Вы находитесь на странице: 1из 119

Бизнес-модель современной

киберпреступности

Лукацкий Алексей, консультант по безопасности


security-request@cisco.com
ВВЕДЕНИЕ В
КИБЕРПРЕСТУПНОСТЬ
Киберпреступность: недавнее прошлое

Разработчики Актив Результат


Инструменты
атак Слава
Скомпрометиро-
ванные хост или
приложение Кража
Вредоносное ПО

Черви
Шпионаж)
Скомпрометиро-
Вирусы ванное
окружение
Трояны
Эволюция угроз

Malware
Вирус Шпионское (трояны, Эксплоиты
ПО кейлоггеры,
скрипты)

Исследования Вредоносные Web и социальные Вредоносные


NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз
Эволюция тактики реализации угроз

Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)

Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся


не интересует постоянно меняются, разработаны модульными,
известность и чтобы средства специально под вас – самовосстанавлива-
слава – им важна защиты их не они учитывают вашу ющимися и
финансовая отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа
Киберпреступность: настоящее

Атаки первой Атаки второй


Разработчики волны Посредники Результат
волны
Инструменты Прямая атака Слава
атак от хакера
Атака на отдельные
системы и
приложения
Шпионаж
Вредоносное ПО
Создание
Заражение ботнетов DDoS
Вымогательство
Черви
Рассылка
Вирусы Спама Месть
Управление ботнетом:
Аренда, продажа Реклама
Трояны Фарминг,
Фишинг/ Сбор DNS Poisoning Мошеннические
информации продажи
Шпионское
ПО Кража
информации Накручивание
Продажа
информации кликов

Мошенничество

$$$ Финансовые потоки $$$


Популярный пример жизненного цикла киберпреступности

1. Разработка и тестирование вредоносного кода


2. Вредоносный код объявляется к продаже
3. Вредоносный код размещается на различных сайтах
– Сайты могут быть как специально подготовленные, так и
общепопулярные, но взломанные
4. Вредоносный код загружается на компьютеры пользователей
при посещении зараженных сайтов
– В случае специально подготовленных сайтов используются
партнерские схемы pay-per-install
5. Вредоносный код собирает информацию для продажи (учетные
записи, персональные данные, ключи электронной подписи и
т.д.)
6. Собранная информация используется или продается
Cisco 2009 Cybercrime ROI Matrix
Cisco 2010 Cybercrime ROI Matrix
Cisco 2011 Cybercrime ROI Matrix
Страна имеет значение
GIB 2011 Matrix
ВВЕДЕНИЕ В БИЗНЕС-
МОДЕЛИРОВАНИЕ
Криминальный MBA

• Современные киберпреступники эмулируют удачные бизнес-


модели
• Проведение исследований рынка
• Приобретение лучших технологий вместо разработки
собственных
• Борьба за лояльность заказчиков
• Предложение различных продуктов и сервисов
• Партнерские программы
• Профессиональный сервис
Где деньги – там бизнес… и бизнес-модели!

• Бизнес-модель – это стратегический план, который претворяется


в жизнь через организационные структуры, процессы и системы
• Бизнес-модель состоит из 9 обязательных элементов
– Потребительский сегмент
– Ценностное предложение
– Каналы сбыта
– Взаимоотношения с клиентами
– Потоки поступления доходов
– Ключевые ресурсы
– Ключевые виды деятельности
– Ключевые партнеры
– Структура издержек
• Говоря о киберпреступности, обычно рассматриваются все эти
элементы по отдельности
Шаблон бизнес-модели

Ключевые Ключевые Ценностные Взаимоотношения Потребительские


партнеры виды деятельности предложения с клиентами сегменты

Ключевые Каналы сбыта


ресурсы

Структура издержек Потоки поступления доходов


Потребительские сегменты

• Клиенты – сердце любой бизнес-модели


– Киберпреступники
• Владельцы ботнетов
• Спамеры
• Кардеры
• Мулы (дропперы)
• Разработчики вредоносного ПО и т.д.
– Компании, покупающие информацию об уязвимостях
– Компании-производители продуктов и услуг
• Потребности (для киберпреступников)
– Быстрота
– Скрытность
– Автоматизация
– Гибкость
Ценностное предложение

• Какие товары и услуги представляют ценность для каждого


потребительского сегмента?
– Какая ценность предлагается потребителю?
– Какие проблемы помогают решить потребителю?
– Какие потребности удовлетворяются?
– Какие продукты и услуги предлагаются потребителю?

