Хищения через dbo.Я.Глубокий
DESCRIPTION
TRANSCRIPT
![Page 1: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/1.jpg)
PAGE 1 |
Хищения через ДБО
опыт успешных расследований
Яков Глубокий, старший менеджер по продуктам[email protected]Лаборатория Касперского
![Page 2: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/2.jpg)
PAGE 2 |
Хищения через ДБО
1. Типичная схема хищения
2. Как находим преступников
3. Рекомендации
![Page 3: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/3.jpg)
Типичная схема хищения
![Page 4: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/4.jpg)
PAGE 4 | 1 2 3
Основные этапы
Заражение
Сбор информации
Загрузка модулей
Списание средств
Маскировка
Вывод средств
![Page 5: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/5.jpg)
PAGE 5 | 1 2 3
Заражение
Вредоносное ПО на тематическом портале
Привлечение посетителей на вредоносный ресурс
Персонифицированный фишинг (Spear Phishing)
![Page 6: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/6.jpg)
PAGE 6 | 1 2 3
Сбор информации
Жертва ok?
Изучение используемых ДБО
Изучение используемых средств защиты
![Page 7: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/7.jpg)
PAGE 7 | 1 2 3
Загрузка модулей
Зловредное ПО для конкретных ДБО
Возможна доработка для обхода защитного ПО
![Page 8: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/8.jpg)
PAGE 8 | 1 2 3
Списание
Максимально возможный размер перевода
Некруглая сумма
Юридическому или физическому лицу
Разнообразные назначения перевода
• Возврат денег по договору займа №..
• Оплата кредита по договору лизинга автомобилей ..
![Page 9: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/9.jpg)
PAGE 9 | 1 2 3
Маскировка
Сообщение о технических работах
Фишинговый сайт с «подставным» номером техподдержки
Удаление следов зловредного ПО
![Page 10: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/10.jpg)
PAGE 10 | 1 2 3
Вывод средств
Электронные деньги
Карточки физических лиц
Счета юридических лиц
![Page 11: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/11.jpg)
PAGE 11 | 1 2 3
Структура преступной группы
ОрганизаторРазработчик
Админ Настройщик
Бот-сервисЗаливщик
Руководитель дроп-сервиса
Дроперы
Дроповод
Дроп-сервис
Трафогон Спам Загрузки
Распространители
Крипто-сервис
![Page 12: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/12.jpg)
Как находим преступников
![Page 13: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/13.jpg)
PAGE 13 | 1 2 3
Поиск преступников: основные этапы
Анализ инцидента
Обращение в правоохранительные органы, доследственная проверка
Уголовное дело и суд
![Page 14: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/14.jpg)
PAGE 14 | 1 2 3
Анализ инцидента
Оперативное реагирование
• опрос сотрудников
• идентификация машинных носителей информации
• неразрушающее копирование данных
• составление акта реагирования
Криминалистический анализ информационной ситемы
Анализ вредоносного ПО
![Page 15: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/15.jpg)
PAGE 15 | 1 2 3
Анализ инцидента
Оперативное реагирование
Криминалистический анализ информационной системы
• восстановление картины происшедшего
• поиск следов присутствия третьих лиц
• восстановление хронологии событий
• поиск вредоносного ПО и созданных им артефактов
Анализ вредоносного ПО
![Page 16: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/16.jpg)
PAGE 16 | 1 2 3
Анализ инцидента
Оперативное реагирование
Криминалистический анализ
Анализ вредоносного ПО
• Алгоритм работы и распространения
• Управляющие сервера
• Изменения, вносимые в компьютерную систему
• Эксплуатируемые уязвимости
![Page 17: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/17.jpg)
PAGE 17 | 1 2 3
Доследственная проверка
Три основных направления для поиска преступников:
Финансовые следы
Следы в инфраструктуре
Каналы общения и сбыта информации
![Page 18: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/18.jpg)
PAGE 18 | 1 2 3
Уголовное дело
Аналитическая и техническая поддержка работы правоохранительных органов
Ходатайства о производстве конкретных следственных действий
Участие в следственных мероприятиях
![Page 19: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/19.jpg)
Рекомендации
![Page 20: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/20.jpg)
PAGE 20 | 1 2 3
Методические рекомендации НПС
[…]
извлечь все аккумуляторные батареи из ноутбука и т.п.
поместить [электронное устройство] в непрозрачный пакет (мешок) и заклеить горловину
предоставить копию чека на приобретение операционной системы и антивирусное ПО
[…]
![Page 21: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/21.jpg)
PAGE 21 | 1 2 3
Для успешного расследования
Не пытаться «вылечить» компьютеры с ДБО своими силами
Отключить компьютеры с ДБО от Интернета и электропитания
Обратиться к профессионалам
![Page 22: Хищения через Dbo.Я.Глубокий](https://reader031.vdocuments.site/reader031/viewer/2022020715/54803c3ab4af9f9e5c8b45ac/html5/thumbnails/22.jpg)
PAGE 22 |PAGE 22 |
Спасибо!