Dmitry Evteev, profile picture
Uploaded byDmitry Evteev
PPTX, PDF15,156 views

Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга

Документ описывает фишинг как форму социальной инженерии, направленную на получение конфиденциальной информации пользователей посредством обмана. Приведены примеры борьбы с фишингом в разных странах, а также типовая методика реализации фишинговых атак и методы противодействия этому явлению, включая обучение и партнерство между государством и частным сектором. Документ также включает ссылки на дополнительные ресурсы и примеры успешных инициатив по борьбе с фишингом.

Embed presentation

Downloaded 14 times
Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга Евтеев Д. И. Технический директор компании HeadLight Security
Определение фишинга Фишинг — одна из разновидностей социальной инженерии в рамках электронных коммуникаций, основанная на введении пользователей в заблуждение. Цель фишинга — получение доступа к конфиденциальным данным пользователей (ПДн, логины и пароли, данные банковских карт и пр.).
Зарубежный опыт борьбы с фишингом 2005 год, США. Фишинг законодательно определен как создание поддельных веб-сайтов (доменов) и отправка электронных писем для получения посредством обмана конфиденциальных данных пользователей. https://www.congress.gov/bill/109th-congress/senate-bill/472 2008 год, Великобритания. Запрет на создание хакерских инструментов. Законодатели первоначально хотели полностью запретить легальные программы, которые могут быть использованы и для преступной деятельности. В том числе под запрет попал и известный сканер Nmap. Эта мера была признана технически неграмотной. http://www.securitylab.ru/news/360522.php
Типовая методика реализации фишинговых атак 1. Регистрация нового фишингового домена (как правило, созвучного популярному бренду). 2. Копирование имеющихся элементов с интернет- ресурса, в отношении которого будет осуществляться фишинговая кампания. 3. Размещение фишингового сайта в Интернете. 4. Привлечение посетителей:  Продвижение в поисковых системах (SEO)  Массовая рассылка (электронная почта, социальные сети, IM)
Примеры реализации фишинга http://antifraud.drweb.ru/phishing/examples
Методы противодействия - обучение
Методика консалтинга по противодействию фишингу 1. Заключение договора на оказание услуги, согласование используемого сценария и тестируемой фокус-группы. 2. Регистрация нового домена, имитирующий фишинговый. 3. Копирование имеющихся элементов с электронного ресурса заказчика. 4. Размещение «фишингового» сайта на серверах консалтинговой компании. 5. Целевая рассылка фокус-группе (электронная почта, социальные сети, IM). Примеры зарубежных проектов: http://phishme.com/ http://phish.io/
Фишинг Противодействие фишингу через государственно-частное партнерство РЕСУРС • государственные учреждения • банки • коммерческие организации
Фишинг Противодействие фишингу через государственно-частное партнерство РЕСУРС • государственные учреждения • банки • коммерческие организации Оценка/обучение Показатели эффективности
Метод противодействия фишингу: общедоступный реестр подозрительных сайтов Проверка по реестру подозрительных сайтов Неизвестный сайт
СПАСИБО ЗА ВНИМАНИЕ! devteev@hlsec.ru http://devteev.blogspot.com https://twitter.com/devteev

More Related Content

PPTX
цензура
bylacertia
 
PPTX
6
byВалифер Эгрард
 
PPTX
информационная безопасность
byAndrey Dolinin
 
PPT
Informacionnaja bezopasnost
bylida111
 
PPTX
vkr
bySergei Korneev
 
PPT
правовое регулирование в информационной сфере 1
byNadezhda2103
 
PDF
Maria Voronova - Protection against internal threats
byInfotropic Media
 
PPTX
правовое регулирование в информационной сфере
byRoksanaKusraeva
 
цензура
bylacertia
 
6
byВалифер Эгрард
 
информационная безопасность
byAndrey Dolinin
 
Informacionnaja bezopasnost
bylida111
 
vkr
bySergei Korneev
 
правовое регулирование в информационной сфере 1
byNadezhda2103
 
Maria Voronova - Protection against internal threats
byInfotropic Media
 
правовое регулирование в информационной сфере
byRoksanaKusraeva
 

What's hot

PPTX
хакеры
byВероника Сайкинова
 
PPTX
информационная безопасность 01
byTanyaRoxy
 
PPTX
Информационная безопасность: Комплексный подход и человеческий фактор
byMax Kornev
 
PPTX
Информационная безопасность: Вводная лекция
byMax Kornev
 
PDF
виды киберпреступности
byЕлена Ключева
 
PPT
правовое регулирование в информационной сфере
byanna343
 
PPSX
IT в бизнесе (MBA в миниатюре)
byLana Kasatkina
 
PPTX
Томас Лёшке: «Кибербезопасность для юристов: что делать?»
byProjectMateRu
 
PPTX
24may 1200 valday алексей липунов 'информационная безопасность банков'
byPositive Hack Days
 
PDF
Бумажна ли бумажная безопасность?
bySecurity Code Ltd.
 