• Кражи банкоматов, скимминг и т.п. ценности уже не представляют


– мороки много, а прибыль небольшая
В чем ценность продуктов для киберпреступников?

• Новизна и инновации
• Производительность
• Изготовление на заказ
• Доработка и поддержка
• Скрытость
– Заказа и работы покупаемого продукта
• Автоматизация, удобство, гибкость
• Концентрация на профильном бизнесе – остальное делает заказчик
• Цена
– Снижение расходов (хостинг, сдача в аренду бот-сетей и т.п.)
• Снижение рисков (хостинг в «толерантных» странах)
• Доступность
– Для новых категорий клиентов (автоматизация и тулкиты)
Пример: инновации в спаме

• Рост сложности
– Фокусировка
– Скрытые ссылки
• Новые вектора
– SMS vishing
– IM SPAM (SPIM)
– Социальные сети
– Spam over IPT (SPIT)
– Spam over blog (splog)
• Социальный инжиниринг
• 50% пользователей
открывают спам или
кликают по ссылкам в
нем
Спам vs фишинг

• Объем спама снижается


• Объем фишинга растет
• Целевые атаки на более
ценные объекты более
выгодны
Пример: ценность в автоматизации
Пример: ценность в автоматизации создания троянов
Пример: ценность в автоматизации подбора хэшей
Пример: ценность в управлении
Пример: ценность в языковой поддержке
Пример: ценность в управлении

• Консоль управления Sheldor


– Входит в пятерку самых распространенных банковских троянов в
России и других странах СНГ
Пример: ценность в неотслеживаемости
Кому-то ценно найти все бесплатно…
А кому-то подавай эксклюзивные разработку и услуги
Не все разработчики СЗИ знают о новых угрозах
Каналы сбыта

• Собственные / Партнерские
• Прямые – большая прибыль, но дороже организация и
управление
– Торговые агенты
– Продажи через Интернет
• Непрямые – меньшая прибыль, но больший охват
– Фирменные магазины
– Партнерские магазины
– Оптовики
Различные каналы распространения вредоносных
программ

• Заражаются посещаемые
и популярные сайты
• По данным Лаборатории
Касперского осенью 2011-
го года оказались
зараженными сайты
– ОАО «РЖД» (180000
посетителей в день)
– ИД «Комсомольская
правда» (587000)
– ИД «Свободная
пресса» (276000)
– Экспресс газета
(263000)
– Интерфакс
Эффективность заражения с помощью BlackHole Exploit
Kit
Покупка и продажа трафика
Покупка и продажа трафика
Различные каналы распространения Carberp
Простая реклама инструментов рассылки спама

• Еще в 2003г. появились коммерческие программы для рассылок


спама, такие как: Dark, Revolution и Reactor Mailer
«Спонсорская» реклама в поисковиках
Установка фальшивого антивируса через партнеров

• Установка adware через ботнет – $0.3-1.5 за одну копию ПО


• Установка malware через ботнет – от $3 (CH) до $140 (US)
Пример: партнерская сеть Bakasoftware

• Партнерская сеть по продаже


scareware Day 1
Day 2
– Рекламируется на GlavMed
Day 3
• Партнеры загружают Day 4
scareware на зараженные Day 5
компьютеры и получают Day 6
комиссию 60% c продаж Day 7
Day 8
– Русские IP не заражаются
Day 9
• Объем продаж за десять дней Day 10
$147K (154 825 установки и 2 Total

772 продажи)
– Платит 1-2% зараженных
пользователей
Статистика продаж Bakasoftware
за 10 дней
• $5M в год
Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
Фальшивые дефрагментатор и система защиты
Взаимоотношения с клиентами

• Мотивация взаимоотношений
– Приобретение клиентов
– Удержание клиентов
– Увеличение продаж
• Типы взаимоотношений
– Персональная поддержка
– Особая персональная поддержка
– Самообслуживание
– Автоматизированное обслуживание
– Сообщества
Можно создать, а можно купить бота
Полный сервис
Полный сервис
Потоки поступления доходов

• За что готовы платить потребители?


