14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10
DESCRIPTION
TRANSCRIPT
![Page 1: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/1.jpg)
Последние тенденции в развитии кибер-преступности.
Июнь 2009 – Март 2010.
Александр ПисемскийCISM, CISA, MCPGroup-IB
![Page 2: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/2.jpg)
С чем нам пришлось столкнуться?
Мошенничество с ДБО Взлом web-серверов Распространение вредоносного ПО DDoS Фишинг
![Page 3: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/3.jpg)
Мошенничество с ДБО
DDoS
Создатель вредоносного кода
Исполнитель
Нагонщик «трафика»
Создатель сети
Вывод денег
Создатель вредоносного кода Оператор
Поставщик услуг обналичивания
денег
«Дроппер»
![Page 4: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/4.jpg)
Новые механизмы мошенничеств
Многофункциональный вредоносный код
Использование средств удаленного управления (TeamViewer и пр.)
![Page 5: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/5.jpg)
Масштаб мошенничества
Intelligence NotePrepared by the Internet Crime Complaint Center (IC3)
November 3, 2009
(http://www.ic3.gov/media/2009/091103-1.aspx)
«По данным ФБР только за Октябрь 2009 года в США было зарегистрировано попыток мошенничества в системах онлайн банкинга с ущербом, превышающим 100 млн. долларов»
![Page 6: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/6.jpg)
В России
По данным МВД в г. Москве каждые 2 месяца регистрируется 5 случаев мошенничеств с использованием систем ДБО. Средний ущерб по каждому из инцидентов составляет 3 млн. рублей
Только за период с января по апрель 2010 года были предприняты попытки вывода денежных средств со счетов 3 московских банков на общую сумму более
$2 000 000
![Page 7: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/7.jpg)
Один из последних случаев
29 марта – День заражения ПК. Используя уязвимость в Adobe Acrobat, установленном на ПК, с проайфремленного сайта загружается PDF-файл с исполняемым кодом, который подгружает тело троянца. Троянец «заточен» на кражу пользовательских данных от систем ДБО.
1 апреля – День кражи пользовательских данных. В ходе проведения операции с ДБО происходит снятие дампов ключей из RAM и запись нажатий клавиш пользователя с помощью keylogger. Данные отправляются на сервер злоумышленников.
![Page 8: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/8.jpg)
Один из последних случаев
9 апреля –Вывод денег. Около 14 часов генерируется платежка на солидную сумму в адрес Московского филиала другого банка. Затем деньги перебрасываются на Урал, где происходит обналичка.
![Page 9: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/9.jpg)
Как противодействовать?
Создать памятку для пользователей систем ДБО с указанием мер и процедур защиты.
Применение надежной двухфакторной аутентификации.
Развитие систем противодействия мошенничеству. Логирование. Правильное оформление инцидента и изъятие
доказательств. КТЭ доказательств: образы HDD, логи МЭ/Прокси,
вредоносный код.
![Page 10: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/10.jpg)
Проведение расследования
Оформляется СЗ на имя Ген. Директора о факте инцидента. В присутствии независимых технических специалистов
производится снятие образа с HDD. Сам HDD извлекается и опечатывается до момента подачи заявления (информационной справки) в МВД. Также изымаются доступные логи сетевого взаимодействия. Все подтверждается актами.
Исследование собранных доказательств. Передача данных от одной стороны к другой оформляется актами приемки-передачи.
С готовыми отчетами по экспертизе инцидента, анализу логов и вредоносного ПО, а также с копиями всех документов пишем заявление в МВД. HDD отдаем по требованию.
![Page 11: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/11.jpg)
Никто не хочет быть пойман
Противодействие исследованию со стороны вредоносного ПО Уничтожение следов Использование анонимных/почти-анонимных сервисов
Proxy Сервера на абузоустойчивых хостингах зарубежом TeamViewer
![Page 12: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/12.jpg)
Другие инциденты
Цели: Получение прибыли!
Взлом web-серверовРаспространение Malware МошенничествоDDoS Фишинг
![Page 13: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/13.jpg)
СМС на короткие номера
Простой вирус блокировки Windows
Прибыль партнера: $27 000 в месяц
![Page 14: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/14.jpg)
Проблемы
Несовершенство законодательства; Менталитет; Неприменимость многих западных методик к Российской
действительности; Сложность проведения компьютерной экспертизы; ИТ - преступность глобальна; Недостаток качественного образования. Нет развитой системы
сертификации специалистов в области расследования; Закрытость информации по инцидентам в корпорациях.
![Page 15: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/15.jpg)
Какие проблемы уже решаются
Компании все чаще и чаще проводят расследования инцидентов;
Начался обмен информацией между компаниями, как на личном уровне так и в рамках сообществ (RISSPA);
Развитие образования в области расследования инцидентов и компьютерной криминалистики
![Page 16: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/16.jpg)
Курсы Group-IB и АИС
Компания Group-IB совместно с Академией информационных систем готовит курс
«Расследование компьютерных инцидентов. Практические аспекты»
Акцент на практику Создание инфраструктуры реагирования на инциденты Сбор доказательств Криминалистика скомпрометированной системы Юридически значимое оформление И др.
![Page 17: 14.04.10 risspa pisemskiy_cyber-cryme_trends_jun09-mar10](https://reader033.vdocuments.mx/reader033/viewer/2022061304/54986a9fb4795959058b49f4/html5/thumbnails/17.jpg)
Александр ПисемскийCISM, CISA, MCPГруппа информационной безопасности
Спасибо за внимание!