1

2

Александр СидоровРуководитель сервиса Безопасный Поиск

Борьба с СМС-фродом серой дистрибуцией

вредоносным кодом

3

Сейчас Яндекс защищает отdrive-by-download атаки зашёл на страницу – заразился

мобильные редиректы зашёл с мобильного – сказали обновиться – скачал – поставил – все деньги вылетели

заражённые файлы скачал файл – запустил – заразился

фишинг зашёл на страницу – ввёл логин и пароль от какого-то сервиса – угнали аккаунт

смс-фрод напугали или пообещали подарок – ввел номер мобильного – пришёл код, подтвердил, все деньги вылетели

4

СМС-фрод

Результаты борьбы

5

6

Что такое смс-фрод

7

СМС-фрода стало меньше в 1,6 раза

0100000200000300000400000500000600000700000800000900000

1000000

Посещений сайтов с смс-фродом в сутки

normed visits Linear (normed visits)

Обращений в тех. поддержку Яндекса по смс-фроду

8

Почему смс-фрода стало меньше

• естественные процессы• постоянное детектирование• взаимодействие с сотовыми

операторами• предупреждения в Я.Браузере и

Элементах

9

Что дальше делать с смс-фродом

• снижение в 1,6 раза – это мало

• лучше детектировать• доступ всем через Safe Browsing API

safe.yandex.ru• больше подключать CERT’ы

• приглашаем к сотрудничеству

10

Борьба с серой дистрибуцией

Новая политика Яндекса

11

Примеры серой дистрибуции

4 вида доп. ПО

удаляет ПО и ссылки на конкурентов

удаление пользователем затруднено

восстанавливает себя после удаления

9 видов доп. ПО

только 5 из них можно удалить через «программы и компоненты»

отложенная установка части доп. ПО

основное ПО не работоспособно

12

Что такое серая дистрибуция

1) взять полезное чужое ПО или контент

2) собрать вместе с дополнительным ПО

3) выложить на сайт под видом просто полезного

4) раскрутить сайт

5) заставить пользователя установить всё вместе

6) PROFIT!!! получить деньги за дистрибуцию доп. ПО

7) не поделиться с авторами полезного

13

Почему серая дистрибуция

• отрицательно влияет на пользовательский опыт и экосистему

• паразитирует на разработчиках полезного ПО

• сливается с экосистемами мошенничества и malware

14

В серых дистрибутивах встречается• adware - вставляет на чужие страницы

• навязчивую рекламу• блоки, заражающие компьютер вирусами

• альтернативные магазины мобильных приложений с мобильными вирусами

• fake: антивирусы, оптимизаторы трафика, бэкап-сервисы

• ПО, которое специально удаляет другое ПО без спроса, стирает ссылки, подменяет ярлыки

15

Что будет делать Яндекс

16

Лечение сайтов

yet another script

17

Зачем нужен

• удалять вредоносный код с заражённого сайта – сложно

• не допустить повторения – ещё сложнее

• время без трафика – деньги

• 90% заражений – типовые

• их можно вылечить быстро, автоматически

18

Как работает

1) копируем скрипт на заражённый сервер

2) запускаем

3) получаем диагностику

4) отправляем её– в Я.Вебмастер– в другие сервисы (открытый формат)

5) получаем– рекомендации – готовый скрипт для лечения

19

Будет в этом году, сейчас – альфа

20

Александр Сидоров

Руководитель сервиса

Безопасный Поиск

sidorov@yandex-team.ru

http://safesearch.ya.ru/

Спасибо! Вопросы?