Internetowy czarny rynek

Transkrypt

1 Internetowy czarny rynek Warszawa, 15 października 2008 Michał Kułakowski

2 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 2

3 Kłamstwa, bezczelne kłamstwa i statystyki 3

4 Kłamstwa, bezczelne kłamstwa i statystyki W styczniu 2007 na skutek ataku na grupę TJX (retail) skradzionych zostaje 45 mln rekordów danych dotyczących klientów, w tym numery kart kredytowych 3

5 Kłamstwa, bezczelne kłamstwa i statystyki W styczniu 2007 na skutek ataku na grupę TJX (retail) skradzionych zostaje 45 mln rekordów danych dotyczących klientów, w tym numery kart kredytowych Forrester podaje pomiędzy 90 a 305 USD za rekord. Straty większe niż 1 mld USD 3

6 Kłamstwa, bezczelne kłamstwa i statystyki W styczniu 2007 na skutek ataku na grupę TJX (retail) skradzionych zostaje 45 mln rekordów danych dotyczących klientów, w tym numery kart kredytowych Forrester podaje pomiędzy 90 a 305 USD za rekord. Straty większe niż 1 mld USD Inni analitycy dochodzą do 8 mld 3

7 Kłamstwa, bezczelne kłamstwa i statystyki W styczniu 2007 na skutek ataku na grupę TJX (retail) skradzionych zostaje 45 mln rekordów danych dotyczących klientów, w tym numery kart kredytowych Forrester podaje pomiędzy 90 a 305 USD za rekord. Straty większe niż 1 mld USD Inni analitycy dochodzą do 8 mld TJX jest notowany na giełdzie. Obowiązany jest podać swoim akcjonariuszom estymację i prognozę faktycznie poniesionych kosztów. Zarówno jej zaniżenie jak i zawyżenie pogorszyłoby sytuację. 3

8 Kłamstwa, bezczelne kłamstwa i statystyki W styczniu 2007 na skutek ataku na grupę TJX (retail) skradzionych zostaje 45 mln rekordów danych dotyczących klientów, w tym numery kart kredytowych Forrester podaje pomiędzy 90 a 305 USD za rekord. Straty większe niż 1 mld USD Inni analitycy dochodzą do 8 mld TJX jest notowany na giełdzie. Obowiązany jest podać swoim akcjonariuszom estymację i prognozę faktycznie poniesionych kosztów. Zarówno jej zaniżenie jak i zawyżenie pogorszyłoby sytuację. Opracowanie ukazuje się w sierpniu 2007 i opiewa na 164 mln USD 3

9 CSI Survey 2008 Computer Crime and Security Survey, a.k.a CSI Survey Poprzednio znane jako CSI/FBI 13 lat tradycji, jedno z najczęściej cytowanych badań statystycznych w dziedzinie bezpieczeństwa informacji Dotyczy rynku amerykańskiego i oparte jest na ankiecie przeprowadzanej wśród członków organizacji oraz uczestników konferencji Dzięki stałej i relatywnie wiarygodnej grupie respondentów dobrze pokazuje trendy 4

10 Źródło: CSI Security Survey

11 Źródło: CSI Security Survey

12 Źródło: CSI Security Survey

13 Źródło: CSI Security Survey

14 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 9

15 Zagrożenia wewnętrzne Dawn Capelli z CERT przy Carnegie Mellon University prowadzi badania nad modelami psychologicznymi napastnika działającego z wewnątrz Analizuje ok. 250 udokumentowanych przypadków z baz CERT i FBI Wyróżnia trzy główne typy: Kradzież lub modyfikacja danych dla zysku finansowego Kradzież danych dla uzyskania przewagi biznesowej Sabotaż 10

16 Kradzież danych dla uzyskania przewagi biznesowej Kto Pracownicy techniczni i sprzedaż Mężczyźni Średnia wieku 37 Co Własność intelektualna Dane klientów Bardzo często zdarzenie wiązało się ze zmianą pracy, a więc było jednorazowe 11

17 Sabotaż Kto Stanowiska techniczne Mężczyźni od 17 do 60 lat Ataki te przypuszczone zostały w odwecie za utratę pracy, a więc z zewnątrz przy użyciu wiedzy o podatnościach infrastruktury w organizacji W większości przypadków były możliwe do przewidzenia. Napastnicy dawali swoim zachowaniem wyraźne sygnały na długo przedtem zanim nastąpił atak. 12

