Презентация Алексея Лукацкого рассматривает рынок киберпреступности и его бизнес-модели, подчеркивая, что киберпреступность эволюционировала в транснациональную индустрию, аналогичную IT-сектору. Документ описывает различные аспекты киберпреступной деятельности, включая способы получения дохода и структуру преступных группировок. Он также обсуждает взаимодействие с клиентами и маркетинговые стратегии, используемые в этой сфера.

1. 29 июня 2017
Бизнес-консультант по безопасности
Становление
финансовой корпорации
«Киберкрайм и сыновья»:
от подворотни до
транснационального
гиганта
Алексей Лукацкий

2. Disclaimer
Данная презентация ни при каких
условиях не должна
рассматриваться как руководство
к действию. Она является всего
лишь кратким обзором рынка
киберпреступности,
опирающимся на исследования
специалистов компании Cisco,
наших партнеров и по
материалам Интернет и Darknet!
Деятельность, описанная в
презентации, является уголовно
наказуемым деянием в
соответствии с УК РФ.

3. Как хакеров видит Google?

4. «Хакер из
подворотни»

5. Частный извоз взлом

6. Можно торгануть украденной инфой

7. Можно продать найденную уязвимость

8. …и за нее неплохо заплатят
В отличие от легальных
программ Bug Bounty,
предлагаемых ИТ-
производителями, биржи
скупки уязвимостей платят
на порядок больше денег,
мотивируя
«исследователей»
работать с ними

9. Заказчики есть всегда

10. Такой взгляд на киберпреступность устарел!
Нью-Йорк, 1950

11. Стартапы долго не живут,
уходя с рынка или продаваясь
крупному игроку
Некоторым везет и они
вырастают в крупный бизнес
И выходят на международные
рынки
© 2015 Cisco and/or its affiliates. All rights reserved. 11

12. Индустрия киберпреступности похожа на
ИТ-отрасль
Выйдем за пределы очевидного

13. Индустрия киберпреступности похожа на
ИТ-отрасль
Реальность иная!

14. Почему бы не взять в качестве примера ИТ-
индустрию, зарабатывающую миллиарды
«на пустом месте»
Проведение исследований рынка
Лицензирование технологий вместо собственной
разработки
Предложение различных продуктов и сервисов
Партнерские программы
Распределенная разработка
Применение оффшоров
Управление версионностью ВПО

15. Где большие деньги – там бизнес… и
бизнес-модели!
• Бизнес-модель состоит из 9 обязательных элементов
• Потребительский сегмент
• Ценностное предложение
• Каналы сбыта
• Взаимоотношения с клиентами
• Потоки поступления доходов
• Ключевые ресурсы
• Ключевые виды деятельности
• Ключевые партнеры
• Структура издержек
• Говоря о киберпреступности, очень редко все эти элементы
собираются вместе, что и приводит к однобокому взгляду на
происходящее

16. Шаблон бизнес-модели
Ключевые
партнеры
Ключевые
виды
деятельности
Ценностные
предложения
Взаимоотно-
шения
с клиентами
Потребитель-
ские
сегменты
Ключевые
ресурсы
Каналы сбыта
Структура издержек Потоки поступления доходов

17. Чем заняться?

18. Обычно все начинают с «продуктов»
• ПО для несанкционированного
доступа (трояны и т.п.)
• ПО для эксплуатации уязвимостей
(эксплойты)
• Базы данных украденной
информации (инсайд, ПДн,
платежные карты и т.п.)
• Интернет-трафик
• Ботнет
Много рисков, требуемых ресурсов и невысокая маржа

19. Постепенно переходя к сервисам
• Рассылка спама
• Проведение DDoS-атак
• Кража данных
• Проверка на детектирование
• Перешифрование
• Abuse-устойчивый хостинг
• VPN-сервисы
• Сдача в аренду ботнета
• Разработка вредоносного ПО
• Проверка платежных карт и учетных записей
• Подтверждение данных
• Поисковая выдача
• Криминальный арбитраж
• Обналичивание денег

20. Кому продавать?