• Типы доходов
– Разовые сделки
– Регулярный доход от периодических платежей, получаемых от
клиентов за ценностные предложения или постпродажное
обслуживание
• Виды
– Продажа активов
– Плата за использование
– Оплата подписки
– Аренда/лизинг
– Лицензии
– Процент от сделки
– Реклама
«Давить на жалость»
«Давить на жалость»
Монетизация Koobface

• Вредоносный код перехватывает учетные записи пользователей


в социальных сетях и рассылает вредоносные ссылки
• Вредоносный код «говорит» пользователю, что он инфицирован и
должен приобрести антивирус для лечения его ПК
Разные доходы от одного продукта – ботнета

DDoS

Сдать в
аренду Рассылка
спама

Создание Установка Продажа


Ботнет Использовать scareware PAN
ботнета

Кража Продажа
данных account
Продать
Продажа
Стоимость Фишинг ПДн
$0.5 за бот для небольших ботнетов
$0.1-0.3 за бот для крупных ботнетов
Поисковый
Аренда спам
$2000 в месяц за 1000 писем в минуту
Пример: продажа ПДн

• А вы храните
отсканированные
копии паспорта на
компьютере?
• А копии
кредитных карт,
страховых
свидетельств,
ИНН, СНИЛС?
• А вы не боитесь,
что по этим
данным кто-то
получит кредит
или откроет счет?
В России и СНГ это тоже есть

• Стоимость ПДн
– Жителя США/Канада – $5-8
– Жителя Евросоюза – $10-15
• Паспортные данные жителя
России - $150
Ценообразование

• Фиксированные цены
Учетная
– По прайс-листу запись в
– В зависимости от характеристик продукта/услуги банке
– В зависимости от потребителя
– В зависимости от величины закупки Украсть Продать
• Свободные цены деньги учетную
самому запись
– Договорная цена
– Управление доходами
– Аукцион Фиксированная % от суммы
цена ($1-1500) на счете

Цена на запись
зависит от
количества
Немного цифр

• Стоимость DDoS-атаки
– От $50 до $1000-2000 в сутки
• Стоимость e-mail
– $20-100 за базу из 1М адресов электронной почты
– Стоимость спамерской рассылки – $150-200 на 1М адресов
– Спам по 90000 в СПб - $55
– Спам по 6М россиян - $150
– Спам по 450К украинцев - $50
– Спам по 4М пользователей @mail.ru - $200
• Стоимость учетных записей платных ресурсов
– $7-15 за учетную запись популярного онлайн-магазина
• 16-17% кликов по рекламным ссылкам мошеннические
• Редиректы - $0.5-1 за тысячу пользователей
Поисковая оптимизация со знаком минус
Ценообразование зависит от страны
Богатые тоже платют!

Источники
фишинговых атак

Цели фишинговых
атак
И еще немного цифр

• Стоимость разработки
уникального «простого»
вредоносного ПО, который будет
неизвестен антивирусным
производителям в течении 2-3
дней – $800-1000
• Стоимость разработки
банковского трояна – $900-5000
• Стоимость проверки
вредоносного ПО на
необнаруживаемость - $500
• Доработка ботнета «под себя» –
$500-1000
• Взлом Web-сайта – от $50
И вновь о цифрах

• Массовое распространение
троянской программы – от $20 на
1000 пользователей
• Поиск уязвимости для
мобильного телефона – от $5000
• Поиск уязвимости в SMS-сервисе
– от $1000
• Взлом почтового ящика – от $45
• Аренда FastFlux-хостинга –
$1000-2000 в месяц
Сколько стоит Abuse-устойчивый хостинг
И опять цифры

• Номер кредитной карты с CVV или PIN - $500


– А без CVV - $5-25
• Реквизиты доступа к банковскому счету - $80-300
• Счет в системе электронных платежей - $5
Спрос рождает предложение
Деньги играют важную роль, но есть и другие мотивы

Кибер- Кибер- Хактивисты Писатели Старая Фрикеры Самураи Script Warez


террористы воины malware школа kiddies D00dz
Сложность
+ + + + +
Эго
+ + + +
Шпионаж
+ +
Идеология
+ + + + +
Шалость
+ + +
Деньги
+ + + + +
Месть
+ + + +
Источник: Furnell, S. M

• Отсутствие желания заработать не означает отсутствие бизнес-


модели
– Anonymous, Lulzsec демонстрируют это в полной мере
Деньги играют важную роль, но есть и другие мотивы
Ключевые ресурсы

• Материальные
• Интеллектуальные
• Персонал
• Финансы
У каждого своя роль

• Менеджер по продажам • Дроп (разводной / неразводной)