PPTX
Угрозы ИБ мобильным устройствам (2014)
byAlexey Kachalin
 
PPTX
безопасность
byDarinarekun
 
PPTX
безопасность
byDarinarekun
 
PDF
Жизнь после Сноудена: новые технологии - новые угрозы
byAlexey Komarov
 
хакеры
byВероника Сайкинова
 
информационная безопасность 01
byTanyaRoxy
 
Информационная безопасность: Комплексный подход и человеческий фактор
byMax Kornev
 
Информационная безопасность: Вводная лекция
byMax Kornev
 
виды киберпреступности
byЕлена Ключева
 
правовое регулирование в информационной сфере
byanna343
 
IT в бизнесе (MBA в миниатюре)
byLana Kasatkina
 
Томас Лёшке: «Кибербезопасность для юристов: что делать?»
byProjectMateRu
 
24may 1200 valday алексей липунов 'информационная безопасность банков'
byPositive Hack Days
 
Бумажна ли бумажная безопасность?
bySecurity Code Ltd.
 
Угрозы ИБ мобильным устройствам (2014)
byAlexey Kachalin
 
безопасность
byDarinarekun
 
безопасность
byDarinarekun
 
Жизнь после Сноудена: новые технологии - новые угрозы
byAlexey Komarov
 

Viewers also liked

PDF
A Threat Hunter Himself
bySergey Soldatov
 
PPTX
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
PDF
пр про SOC для ФСТЭК
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Iso 27001 внедрение технических защитных мер
byAlexey Evmenkov
 
PDF
UEBA – поведенческий анализ, а не то, что Вы подумали
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Куда идет ИБ в России? (региональные аспекты)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
анализ соответствия ТБ и зПДн
bySergey Borisov
 
PDF
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
PPTX
penetest VS. APT
byDmitry Evteev
 
PDF
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
byAleksey Lukatskiy
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
PPTX
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
PDF
Применение криптографии для обезличивания персональных данных
byAleksey Lukatskiy
 
PDF
Waf.js: How to Protect Web Applications using JavaScript
byDenis Kolegov
 
PDF
20% of investment and 80% of profit. How to implement security requirements a...
byIgor Gots
 
PPTX
Добровольная система сертификации отрасли ИБ. 2012
byЕвгений Родыгин
 
PPTX
Истории из жизни. Как взламывают сети крупных организаций.
byDmitry Evteev
 
PDF
Как нам сохранить современную историю России?
byNatasha Khramtsovsky
 
PPTX
Демонстрация атаки на ДБО
byDmitry Evteev
 
A Threat Hunter Himself
bySergey Soldatov
 
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
пр про SOC для ФСТЭК
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001 внедрение технических защитных мер
byAlexey Evmenkov
 
UEBA – поведенческий анализ, а не то, что Вы подумали
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
bySergey Borisov
 
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
penetest VS. APT
byDmitry Evteev
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
byAleksey Lukatskiy
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
Применение криптографии для обезличивания персональных данных
byAleksey Lukatskiy
 
Waf.js: How to Protect Web Applications using JavaScript
byDenis Kolegov
 
20% of investment and 80% of profit. How to implement security requirements a...
byIgor Gots
 
Добровольная система сертификации отрасли ИБ. 2012
byЕвгений Родыгин
 
Истории из жизни. Как взламывают сети крупных организаций.
byDmitry Evteev
 
Как нам сохранить современную историю России?
byNatasha Khramtsovsky
 
Демонстрация атаки на ДБО
byDmitry Evteev
 

Similar to Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга

PPT
997gfffffffffghvccxxffgggggg035.pptx.ppt
byayperiarrykowa
 
PDF
Борьба с фишингом. Пошаговая инструкция
byAleksey Lukatskiy
 
PPT
1597hyhxddrfgffhhhbbfxftffxxz578.pptx.ppt
byayperiarrykowa
 
PDF
Фишинг (Стекольников Илья)
byKristina Pomozova
 
PPT
Безопасность в Интернете
byАнатолий Шперх
 
PDF
Фишинг (Стекольников Илья)
bydefcon_kz
 
PDF
Целевой фишинг
byCisco Russia
 
DOCX
кибербезопасность в интернете
byJayKWind
 
PDF
Современный рынок фишинга
byPositive Hack Days
 
PPT
защити себя сам
byStalinJV
 
PDF
Современные интернет-угрозы
byCisco Russia
 
997gfffffffffghvccxxffgggggg035.pptx.ppt
byayperiarrykowa
 
Борьба с фишингом. Пошаговая инструкция
byAleksey Lukatskiy
 
1597hyhxddrfgffhhhbbfxftffxxz578.pptx.ppt
byayperiarrykowa
 
Фишинг (Стекольников Илья)
byKristina Pomozova
 
Безопасность в Интернете
byАнатолий Шперх
 
Фишинг (Стекольников Илья)
bydefcon_kz
 
Целевой фишинг
byCisco Russia
 
кибербезопасность в интернете
byJayKWind
 
Современный рынок фишинга
byPositive Hack Days
 
защити себя сам
byStalinJV
 
Современные интернет-угрозы
byCisco Russia
 

More from Dmitry Evteev

PPT
РусКрипто CTF 2010 Full Disclosure (мастер класс)
byDmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft (v.2)
byDmitry Evteev
 