21. Потребительские сегменты
Киберпреступники
• Владельцы
ботнетов
• Спамеры
• Кардеры
• Разработчики
вредоносного
ПО
• И др.
Компании/биржи,
покупающие
информацию об
уязвимостях,
персональные данные
и т.д.
Компании-
производители ПО и
средств защиты
информации
Государства и
спецслужбы
Иногда в качестве потребителя рассматривается и сама жертва

22. Ценностное
предложение

23. Ценностное предложение
• Какие товары и услуги представляют ценность для каждого
потребительского сегмента?
• Какая ценность предлагается потребителю?
• Какие проблемы помогают решить потребителю?
• Какие потребности удовлетворяются?
• Какие продукты и услуги предлагаются потребителю?
• Кражи банкоматов, классический скимминг и т.п. ценности уже не
представляют – мороки много, а прибыль небольшая
• На них объявлен End of Sale
• Но бывают исключения (зависит от региона и ряда иных условий)

24. В чем ценность?
определяет
популярность и цену
продукта/сервиса
• Скорость
реакции на
изменения
(Agile)
• Новизна и
инновации
• Изготовление на
заказ
• Доработка и
поддержка
• Производительность
Ценность
• Автоматизация
• Удобство
• Гибкость

25. В чем ценность?
• Скрытность
• Доступность
• Цена и
соотношение
доходов/
расходов
• Снижение
издержек
• Концентрация на
профильном
бизнесе
• Снижение
рисков
определяет
популярность и цену
продукта/сервиса
Ценность

26. Пример: ценность в автоматизации

27. Автоматизация, обновление,
анонимность

28. Пример: ценность в языковой поддержке

29. Пример: ценность в неотслеживаемости

30. Пример: ценность в обходе средств
защиты

31. SaaS для киберпреступности – проверка
детектирования
• Проверка вредоносного
кода на проверку набором
антивирусов
• Снижение рисков
обнаружения

32. Пример: ценность в обналичивании
средств

33. Как сбывать свои
продукты и услуги?

34. Киберпреступники хорошо себя
чувствуют в открытом Интернете

35. Не все разработчики СЗИ знают о новых
угрозах4% всего контента
96% всего контента
Tor
I2P
Freenet
Gigatribes
RetroShare
Tribler
GNUNet
OneSwarm
ZeroNet
Syndie

36. Каналы сбыта
Прямые - большая
прибыль, но дороже
организация и
управление
• Торговые агенты
• Продажи через
Интернет
Непрямые –
меньшая прибыль,
но больший охват
• Фирменные
магазины
• Партнерские
магазины
• Оптовики
Собственные /
партнерские

37. Каналы сбыта обычно непубличные

38. Почему обратиться
должны именно ко
мне?

39. Взаимоотношения с клиентами
Мотивация взаимоотношений Типы взаимоотношений
• Приобретение клиентов
• Удержание клиентов
• Увеличение продаж
• Персональная поддержка
• Особая персональная поддержка
• Самообслуживание
• Автоматизированное обслуживание
• Сообщества

40. Поиск новых клиентов

41. Реклама услуг киберкриминала

42. Можно создать, а можно арендовать
бота

43. Полный сервис

44. Ransomware-as-a-Service

45. Cybercrime-as-a-Service

46. Обналичка и отмывание денег

47. Обналичка и отмывание денег

48. Откуда я буду
получать деньги?
DISCLAIMER: Указанные цены имеют особенность
изменяться с течением времени

49. Потоки поступления доходов
• За что готовы платить клиенты и клиенты клиентов?
• Типы доходов
• Разовые сделки
• Регулярный доход от периодических платежей, получаемых от клиентов за
ценностные предложения или постпродажное обслуживание
• Виды
• Продажа активов
• Плата за использование
• Оплата подписки
• Аренда/лизинг
• Лицензии
• Процент от сделки
• Реклама

50. Ценообразование
• Фиксированные цены
• По прайс-листу
• В зависимости от характеристик продукта/услуги
• В зависимости от потребителя
• В зависимости от величины закупки
• Свободные цены
• Договорная цена
• Управление доходами
• Аукцион
Учетная
запись в
банке
Украсть
деньги
самому
Продать
учетную
запись
Фиксированная
цена ($1-1500)
% от суммы
на счете
Цена на запись
зависит от
количества

51. Разные доходы от одного продукта –
ботнета
Создание
ботнета
Ботнет
Сдать в
аренду
Использовать
Продать
DDoS
Рассылка
спама
Установка
scareware
Кража
данных
Фишинг
Поисковый
спам
Продажа
PAN
Продажа
account
Продажа
ПДнСтоимость
$0.5 за бот для небольших ботнетов
$0.1-0.3 за бот для крупных ботнетов
Аренда
$2000 в месяц за 1000 писем в минуту

52. Пример: продажа ПДн
• А вы храните отсканированные
копии паспорта на
компьютере?
• А копии кредитных карт,
страховых свидетельств, ИНН,
СНИЛС?
• А вы не боитесь, что по этим
данным кто-то получит кредит
или откроет счет?