• Кассир • Дроповод
• Маркетолог • Обнальщик
• Логист • Заливщик / Даунлоадер
• Водитель • Селлер
• HR • Abuse-хостер
• Генеральный директор • Гарант
• Айтишник • Кодер
• Охранник
• Инженер
• Разработчик
Ресурсов надо не так много – их можно купить

• Smartbot.Net Malware
– Opened CD-ROM tray
– “If your cd-rom drive’s open . . .you
desperately need to rid your system of
spyware pop-ups immediately! Download
Spy Wiper now!”
– Spy Wiper продавался за $30
• Рассылка спама через
Twitter/Facebbok/MySpace
– Фишинг и кража паролей
– Заработок свыше $500K
Сэнфорд Вуоллэс
Ключевые виды деятельности

• Производство
• Разрешение проблем
• Платформы/сети
Для RAT производство spyware – это стиль жизни
Производство и разрешение проблем
Mpack как коммерческий проект основан в 2006г. тремя Русскими
программистами.

Стоимость продукта с годовой подпиской на обновления $500 – $1000

Q: Как вы получаете эксплойты?


A: Для нашего продукта мы используем два основных метода:

1. Друзья присылают нам любые материалы найденные в Интернете,


купленные, или полученные от других.

2. Анализ публично анонсированных уязвимостей и POC-эксплойтов.

Иногда мы платим за эксплойты. Средняя цена за zero-day уязвимость в


Internet Explorer составляет $10 000 в случае хорошей эксплуатации.

Q: Ощущаете ли вы чувство вины перед жертвами заражений?


A: Я ощущаю, что мы лишь фабрика по производству оружия.
Источник: http://www.securityfocus.com/news/11476
Обновления эксплойтов: статистика Mpack
SaaS для киберпреступности – проверка детектирования

• Проверка вредоносного кода на проверку набором антивирусов


• Снижение рисков обнаружения
SaaS для киберпреступности – распознавание CAPTCHA
У создателей malware проблемы те же

• Разработка ПО (вредоносного)
– Документирование изменений
– Внесение изменений
– Развитие функционала
– Учет потребностей клиентов и рынка
• Борьба с конкурентами
– Защита своего кода от кражи со стороны хакеров-альтруистов
– Защита своего кода от кода конкурентов путем встраивания
мини-антивируса
Ключевые партнеры

• Оптимизация и экономия в сфере производства


• Снижение риска и неопределенности
• Поставки ресурсов и совместная деятельность

• Типы партнеров
– Abuse-хостеры
– Гаранты
– Владельцы ботнетов
– Владельцы анонимных прокси
– Владельцы Fast-Flux-хостинга
– Продавцы трафика
– И т.д.
Структура издержек

• Какие наиболее важные расходы предполагает бизнес-модель?


• Какие из ключевых ресурсов наиболее дороги?
• Какие ключевые виды деятельности требуют наибольших затрат?
Издержки на разработку продукта

CAPTCHA test
Структура издержек спама

Показатель Значение Показатель Значение


Послано спама 40.000.000 Хостинг $230
Click-through ratio 0.12% 4 дня аренды $6800
Соотношение 1/200 ботнета
продаж Стоимость базы $4000
Всего продаж 240 e-mail

Объем продаж $37440 Затраты $11030

Комиссия 50%
спаммера
Доход $18720

Прибыль - $7690 в неделю


Структура издержек на банковских троянах

• Стоимость RDPdoor - $2000


• Стоимость Sheldor - $2500
• Стоимость Carberp - $9000
• + аренда Abuse-хостинга
• + наем мулов

$26.475.929,32

$24.436.243,86
И еще пример заработка на ботсетях

$1.733.492,43 за 1.5 года


Криминальный арбитраж

• Задача гаранта — быть независимым и гарантировать получение


услуг/товаров покупателем и денег продавцом

Разработчик Кардеры
malware

Разработчик Вымогатели
ExploitKit Владелец
Гарант Гарант
ботнета
Упаковщик Конкуренты
malware

Спамеры
Abuse-хостер
Вывод денег

• Мулы (дропперы) – люди, найденные через Интернет,


используемые для снятия/обналичивания/перевода денег
– Рекрутинг на сайтах, в социальных сетях, через спам
– Составление трудовых договоров на снятие денег в банках, а не
на преступную деятельность
• Мулы открывают банковские счета, а затем переводят
полученные через троянцев (например, Zeus) или вручную деньги
на указанные счеты
– Также возможно обналичивание средств, перевод средств на
мобильные телефоны, использование систем мгновенных
переводов, системы электронных платежей и т.д.
• Получают процент от перечисленных средств
– Открывают счета на свои или украденные ПДн
День из жизни мула (дроппера)