18 Kradzież lub modyfikacja danych dla zysku finansowego Kto Pracownicy niskiego szczebla Średnia wieku 33 Kobiety i mężczyźni Co Dane klientów Dane osobowe Bardzo rzadko tajemnica handlowa Dane przeznaczone są na sprzedaż W 50% przypadków związanych z kradzieżą i 30% związanych z modyfikacją atakujący został zwerbowany przez osobę z zewnątrz 13

19 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 14

20 Aktorzy Koderzy twórcy narzędzi Dzieciaki (Kids) siła robocza Nadzorcy mózg operacji Paserzy 15

21 Koderzy Wiek lat 5+ lat doświadczenia w społeczności Sprzedają gotowe do użycia narzędzia Dzieciakom Zarobki w setkach USD za narzędzie/usługę Ograniczone ryzyko (disclaimery) 16

22 Dzieciaki Wiek lat Okupują kanały IRC, na których handluje się numerami kart kredytowych Kupują i sprzedają podstawowe informacje potrzebne do popełniania przestępstw Kilkadziesiąt USD miesięcznego dochodu Oszustwa są bardzo częste Znikomy procent faktycznie dopuszcza się ataków (bariera wiedzy) 17

23 Nadzorcy Powiązania ze światem zorganizowanej przestępczości Działają na granicy prawa Niezmiernie trudni do postawienia przed sądem 18

24 Paserzy Starsi niż Dzieciaki Trudnią się kapitalizowaniem wirtualnych pieniędzy Przelewy są wykonywanie do i z legalnego konta bankowego Zatrzymują ok. 50% wartości transakcji Znaczenie Sieci Zaufania Żyją w krajach, gdzie ich dzialalność nie jest ścigana (Indonezja, Malezja, Boliwia) 19

25 Rynek IRC IM 20

26 Waluta Przekazy pieniężne (Western Union, MoneyGram, etc.) Nieodwracalne Zasięg globalny Anonimowość w niektórych krajach egold ( Nieodwracalny Zasięg Globalny Anonimowy 21

27 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia SPAM Phishing Co dalej? Najważniejsze trendy 22

28 Carding CC Full to żargonowe określenie na numer karty, plus imię i nazwisko właściciela, jego adres, datę wygaśnięcia karty i numer weryfikacyjny (CVV) Dane te mogą być uzyskane w wyniku ataku na sklep trzymający dane swoich klientów lub phishingu CC Full kosztuje 2-5 USD (e-gold) 80% numerów, którymi handluje się na IRC jest nieważnych Znaczenie Sieci Zaufania Numery kupowane są w pakietach Sklep wykorzystywany do zakupów musi być cardable czyli pozwalać na różnicę pomiędzy adresem karty a wysyłkowym. Jednym z większych przykładów jest... amazon.com 23

29 Schemat 24

30 Analiza opłacalności Koszty Zakup 40 ważnych numerów: 200 USD (100 numerów po 2 USD) Opłacenie 10 paserów aby wysłali po jednej paczce tygodniowo: 800 USD Koszty wysyłki (paser): $800 Zyski Sprzedaż dobr na aukcji internetowej: $16,000 ($400 za paczkę) Koszt miesięcznie: USD Przychód miesięcznie: USD Zysk miesięcnie: USD Współczynnik opłacalności (Zysk/Koszt): 8,9 25

31 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 26

32 Zastosowania botnetów Wymuszenia online (DDoS) Spyware Planting (główne źródło dochodów pasterzy ) SPAM Keylogging/Sniffing 27

33 Adware planting Firma A tworzy oprogramowanie wyświetlające reklamy Ogłoszeniodawcy płacą firmie A za liczbę odsłon Firma A płaci swoim partnerom za instalację adware na maszynach użytkowników Pełne spektrum metod od moralnie usprawiedliwionego udostępniania oprogramowania komercyjnego w darmowej wersji wyposażonej w reklamy po współpracę z pasterzami w celu instalacji bez zgody użytkownika 28

34 Schemat 29

35 BetterInternet (przykład) 30

36 Analiza opłacalności Koszty stworzenia botnetu: root na którym utrzymywany będzie kanał kontrolny 15 USD Skradzona karta kredytowa aby zarejestrować domenę: 2 USD Kod bota: 2 USD Uczynienie bota niewidzialnym dla skanerów AV na 1-2 dni 100 USD Świeża lista spamowa 8 USD Mailery do wysłania maili w 6 godzin: 30 USD W sumie: 157 USD (jednorazowo) Przychód (cena instalacji x pojemność botnetu x liczba instalacji w miesiącu): 0.4 x 5000 x 8 = USD/m-c Zysk: USD (pierwszy miesiąc) Współczynnik opłacalności: 102 (pierwszy miesiąc) 31