53. И опять цифры
• Fullz – полный набор
идентифицирующих
гражданина данных
(ФИО, адрес,
SSN/ИНН и т.п.)
• Данные граждан США
и Великобритании
стоят от $5-10 до $40 в
зависимости от
профиля

54. В России и СНГ это тоже есть
• Стоимость ПДн
• Жителя США/Канада – $5-8
• Жителя Евросоюза – $10-15
• Паспортные данные жителя России - $150

55. Продажа учетных записей в разные
сервисы

56. И опять цифры
• Номер кредитной карты с CVV или PIN - $500
• А без CVV - $5-25
• Реквизиты доступа к банковскому счету - $80-300
• Счет в системе электронных платежей - $5

57. Немного цифр

58. Сценарий «попробуй – потом плати» (Try
& Buy)

59. Различные способы получения денег

60. Различные способы получения денег

61. Скидки за раннюю покупку

62. Приведи двух друзей и получи продукт
бесплатно

63. Маркетинговые исследования
определяют стоимость услуг
TOR
Вымогатели теперь полностью
автоматизированы и работают
через анонимные сети
$300-$500
Злоумышленники
провели
собственное
исследование
идеальной точки
цены. Сумма выкупа
не чрезмерна
Личные файлы
Финансовые
данные
Email
Фото
Фокусировка
вымогателей –
редкие языки
(например,
исландский) или
группы
пользователей
(например,
онлайн-геймеры)

64. Какие ресурсы мне
понадобятся?

65. Ключевые ресурсы
• Материальные
• Интеллектуальные
• Персонал
• Финансы

66. Структура наркокартеля

67. Структура кибергруппировки «Бизнесклуб»

68. У каждого своя роль
• Менеджер по продажам
• Кассир
• Маркетолог
• Логист
• Водитель
• HR
• Генеральный директор
• Айтишник
• Охранник
• Дроп (разводной / неразводной)
• Дроповод
• Обнальщик
• Заливщик / Даунлоадер
• Селлер
• Abuse-хостер
• Гарант
• Кодер
• Инженер
• Разработчик

69. Профиль современных групп по
разработке вредоносного ПО
Квалифицированные и
хорошо бюджетируемые
Одна организация или
активное применение
аутсорсинга
Исследовательские
подразделения и
инновации

70. Объявления о поиске и обучении
«персонала»

71. Объявления о поиске
«персонала»/работы

72. Серьезные фирмы по подбору
персонала

73. Активное использование аутсорсинга и
оффшоринга
• Активное привлечение внешних сил
• Ботнеты
• Писатели эксплойтов
• Писатели вредоносов
• Поставщики услуг
• Прозвонщики
• Обнальщики
• Заливщики
• …

74. А если сам уже не
справляюсь с
продажами?

75. Ключевые партнеры
• Оптимизация и экономия в сфере производства
• Снижение риска и неопределенности
• Поставки ресурсов и совместная деятельность
• Типы партнеров
• Abuse-хостеры
• Гаранты
• Владельцы ботнетов
• Владельцы анонимных прокси
• Владельцы Fast-Flux-хостинга
• Продавцы трафика
• И т.д.

76. Партнерские программы

77. Партнерские программы

78. Услуги колл-центра

79. Женский голос дороже J

80. Криминальный арбитраж
• Задача гаранта — быть независимым и гарантировать
получение услуг/товаров покупателем и денег продавцом
Гарант
Кардеры
Вымогатели
Спамеры
Конкуренты
Владелец
ботнета
Гарант
Разработчик
malware
Разработчик
ExploitKit
Abuse-хостер
Упаковщик
malware

81. Криминальный арбитраж

82. В заключение

83. Правила игры меняются
2006 2011 2016
Жертвы
Технические компетенции
Возможности по получению денег

84. Злоумышленники научились считать
свои доходы и расходы
2006 2011 2016
инвестиции
отдача
инвестиции
отдача
инвестиции
отдача
Розничные банки Коммерческие банки Корпоративные заказчики

85. 2 причины происходящего – Cybercrime-
as-a-Service и старые подходы к защите
Мотивация
Метод
Фокус
Средства
Точка входа
Тип
Цель
Агент
Известность
Дерзко
Все равно
Вручную
Периметр
Массовый код
Инфраструктура
Изнутри
Деньги
Незаметно
Мишень
Автомат
Любая
Уникальный
Приложения
Третье лицо
А наша
система
защиты
готова к
этому?

86. Спасибо!
alukatsk@cisco.com