Мне нужна
работа Мул
арестовывается
или уходит с
работы
Нанимается
и передается
дропповоду
Дроповод получает Мул получает
деньги или вновь деньги и
переводит их переводит их на
указанные счета
Дроповод
Дроповод или
координирует
обеспечивает обналичивает
трансфер денег от
мула операторов к мулам
инструкциями
для открытия
банковского
счета
Объявления о поиске и обучении «персонала»
ФАРМАЦЕВТИЧЕСКИЙ СПАМ
Сайт My Canadian Pharmacy
My Canadian Pharmacy ориентируется на потребности

• В США запрещена безрецептурная продажа многих лекарств


– Каждый поход к врачу за рецептом стоит денег
Реальный адрес офиса My Canadian Pharmacy
1592 Wilson Avenue
Toronto, ON M3L 1A6

• Доход от продажи плацебо или фальсифицированных лекарств


составляет не менее $100M в год
Спам и фишинг для рекламы «Виагры»

• Ботнет Storm отправлял различные спамерские рассылки,


включая
– Фишинг банков
– Рекрутинг мулов (дропперов)
– Фрамацевтический спам, рекламирующий Canadian Pharmacy (до
80% всех рассылок Storm)
Связь Storm и SpamIt
Самообслуживание на Spamit.com

• Сервис Spamit.com управляет спам-доменами


– Регистрация доменов для рассылки спама, создание записей
DNS, серверов NS, Web-сайтов
– Владельцы ботнетов, используют сервис Spamit для
мониторинга сайтов и доходов от рассылки спама
• Доход фармадилеров – 40% от успешной сделки
Российский GlavMed связан с Spamit.com

GlavMed is a BEST way to convert your pharmacy traffic into real money. Forget
about miserable sums you're getting sending your visitors to PPC pharmacy.
You're loosing at least half of YOUR money converting traffic like this. GlavMed
offers you a possibility to eliminate any agents and sell most popular pharmacy
products directly. It means 30-40% revenue share.
КОГДА ВСЕ ОБЪЕДИНЯЕТСЯ
ВМЕСТЕ
Троян/ботнет Zeus

• Автор – предположительно Россия или страна бывшего СССР


• Известна с 2007-го года
– Первоначально продавался на «черном» рынке с адаптацией под
требования заказчика
• Высокий уровень модификации кода Zeus
– До несколько тысяч версий в месяц
– Доступен конструктор ботнета
– Модульная структура
• Троян работает с системами Интернет-банкинга и системами
электронных денег
– Кража ПДн, учетных записей, ключей ЭП, сертификатов,
передаваемой платежной информации
– Фишинг
• Средняя стоимость – €1.5-10K (зависит от модулей)
Zeus – одна из последних успешных бизнес-моделей
Один из сценариев заражения компьютера
Первый случай функционирования Zeus

• Казначей из Кентукки получил Zeus на свой ПК


• Злоумышленник украл реквизиты доступа и получил доступ к
банковскому счету с компьютера казначея
– Мул (дроппер) был найден на Careerbuilder.com
– Мул «заведен» как фиктивный работник
– Мул получил $9700 и послал $8700 в Украину через Western
Union
• Более 25 снятий со счета сумм <$10,000
• Общая сумма потерь $415K
– Владелец данной копии Zeus заработал 90%
– Мул заработал 10%
Конфиг Zeus – пример настройки под нужды клиента

• По умолчанию Zeus крадет все поля в формах


• Каждый контролер ботнета может быть настроен на жертву
Красть отсюда

• А могут быть и исключения


Отсюда не красть
Демонстрация ценности: популярность ZeuS

• Несколько сотен центров управления зафиксировано на ZeuS


Tracker
• Примерно 1.6M ботов в ботнетах на базе ZeuS
• 960 банков в числе жертв
• Топ5 банков США – на каждый из них нацелено около 500
ботнетов ZeuS
– По данным Cisco
• 88% компаний Fortune 500 пострадали от ZeuS
– По данным RSA
• Небольшие компании больше подвержены действиям ZeuS ввиду
отсутствия адекватных средств защиты
• Российские компании пока не так активно попадают в прицел
ZeuS (по сравнению с иностранными)
– Патриотизм или банальная ориентация на денежные страны?
ZeuS Tracker

