Безопасный поиск: основные тренды 2014 года

Андрей Ковалёв, вирусный аналитик

Сэр Тимоти Джон Бернерс-Ли

«Вы затрагиваете мир тем, что вы просматриваете»

Содержание

〉 Какие бывают угрозы безопасности в интернете

〉 Как они влияют на пользователей и экосистему сети

〉 Drive-by-Download и вредоносные редиректы: откуда берутся, как работают, за счёт чего монетизируются, что нового в 2014

〉Фишинг и фрод: откуда берётся, что нового в 2014

〉 Нежелательное ПО: откуда берётся, за счёт чего монетизируется

4

Сейчас Яндекс защищает от:

〉 Drive-by-download атак

〉 Установки вредоносных программ на мобильные устройства

〉 Загрузки вредоносных файлов

〉Фишинга / смс-фрода

〉 Загрузки нежелательного программного обеспечения

5

Статистика обнаружения заражённых ресурсов

6

10 %

4 %

15 %

24 %

46 %

1 %

фишингdrive-by-download атакиатаки на мобильные устройствавредоносные файлысмс-фроднежелательное ПО

Статистика заражения пользователей Рунета

〉 0,3 % ссылок являются вредоносными

〉 каждая заражённая ссылка получает 20 «кликов» в день, это примерно 7 300 «кликов» в год

〉 пользователь заражается, перейдя по ссылке, в среднем с вероятностью 5-18%

〉 пользователь видит предупреждения в среднем 15 раз в год

〉 пользователь заражается 1 раз в год

7

Drive-by-download и угрозы для мобильных устройств

Как проводится drive-by-download атака

посетитель веб-сайта

заражённый сайт

TDS Эксплойт-пак Malware-хостинг

9

Как «заражают» мобильные устройства

мобильный клиент

заражённый сайт

фишинговыйфрод-сайт

Malware-хостинг

10

Откуда зло появляется на сайтах

взлом веб-ресурсов:

〉 эксплуатация уязвимостей cms и сервисов веб-сервера

〉 кража учётных записей / подбор аутентификационной информации

использование заражённых CMS и шаблонов для сайтов !

размещение вредоносного кода владельцем сайта !

публикация вредоносного содержимого пользователями ресурса (ссылки в комментариях, размещение в uploads и т.д.)

11

Список актуальных уязвимостей

12

IE Java Flash Silverlight

CVE-2013-2551 CVE-2013-2465 CVE-2014-0515 CVE-2013-0074

CVE-2013-7331 CVE-2013-0422 CVE-2014-0556 CVE-2014-3896

CVE-2014-0322 CVE-2013-2460 CVE-2014-0569

Использование CVE-2013-7331 для таргетирования

13

Новые эксплойты для браузера: JS+ActionScript

Flash-баннер Java-Script

14

Flash-баннер

Пример кода эксплуатации

15

Мобильные устройства блокируются и шифруются

〉 Блокировка Android-устройств

〉Шифрование цифрового контента

〉 Вымогательство

16

За установку нелицензионного ПО

ваш телефон был ЗАБЛОКИРОВАН. Для разблокировки

вашего телефона оплатите 1000 руб.

У вас есть 48 часов на оплату, в противном случае все данные с вашего телефона будут уничтожены!

Блокировщики не щадят даже браузеры

17

Еще один распространенный пример блокировки

18

Скрипт блокировки

19

Titan Browlock и его клоны

〉 Использование tds для целевого перенаправления пользователя

〉 Блокировка закрытия tab’а через специально-сформированный JS

〉 Учёт статистики по показам, смс, счетам и т.п.

20

Смс-фрод и фишинг

Источник угрозы

〉Отображается пользователям сайтов из сомнительных рекламных баннерных сетей

〉 Подгружается пользователям через рекламное ПО

〉 Загружается при переходе на зараженные сайты

22

Как выглядит

23

Как выглядит

23

Поток снизился на 40%

240

275 000

550 000

825 000

1 100 000visits normed visits

Нежелательное ПО

Что такое нежелательное ПО

〉 Программы, которые отображают пользователю рекламные баннеры, а также подменяющие оригинальную рекламу сайтов

〉 Программы, которые вводят пользователя в заблуждение и вымогают средства

〉 Программы, которые пользователи стремятся удалить из своей системы

26

Чем опасно нежелательное ПО

〉 Приносит пользователям отрицательный опыт работы в интернете

〉 Сливается с экосистемами мошенничества и распространения вредоносного ПО

27

Откуда появляется у пользователя

〉 Устанавливается через инсталяторы-обертки вместе с желаемым контентом (MP3, torrent-файлы, книги и т.п.)

〉 Устанавливается под видом полезных программ (альтернативный антивирус, ускоритель компьютера и т.п.)

28

Как выглядит

29

Как выглядит

29

Монетизация угроз пользователей

Стратегии монетизации атак: сбор бот-сети

31

〉 Кража учётных записей к различным сервисам и сайтам

〉 Установка различного вредоносного ПО по запросу злоумышленника

〉 Проведение атак: DDoS, спам-рассылок

〉 Несанкционированное использование ресурсов: майниг криптовалют, брутфорс паролей и т.п.

〉 Сдача сети в аренду

Стратегия монетизации атак: кража средств

〉 Кража учётных записей к системам онлайн-банкинга, системам электронных платежей и т.п.

〉Отправка платных SMS c заражённых мобильных устройств

〉 Подписка на платные услуги заражённого устройства

32

Стратегия монетизации атак: шантаж

〉 Блокировка различных систем пользователя: ОС, мобильных устройств, браузера и вымогательство платежей

〉Шифрование пользовательских данных

33

Рынок киберкриминала

*По данным Group-IB за 2013 год 34

млн. $

166109,8

216

786

615

интернет-мошенничествоспамвнутренний рынокDDoS-атакииное

Как Яндекс защищает пользователей

Как работает антивирус Яндекса

веб-антивирус поведенческий анализатор

36

сигнатурный анализатор

Статистика работы веб-антивируса за сутки

〉 Количество проверяемых веб-страниц 32 000 000

〉 Количество зараженных уникальных сайтов 2 500

〉 Количество предупреждений 9 000 000

37

Предупрежден - значит вооружён!

38

Я вебмастер

39

Safe-browsing API

40

http://safe.yandex.ru/

41

Андрей Ковалёв

Вирусный аналитик

Контакты

@L1kvID

andrey.kovalev.zi

+7 (495) 739 70 00, 4294

avkov@yandex-team.ru