Документ анализирует угрозы безопасности в интернете в 2014 году, включая фишинг, drive-by-download атаки и нежелательное программное обеспечение. Он также описывает методы защиты пользователей, применяемые Яндексом, и статистику по заражённым ресурсам. Основное внимание уделяется способам монетизации кибератак и последствиям для пользователей.

2. Безопасный поиск:
основные тренды 2014 года
Андрей Ковалёв, вирусный аналитик

3. Сэр Тимоти Джон Бернерс-Ли
«Вы затрагиваете мир тем,
что вы просматриваете»

4. Содержание
〉 Какие бывают угрозы безопасности в интернете
〉 Как они влияют на пользователей и экосистему сети
〉 Drive-by-Download и вредоносные редиректы: откуда
берутся, как работают, за счёт чего монетизируются, что
нового в 2014
〉 Фишинг и фрод: откуда берётся, что нового в 2014
〉 Нежелательное ПО: откуда берётся, за счёт чего
монетизируется
4

5. Сейчас Яндекс защищает от:
〉 Drive-by-download атак
〉 Установки вредоносных программ на мобильные устройства
〉 Загрузки вредоносных файлов
〉 Фишинга / смс-фрода
〉 Загрузки нежелательного программного обеспечения
5

6. Статистика обнаружения заражённых ресурсов
6
10 %
4 %
15 %
24 %
46 %
1 %
фишинг
drive-by-download атаки
атаки на мобильные устройства
вредоносные файлы
смс-фрод
нежелательное ПО

7. Статистика заражения пользователей Рунета
〉 0,3 % ссылок являются вредоносными
〉 каждая заражённая ссылка получает 20 «кликов» в день,
это примерно 7 300 «кликов» в год
〉 пользователь заражается, перейдя по ссылке, в среднем
с вероятностью 5-18%
〉 пользователь видит предупреждения в среднем 15 раз в год
〉 пользователь заражается 1 раз в год
7

8. Drive-by-download и
угрозы для
мобильных устройств

9. Как проводится drive-by-download атака
посетитель
веб-сайта
заражённый
сайт
TDS Эксплойт-пак Malware-
хостинг
9

10. Как «заражают» мобильные устройства
мобильный
клиент
заражённый
сайт
фишинговый
фрод-сайт
Malware-
хостинг
10

11. Откуда зло появляется на сайтах
взлом веб-ресурсов:
〉 эксплуатация уязвимостей cms и сервисов веб-сервера
〉 кража учётных записей / подбор аутентификационной
информации
использование заражённых CMS и шаблонов для сайтов
!
размещение вредоносного кода владельцем сайта
!
публикация вредоносного содержимого пользователями
ресурса (ссылки в комментариях, размещение в uploads и т.д.)
11

12. Список актуальных уязвимостей
12
IE Java Flash Silverlight
CVE-2013-2551 CVE-2013-2465 CVE-2014-0515 CVE-2013-0074
CVE-2013-7331 CVE-2013-0422 CVE-2014-0556 CVE-2014-3896
CVE-2014-0322 CVE-2013-2460 CVE-2014-0569

13. Использование CVE-2013-7331 для таргетирования
13

14. Новые эксплойты для браузера: JS+ActionScript
Flash-баннер Java-Script
14
Flash-баннер

15. Пример кода эксплуатации
15

16. Мобильные устройства блокируются и шифруются
〉 Блокировка Android-устройств
〉 Шифрование цифрового контента
〉 Вымогательство
16
За установку
нелицензионного ПО
ваш телефон был
ЗАБЛОКИРОВАН.
Для разблокировки
вашего телефона
оплатите 1000 руб.
У вас есть 48 часов на
оплату, в противном
случае все данные
с вашего телефона
будут уничтожены!

17. Блокировщики не щадят даже браузеры
17

18. Еще один распространенный пример блокировки
18

19. Скрипт блокировки
19

20. Titan Browlock и его клоны
〉 Использование tds для целевого
перенаправления пользователя
〉 Блокировка закрытия tab’а через
специально-сформированный JS
〉 Учёт статистики по показам, смс,
счетам и т.п.
20

21. Смс-фрод и фишинг

22. Источник угрозы
〉 Отображается пользователям сайтов
из сомнительных рекламных баннерных сетей
〉 Подгружается пользователям через рекламное ПО
〉 Загружается при переходе на зараженные сайты
22

23. Как выглядит
23

24. Как выглядит
23

25. Поток снизился на 40%
24
0
275 000
550 000
825 000
1 100 000
visits normed visits

26. Нежелательное ПО

27. Что такое нежелательное ПО
〉 Программы, которые отображают пользователю
рекламные баннеры, а также подменяющие оригинальную
рекламу сайтов
〉 Программы, которые вводят пользователя в заблуждение
и вымогают средства
〉 Программы, которые пользователи стремятся удалить
из своей системы
26

28. Чем опасно нежелательное ПО
〉 Приносит пользователям отрицательный опыт работы
в интернете
〉 Сливается с экосистемами мошенничества
и распространения вредоносного ПО
27

29. Откуда появляется у пользователя
〉 Устанавливается через инсталяторы-обертки вместе
с желаемым контентом (MP3, torrent-файлы, книги и т.п.)
〉 Устанавливается под видом полезных программ
(альтернативный антивирус, ускоритель компьютера и т.п.)
28

30. Как выглядит
29

31. Как выглядит
29

32. Монетизация угроз
пользователей

33. Стратегии монетизации атак: сбор бот-сети
31
〉 Кража учётных записей к различным сервисам и сайтам
〉 Установка различного вредоносного ПО по запросу
злоумышленника
〉 Проведение атак: DDoS, спам-рассылок
〉 Несанкционированное использование ресурсов: майниг
криптовалют, брутфорс паролей и т.п.
〉 Сдача сети в аренду

34. Стратегия монетизации атак: кража средств
〉 Кража учётных записей к системам онлайн-банкинга,
системам электронных платежей и т.п.
〉 Отправка платных SMS c заражённых мобильных устройств
〉 Подписка на платные услуги заражённого устройства
32

35. Стратегия монетизации атак: шантаж
〉 Блокировка различных систем пользователя: ОС,
мобильных устройств, браузера и вымогательство платежей
〉 Шифрование пользовательских данных
33

36. Рынок киберкриминала
*По данным Group-IB за 2013 год 34
млн. $
166
109,8
216
786
615
интернет-мошенничество
спам
внутренний рынок
DDoS-атаки
иное

37. Как Яндекс защищает
пользователей

38. Как работает антивирус Яндекса
веб-антивирус поведенческий
анализатор
36
сигнатурный
анализатор

39. Статистика работы веб-антивируса за сутки
〉 Количество проверяемых веб-страниц 32 000 000
〉 Количество зараженных уникальных сайтов 2 500
〉 Количество предупреждений 9 000 000
37

40. Предупрежден - значит вооружён!
38

41. Я вебмастер
39

42. Safe-browsing API
40
http://safe.yandex.ru/

43. 41
Андрей Ковалёв
Вирусный аналитик
Контакты
@L1kvID
andrey.kovalev.zi
+7 (495) 739 70 00, 4294
avkov@yandex-team.ru