Источник: ZeuS Tracker - https://zeustracker.abuse.ch/


На смену ZeuS пришел Carberp

• ZeuS (как и SpyEye) получил преимущественное


распространение за пределами России – у нас активно
используется Carberp
• В конце 2011 появились ZeuS/SpyEye-модули для российских
банков
Панель управления Carberp
Панель управления Carberp
Carberp крадет копии экранов и секретные ключи/пароли
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Киберпреступники постоянно меняют бизнес-модель

• MetaQuotes занимается
разработкой ПО для
финансовых рынков
• MetaQuotes готова
платить за участие
пользователей в
облачных вычислениях
• Троян Trojan-
Downloader.Win32.MQL5M
iner.a скачивает ПО
MetaQuotes на ПК жертвы
• Деньги за участие в
вычислениях идут автору
трояна
Старые методы уже не работают

Мотивация Известность Деньги

Метод Дерзко Незаметно

Фокус Все равно Мишень

Средства Вручную Автомат

Результат Подрыв Катастрофа

Тип Уникальный код Tool kit

Цель Инфраструктура Приложения

Агент Изнутри Третье лицо


Индустрия киберпреступности похожа на ИТ

• Высокообразованные специалисты взаимодействуют между


собой для создания новых вредоносных программ
• Для управления большими проектами используются
специализированные средства разработки ПО, контроля версий и
взаимодействия разработчиков
• Разработчики вредоносных программ ничем не отличаются от
таких же в ИТ-индустрии
• Обмен информацией и талантами при совместной работе дает
гораздо больший эффект, чем работа в одиночку
• Большие заработки не оставляют надежды на самостоятельное
прекращение этого бизнеса
Что делать?

• Это уже не детские шалости и бороться в одиночку с этой


проблемой потребители не в состоянии
• Технические средства также не в состоянии решить эту проблему
– В цикле «проактивные действия – активная защита –
реагирование» технические решения направлены, как правило,
на вторую стадию
• Любой бизнес может быть прекращен или снижен его масштаб
устранив основные причины его возникновения и способы
получения прибылей
– Если удастся заблокировать перевод украденных денежных
средств, то у киберпреступников пропадут стимулы участвовать в
данной бизнес-модели
• Нужно сделать киберпреступление дорогим или опасным
– Это выбьет почву из под ног киберпреступников
Взаимодействие банков и провайдеров

• Необходимо активное взаимодействий операторов связи


(провайдеров Интернет-услуг) и банков, а также
специализированных компаний, занимающихся расследованием
преступлений и разработкой средств защиты
– Уязвимым местом в бизнес-модели является обработка
платежей за киберпреступления
• Если
– вооружить банки черными списками продавцов, использующих
спам
– убедить банки блокировать процессинг в пользу онлайн-
сервисов, запятнавших свою репутацию
• киберпреступники лишатся механизма получения доходов, а с
ними и те, кому они платят за разработку инструментания
• Но… нужна помощь государства
Необходимо участие государства и регуляторов

• Создать единую площадку для оперативного обмена


информацией о хищениях или покушении на хищения денежных
средств
• Разработать единый порядок взаимодействия операторов по
переводу денежных средств в таких инцидентах
• Разработать оперативный механизм блокирования
последующего вывода денежных средств на счета «мулов», а
также механизм возврата украденных средств
• Внести изменения в нормативно-правовые акты в части
квалификации компьютерных преступлений и определения
времени и места окончания преступления
– Необходим регламент проведения расследования таких
преступлений
• Провести обучение сотрудников правоохранительных и судебных
органов в области киберпреступлений
Регуляторы пока об этом не думают ;-(
А если думают, то у них иные задачи
Атаки на ДБО влияют на экономику страны…
…и на международную преступность!
Дополнительная информация

• Cisco 2010 Annual Threat Report


• Cisco 2011 Annual Threat Report
• Email Attacks: This Time It’s Personal
• Cisco Security Website
• Cisco Security Intelligence Operations
• Cisco Security Blog
• Cisco Security Facebook
• Cisco Security Twitter

В презентации использованы материалы Cisco,


Лаборатории Касперского, Group-IB, ESET, BlackHat,
Arbor, NESTA, SecureWorks, Trend Micro, Amorize
и других
security-request@cisco.com

Благодарю вас
за внимание

BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 119