380 likes | 678 Views
Group-IB. Group-IB основана в Москве. Выход на международный рынок. Создан CERT-GIB . Общий штат. Вступила в Leta Group. 7 0 + специалистов. 201 3. 2003. 2010. 2011. 2011. Этапы развития. Российский лидер в сфере Мониторинга и РКП
E N D
Group-IB Group-IB основана в Москве Выход на международный рынок Создан CERT-GIB Общий штат Вступила в Leta Group 70+ специалистов 2013 2003 2010 2011 2011 Этапы развития Российский лидер в сфере Мониторинга и РКП Первая и единственная компания в СНГ, предоставляющая весь спектр услуг в области мониторинга и расследования инцидентов ИБ. Комплекс услуг Прединцидентный консалтинг; Реагирование; Криминалистика; Расследование; Юридическое сопровождение; Постинцидентный консалтинг. Резидент Сколково Проект — комплексная система противодействия киберпреступностиCyberCop. Первый 24/7 CERT в Восточной Европе CERT-GIB — первый частный круглосуточный центр реагирования на инциденты ИБ в России.
Глава 28 УК РФ: правоприменение • Евгений Аникин • Игорь Блинников • Михаил Гаврилов похитил с клумбы 20 кустов роз и 15 кустов лилий"
Возраст • Nikolay, 1986 – Cahsout service manager • Alexandr, 1983 – Cashout guy • Alexandr, 1988 – Traffer • Marat, 1985 – Loader • Evgeniy, 1984 – Loader • Ruslan, 1989 – Drop guy • Igor, 1983 –Credit cards and fake Companies provider
Схема «обнала» Более 6 млн. руб Происходит расчет со взломщиком. Задействование нескольких «нальщиков» -100% признак безналичных способов, через карты, WM, дропов и т.п. в любых регионах Взломщик (хакер) Регион неизвестен Продает аккаунт заливщику «Заливщик» (вор) Регион неизвестен Заражает компьютер, копирует ключи и реквизиты аккаунта «Заливщик» покупает «дедик», инсталлирует на нем «толстого клиента» или использует его для «тонкого клиента». В обоих вариантах – с ключами и реквизитами потерпевшего. Часть фактических обстоятельств хищения, видимая из материалов первичной проверки Клиент банка (потерпевший) Регион1 Банк, в котором открыт счет Регионе 1 или 2 «Дроповоды» («нальщики») организуют вывод и обналичивание денег. Управляют операциями сами или через иных лиц. Регионы – разные Банковский счет клиента Зараженный компьютер(«дедик») Регион1 или любой Заливщиком даются платежные поручения Моменты и места окончания согласно Постан. № 51 ПВС РФ Моменты и места окончания не опредлены IP-адрес, с которого отдается поручение, посторонний - «дедика» платежи проводятся, т.к. банк считает поручения правомерными Банк «дропа» – юридического лица Регион3 Банк «дропа» – юридического лица Регион4 Виртуальный счет в электронной платежн. системе Регион 5 Счета заведены на разных лиц из разных регионов тремя разными «дроповодами» («нальщиками») Карточный счет «дропа» физ.лица Банковский счет «дропа» юр.лица Денежные средства выводятся и (или) обналичиваются различными способами через различных людей в разных регионах Виртуальный счет абонента у поставщика услуг Регион 6 Банковские и виртуальные счета различных типов на разных лиц в разных регионах
Стратегия партнерства • Мониторинг и предотвращение • Обучение, подготовка кадров • Совершенствование законодательства • Укрепления имиджа России • Консультирование при расследовании • Компьютерная криминалистика • Программное обеспечение – CyberCop
РасследованияДБО • Задержания 14 марта • Задержание 29 апреля • Задержания 16 мая • Задержание 5 июня
Группа Carberp • В тесном сотрудничестве cФСБ и МВДРоссии при содействии Сбербанка России и FOX-IT • Результат расследования – задержана преступная группа из 8 человек • Первый в российской практике случай задержания всех фигурантов группы онлайн-мошенников
Группа Hodprot • В тесном сотрудничестве cФСБ и МВДРоссии при содействии Сбербанка России и ESET • Результат расследования – задержана преступная группа из 7 человек • Мероприятия проводились в нескольких регионах России
Группа Гермеса • В тесном сотрудничестве cФСБ и МВДРоссии • Результат расследования – арестован организатор преступной группы • Ликвидирована крупнейшая банковская бот-сеть России
Братья Попелыш • Хищение 13 млн рублей • Первое уголовное дело по фишингу в России • Результат – условные сроки(6) и штрафы • (450 тр)
Обучение – некоммерческая инициатива Полный цикл образовательных программ Лекции в школах и ВУЗах, организация практики, спецкурсы, олимпиада по компьютерной криминалистике Обучение правоохранительных органов: оперативные работники, следователи Обучение судей Просветительская работа на ТВ и в печатных СМИ
CERT-GIB CERT-GIB Владивосток: GMT+10 CERT-GIB Москва: GMT+4 CERT-GIB Нью Йорк: GMT-5 CERT-GIB: Европа, Северная Америка, Азия Первый 24/7 CERT в Восточной Европе CERT-GIB первый в Восточной Европе круглосуточный центр реагирования на инциденты ИБ. Трансконтинентальная поддержка Группы мониторинга и реагирования присутствуют в разных частях земного шара: Европа Северная Америка Азия .RU, .РФ, .SU: компетентная организация Обладает официальным статусом КЦ РФ по противодействию киберугрозам в Рунете Противодействие следующим типам угроз: Фишинг, СПАМ, DDoS атаки, вредоносное ПО, бот-сети
CERT-GIB:ПАРТНЕРЫ • Microsoft • Skype • Symantec • Abuse.ch • Internet Identity • Web of Trust • Команды CERT/CSIRT
CERT-GIB: АККРЕДИТАЦИЯ Авторизованный пользователь торговой марки «CERT» Статус«Accreditation candidate» В процессе аккредитации
Мониторинг бот-сетей • Только за 2012 по состоянию на 1 ноября год было выявлено 6213юридических лиц,25830 физических лиц.
Общие достижения Сколково
FraudMonitor • Предоставление единого интерфейса регистрации преступлений • Консолидация разрозненной информации по мошенничеству в ДБО • Генерация правил для систем предотвращения мошенничеств • Оперативное оповещение участников системы • Снижение уровня преступлений в сфере электронной коммерции • Ускорение процесс обмена информацией о мошенничестве между банками • Повышение качества и количества раскрываемых преступлений • Предоставление прозрачной статистической и аналитической информации
Регистрируемые данные • Данные из платежного поручения • Связи со схемами «обнала» • Сведения о вредоносном ПО • IP-адреса и MAC-адреса
Данные для предотвращения • Списки «нальщиков», включая цепочки • IP и MAC-адреса злоумышленников • Данные по платежным поручениям
Дальнейшее развитие • Встроенный модуль в CyberСop • Единая площадка совместной работы экспертов и правоохранительных органов • Платформа для создания центра мониторинга угроз • Единая система предотвращения хищений
МЕТОДОЛОГИЯ РАБОТЫ Полный цикл сервисов и проектов по предотвращению преступлений АКТИВНЫЙ МОНИТОРИНГ и ПРЕДОТВРАЩЕНИЕ РЕАГИРОВАНИЕ АНАЛИЗ ЗАЩИЩЕННОСТИ РАССЛЕДОВАНИЕ И СОПРОВОЖДЕНИЕ