Upload
expolink
View
402
Download
3
Embed Size (px)
DESCRIPTION
Citation preview
PAGE 1 |
Хищения через ДБО
опыт успешных расследований
Яков Глубокий, старший менеджер по продуктам[email protected]Лаборатория Касперского
PAGE 2 |
Хищения через ДБО
1. Типичная схема хищения
2. Как находим преступников
3. Рекомендации
Типичная схема хищения
PAGE 4 | 1 2 3
Основные этапы
Заражение
Сбор информации
Загрузка модулей
Списание средств
Маскировка
Вывод средств
PAGE 5 | 1 2 3
Заражение
Вредоносное ПО на тематическом портале
Привлечение посетителей на вредоносный ресурс
Персонифицированный фишинг (Spear Phishing)
PAGE 6 | 1 2 3
Сбор информации
Жертва ok?
Изучение используемых ДБО
Изучение используемых средств защиты
PAGE 7 | 1 2 3
Загрузка модулей
Зловредное ПО для конкретных ДБО
Возможна доработка для обхода защитного ПО
PAGE 8 | 1 2 3
Списание
Максимально возможный размер перевода
Некруглая сумма
Юридическому или физическому лицу
Разнообразные назначения перевода
• Возврат денег по договору займа №..
• Оплата кредита по договору лизинга автомобилей ..
PAGE 9 | 1 2 3
Маскировка
Сообщение о технических работах
Фишинговый сайт с «подставным» номером техподдержки
Удаление следов зловредного ПО
PAGE 10 | 1 2 3
Вывод средств
Электронные деньги
Карточки физических лиц
Счета юридических лиц
PAGE 11 | 1 2 3
Структура преступной группы
ОрганизаторРазработчик
Админ Настройщик
Бот-сервисЗаливщик
Руководитель дроп-сервиса
Дроперы
Дроповод
Дроп-сервис
Трафогон Спам Загрузки
Распространители
Крипто-сервис
Как находим преступников
PAGE 13 | 1 2 3
Поиск преступников: основные этапы
Анализ инцидента
Обращение в правоохранительные органы, доследственная проверка
Уголовное дело и суд
PAGE 14 | 1 2 3
Анализ инцидента
Оперативное реагирование
• опрос сотрудников
• идентификация машинных носителей информации
• неразрушающее копирование данных
• составление акта реагирования
Криминалистический анализ информационной ситемы
Анализ вредоносного ПО
PAGE 15 | 1 2 3
Анализ инцидента
Оперативное реагирование
Криминалистический анализ информационной системы
• восстановление картины происшедшего
• поиск следов присутствия третьих лиц
• восстановление хронологии событий
• поиск вредоносного ПО и созданных им артефактов
Анализ вредоносного ПО
PAGE 16 | 1 2 3
Анализ инцидента
Оперативное реагирование
Криминалистический анализ
Анализ вредоносного ПО
• Алгоритм работы и распространения
• Управляющие сервера
• Изменения, вносимые в компьютерную систему
• Эксплуатируемые уязвимости
PAGE 17 | 1 2 3
Доследственная проверка
Три основных направления для поиска преступников:
Финансовые следы
Следы в инфраструктуре
Каналы общения и сбыта информации
PAGE 18 | 1 2 3
Уголовное дело
Аналитическая и техническая поддержка работы правоохранительных органов
Ходатайства о производстве конкретных следственных действий
Участие в следственных мероприятиях
Рекомендации
PAGE 20 | 1 2 3
Методические рекомендации НПС
[…]
извлечь все аккумуляторные батареи из ноутбука и т.п.
поместить [электронное устройство] в непрозрачный пакет (мешок) и заклеить горловину
предоставить копию чека на приобретение операционной системы и антивирусное ПО
[…]
PAGE 21 | 1 2 3
Для успешного расследования
Не пытаться «вылечить» компьютеры с ДБО своими силами
Отключить компьютеры с ДБО от Интернета и электропитания
Обратиться к профессионалам
PAGE 22 |PAGE 22 |
Спасибо!