PPTX
Услуги PT для банков
byDmitry Evteev
 
PPT
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
PPT
Безопасность веб-приложений сегодня
byDmitry Evteev
 
PPT
CC HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 
PPTX
Собираем команду хакеров
byDmitry Evteev
 
PPT
Реальные опасности виртуального мира.
byDmitry Evteev
 
PPT
Мобильный офис глазами пентестера
byDmitry Evteev
 
PPTX
PHDays 2012: Future Now
byDmitry Evteev
 
PPTX
Как взламывают сети государственных учреждений
byDmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft
byDmitry Evteev
 
PPT
Penetration testing (AS IS)
byDmitry Evteev
 
PPT
Практика проведения DDoS-тестирований
byDmitry Evteev
 
PPT
WAF наше все?!
byDmitry Evteev
 
PPT
Развитие систем анализа защищенности. Взгляд в будущее!
byDmitry Evteev
 
DOC
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 
DOC
РусКрипто CTF 2010 Full Disclosure (мастер класс)
byDmitry Evteev
 
PPTX
Такой (не)безопасный веб
byDmitry Evteev
 
PPT
PHDays CTF 2011 Quals/Afterparty: как это было
byDmitry Evteev
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
byDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
byDmitry Evteev
 
Услуги PT для банков
byDmitry Evteev
 
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
Безопасность веб-приложений сегодня
byDmitry Evteev
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 
Собираем команду хакеров
byDmitry Evteev
 
Реальные опасности виртуального мира.
byDmitry Evteev
 
Мобильный офис глазами пентестера
byDmitry Evteev
 
PHDays 2012: Future Now
byDmitry Evteev
 
Как взламывают сети государственных учреждений
byDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
byDmitry Evteev
 
Penetration testing (AS IS)
byDmitry Evteev
 
Практика проведения DDoS-тестирований
byDmitry Evteev
 
WAF наше все?!
byDmitry Evteev
 
Развитие систем анализа защищенности. Взгляд в будущее!
byDmitry Evteev
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
byDmitry Evteev
 
Такой (не)безопасный веб
byDmitry Evteev
 
PHDays CTF 2011 Quals/Afterparty: как это было
byDmitry Evteev
 

Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга

  • 1.
    Противодействие хищению персональных данных иплатежной информации в сети Интернет посредством фишинга Евтеев Д. И. Технический директор компании HeadLight Security
  • 2.
    Определение фишинга Фишинг —одна из разновидностей социальной инженерии в рамках электронных коммуникаций, основанная на введении пользователей в заблуждение. Цель фишинга — получение доступа к конфиденциальным данным пользователей (ПДн, логины и пароли, данные банковских карт и пр.).
  • 3.
    Зарубежный опыт борьбыс фишингом 2005 год, США. Фишинг законодательно определен как создание поддельных веб-сайтов (доменов) и отправка электронных писем для получения посредством обмана конфиденциальных данных пользователей. https://www.congress.gov/bill/109th-congress/senate-bill/472 2008 год, Великобритания. Запрет на создание хакерских инструментов. Законодатели первоначально хотели полностью запретить легальные программы, которые могут быть использованы и для преступной деятельности. В том числе под запрет попал и известный сканер Nmap. Эта мера была признана технически неграмотной. http://www.securitylab.ru/news/360522.php
  • 4.
    Типовая методика реализации фишинговыхатак 1. Регистрация нового фишингового домена (как правило, созвучного популярному бренду). 2. Копирование имеющихся элементов с интернет- ресурса, в отношении которого будет осуществляться фишинговая кампания. 3. Размещение фишингового сайта в Интернете. 4. Привлечение посетителей:  Продвижение в поисковых системах (SEO)  Массовая рассылка (электронная почта, социальные сети, IM)
  • 5.
  • 6.
  • 7.
    Методика консалтинга по противодействиюфишингу 1. Заключение договора на оказание услуги, согласование используемого сценария и тестируемой фокус-группы. 2. Регистрация нового домена, имитирующий фишинговый. 3. Копирование имеющихся элементов с электронного ресурса заказчика. 4. Размещение «фишингового» сайта на серверах консалтинговой компании. 5. Целевая рассылка фокус-группе (электронная почта, социальные сети, IM). Примеры зарубежных проектов: http://phishme.com/ http://phish.io/
  • 8.
    Фишинг Противодействие фишингу через государственно-частноепартнерство РЕСУРС • государственные учреждения • банки • коммерческие организации
  • 9.
    Фишинг Противодействие фишингу через государственно-частноепартнерство РЕСУРС • государственные учреждения • банки • коммерческие организации Оценка/обучение Показатели эффективности
  • 10.
    Метод противодействия фишингу: общедоступныйреестр подозрительных сайтов Проверка по реестру подозрительных сайтов Неизвестный сайт
  • 11.