Последние тенденции в развитии кибер-преступности.

Июнь 2009 – Март 2010.

Александр ПисемскийCISM, CISA, MCPGroup-IB

С чем нам пришлось столкнуться?

Мошенничество с ДБО Взлом web-серверов Распространение вредоносного ПО DDoS Фишинг

Мошенничество с ДБО

DDoS

Создатель вредоносного кода

Исполнитель

Нагонщик «трафика»

Создатель сети

Вывод денег

Создатель вредоносного кода Оператор

Поставщик услуг обналичивания

денег

«Дроппер»

Новые механизмы мошенничеств

Многофункциональный вредоносный код

Использование средств удаленного управления (TeamViewer и пр.)

Масштаб мошенничества

Intelligence NotePrepared by the Internet Crime Complaint Center (IC3)

November 3, 2009

(http://www.ic3.gov/media/2009/091103-1.aspx)

«По данным ФБР только за Октябрь 2009 года в США было зарегистрировано попыток мошенничества в системах онлайн банкинга с ущербом, превышающим 100 млн. долларов»

В России

По данным МВД в г. Москве каждые 2 месяца регистрируется 5 случаев мошенничеств с использованием систем ДБО. Средний ущерб по каждому из инцидентов составляет 3 млн. рублей

Только за период с января по апрель 2010 года были предприняты попытки вывода денежных средств со счетов 3 московских банков на общую сумму более

$2 000 000

Один из последних случаев

29 марта – День заражения ПК. Используя уязвимость в Adobe Acrobat, установленном на ПК, с проайфремленного сайта загружается PDF-файл с исполняемым кодом, который подгружает тело троянца. Троянец «заточен» на кражу пользовательских данных от систем ДБО.

1 апреля – День кражи пользовательских данных. В ходе проведения операции с ДБО происходит снятие дампов ключей из RAM и запись нажатий клавиш пользователя с помощью keylogger. Данные отправляются на сервер злоумышленников.

Один из последних случаев

9 апреля –Вывод денег. Около 14 часов генерируется платежка на солидную сумму в адрес Московского филиала другого банка. Затем деньги перебрасываются на Урал, где происходит обналичка.

Как противодействовать?

Создать памятку для пользователей систем ДБО с указанием мер и процедур защиты.

Применение надежной двухфакторной аутентификации.

Развитие систем противодействия мошенничеству. Логирование. Правильное оформление инцидента и изъятие

доказательств. КТЭ доказательств: образы HDD, логи МЭ/Прокси,

вредоносный код.

Проведение расследования

Оформляется СЗ на имя Ген. Директора о факте инцидента. В присутствии независимых технических специалистов

производится снятие образа с HDD. Сам HDD извлекается и опечатывается до момента подачи заявления (информационной справки) в МВД. Также изымаются доступные логи сетевого взаимодействия. Все подтверждается актами.

Исследование собранных доказательств. Передача данных от одной стороны к другой оформляется актами приемки-передачи.

С готовыми отчетами по экспертизе инцидента, анализу логов и вредоносного ПО, а также с копиями всех документов пишем заявление в МВД. HDD отдаем по требованию.

Никто не хочет быть пойман

Противодействие исследованию со стороны вредоносного ПО Уничтожение следов Использование анонимных/почти-анонимных сервисов

Proxy Сервера на абузоустойчивых хостингах зарубежом TeamViewer

Другие инциденты

Цели: Получение прибыли!

Взлом web-серверовРаспространение Malware МошенничествоDDoS Фишинг

СМС на короткие номера

Простой вирус блокировки Windows

Прибыль партнера: $27 000 в месяц

Проблемы

Несовершенство законодательства; Менталитет; Неприменимость многих западных методик к Российской

действительности; Сложность проведения компьютерной экспертизы; ИТ - преступность глобальна; Недостаток качественного образования. Нет развитой системы

сертификации специалистов в области расследования; Закрытость информации по инцидентам в корпорациях.

Какие проблемы уже решаются

Компании все чаще и чаще проводят расследования инцидентов;

Начался обмен информацией между компаниями, как на личном уровне так и в рамках сообществ (RISSPA);

Развитие образования в области расследования инцидентов и компьютерной криминалистики

Курсы Group-IB и АИС

Компания Group-IB совместно с Академией информационных систем готовит курс

«Расследование компьютерных инцидентов. Практические аспекты»

Акцент на практику Создание инфраструктуры реагирования на инциденты Сбор доказательств Криминалистика скомпрометированной системы Юридически значимое оформление И др.

Александр ПисемскийCISM, CISA, MCPГруппа информационной безопасности

pisemskiy@group-ib.ruwww.group-ib.ru

Спасибо за внимание!