37 Wymuszenia Za pomocą średniej wielkości botnetu (~ zombie) można z powodzeniem prowadzić ataki DDoS Wynajęcie centrum hostingowego pozwalającego się obronić (szerokie, zwielokrotnione łącza, odpowiednie filtry, etc) kosztuje ok USD/rok Jeżeli działalność ofiary jest silnie uzależniona od dostępności strony, a kwota wymuszenia odpowiednio mniejsza, operacja ma szanse powodzenia 32

38 Analiza opłacalności Koszt budowy 5-10 średniej wielkości botnetów: USD Przychód: USD zakładając 5 szantażowanych firm i średnią wysokość haraczu USD Zysk: USD (rocznie) Współczynnik opłacalności: 32,2 (rocznie) 33

39 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 34

40 Mailer 35

41 Analiza opłacalności: koszty Koszty operacji phishingowej: Zestaw phishingowy: list i strona 5 USD Świeża lista spamowa 8 USD Mailery do wysłania maili w 6 godzin: 30 USD Przestrzeń na przejętym serwerze www na kilka dni: 10 USD Karta kredytowa dla zarejestrowania nazwy domenowej: 10 USD Suma: 63 USD 36

42 Analiza opłacalności - sprzedaż kont Typowo na wysłanych i uzyskać można 20 kont Typowo konto zawierające powyżej USD sprzedawane jest za USD Koszt: 63 USD Przychód: USD Zysk: USD Współczynnik opłacalności: 3,17-31,7 37

43 Analiza opłacalności: realizacja przez pasera Zakładając: paser pobiera 50% szansa na bycie oszukanym 50% suma uzyskanych kont do USD Koszt: 63 USD Przychód: USD Współczynnik opłacalności:

44 Analiza opłacalności: realizacja przez konta zagraniczne Trzy kroki dla uzyskania dwóch poziomów anonimowości Zakup e-gold u za pomocą skradzionego konta ładowanie kart debetowych uzyskanych w zagranicznym banku Wydobycie gotówki Koszt: USD Przychód: USD Zysk: USD Współczynnik opłacalności: 10 39

45 Porównanie opłacalności z perspektywy struktur przestępczości zorganizowanej Skup skradzonych kont Właśni, zaufani paserzy Współczynnik opłacalności na poziomie 400+ Dla porówania w biznesie heroinowym: 10 kg opium kosztuje $100 - $1000 Nadaje się do wytworzenia 850 g heroiny Działka g sprzedawana za 100 USD Współczynnik opłacalności / = 1000 Powyższe nie uwzględnia kosztów przemytu, transportu, ochrony, etc. 40

46 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 41

47 Powrót dialerów? Klasyczne dialery przestały istnieć ponieważ dzisiejsze modemy (xdsl) nie mają funkcji PSTN Wzrost liczby smartphone ów, które są komputerami z funkcjami telefonicznymi 42

48 Schemat 43

49 Analiza opłacalności Pasterz kontroluje botnet składający się z 5000 telefonów - zombie Pasterz ogłasza swój botnet na IRC Właściciel firmy sprzedającej dzwonki oferuje 500 USD w e- gold za operację polegającą na pobraniu przez każdego z botów 10 dzwonków Szanse, że operator anuluje opłatę użytkownikowi, który twierdzi, że nie ściągał dzwonków są minimalne W razie większej operacji można ukrywać zleceniodawcę poprzez pobieranie dzwonków od różnych dostawców i samozniszczenie złośliwego kodu Jeżeli pobrani dzwonka kosztuje 2 USD, generowany jest przychód USD Współczynnik opłacalności:

50 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 45

51 Wnioski Z punktu widzenia cyberprzestępcy atak na użytkownika indywidualnego jest dziś tak samo opłacalny jak na użytkownika korporacyjnego Rozróżnienie pomiędzy tymi dwoma zaciera się ze względu na popularność urządzeń mobilnych w miarę jak te stają się coraz bardziej osobiste Atak aby mógł być skuteczny prowadzony jest w sposób maksymalnie utrudniający wykrycie Pojedyńczy atak może wykorzystywać wiele kanałów propagacji ( , web, IM), zarządzania (IRC, Web, Skype API) czy uaktualnień (http, https na dowolnym porcie) Ataki targetowane stają się faktem 46

52 Pytania?