение в поисковых системах (SEO)  Массовая рассылка (электронная почта, социальные сети, IM)
  5. 5. Примеры реализации фишинга http://antifraud.drweb.ru/phishing/examples
  6. 6. Методы противодействия - обучение
  7. 7. Методика консалтинга по противодействию фишингу 1. Заключение договора на оказание услуги, согласование используемого сценария и тестируемой фокус-группы. 2. Регистрация нового домена, имитирующий фишинговый. 3. Копирование имеющихся элементов с электронного ресурса заказчика. 4. Размещение «фишингового» сайта на серверах консалтинговой компании. 5. Целевая рассылка фокус-группе (электронная почта, социальные сети, IM). Примеры зарубежных проектов: http://phishme.com/ http://phish.io/
  8. 8. Фишинг Противодействие фишингу через государственно-частное партнерство РЕСУРС • государственные учреждения • банки • коммерческие организации
  9. 9. Фишинг Противодействие фишингу через государственно-частное партнерство РЕСУРС • государственные учреждения • банки • коммерческие организации Оценка/обучение Показатели эффективности
  10. 10. Метод противодействия фишингу: общедоступный реестр подозрительных сайтов Проверка по реестру подозрительных сайтов Неизвестный сайт
  11. 11. СПАСИБО ЗА ВНИМАНИЕ! devteev@hlsec.ru http://devteev.blogspot.com https://twitter.com/devteev

×