Новости

Доклад ЕC3 «Об оценке угроз организованной преступности в сети Интернет» (IOCTA-2016)

03.10.2016
Доклад ЕC3 «Об оценке угроз организованной преступности в сети Интернет» (IOCTA-2016)

28 сентября 2016 года Европейский центр по борьбе с компьютерной преступностью (European Cybercrime Center, EC3) опубликовал доклад «Об оценке угроз организованной преступности в сети Интернет» («Internet Organised Crime Threat Assessment, IOCTA-2016»), в котором на основе анализа отчетов компаний в сфере информационной безопасности рассмотрены основные характеристики современных компьютерных угроз в отношении как промышленного сектора, так и простых граждан. Доклад призван проинформировать правоохранительные органы о том, как более эффективно бороться с компьютерной преступностью и повышать степень защиты Интернет-сообщества от угроз информационной безопасности.

«IOCTA-2016» является обновленной версией предыдущего доклада («IOCTA-2015») и более подробно рассматривает те же самые ключевые вопросы: компьютерные атаки, мошенничество с электронными платежами и кредитными картами, а также использование сети Интернет в целях сексуальной эксплуатации детей. Кроме того, затрагиваются смежные темы: незаконное обналичивание денежных средств и социальная инженерия.

Отмечается, что в 2016 году объем, масштаб компьютерных преступлений, а также материальный ущерб от них в некоторых странах ЕС могут превышать соответствующие показатели «традиционных преступлений».

Угрозы

В докладе отмечены основные тенденции в области компьютерной преступности:
  1. Вытеснение программами-вымогателями других модификаций вредоносного программного обеспечения (ВПО), таких как банковские троянские программы. Программы-вымогатели становятся ключевой угрозой как для граждан, так и для предприятий. Согласно отчету, к наиболее распространенным типам ВПО относятся:
    • Программы-вымогатели («Cryptowall», «CTB-Locker», «Teslacrypt», «Locky», «Blackshades.NET»);
    • Банковское ВПО и троянские программы, предназначенные для сбора конфиденциальной информации («Dridex», «Citadel», «Dyre);
    • Инструменты удаленного доступа («DarkComet»);
    • Наборы эксплойтов («Angler», «Nuclear»»);
    • Программы-загрузчики.

    Согласно отчету, в 2016 году для борьбы с программами-вымогателями правоохранительными органами ЕС (ЕС3, полиция Нидерландов) в сотрудничестве с частным сектором был создан и запущен портал «No More Ransom» (nomoreransom.com). Целью этой инициативы является информирование общественности об опасностях, связанных с программами-вымогателями, и оказание помощи жертвам данного ВПО по восстановлению своих данных без уплаты выкупа злоумышленникам.
  2. Продолжение роста коммерциализации криминальных услуг (crime-as-a-servece). «Черный рынок» компьютерной преступности предлагает широкий спектр товаров и услуг: наборы эксплойтов, украденные персональные данные и данные кредитных карт, информация о скомпрометированных серверах, продажа и аренда бот-сетей, услуги по проведению компьютерных атак типа «распределенный отказ в обслуживании» (DDoS-атак), услуги по взлому компьютерных сетей.
  3. Активное использование злоумышленниками (в том числе террористическими группировками) в целях сокрытия преступной деятельности: невидимого поисковыми системами сегмента сети Интернет («darknet»), средств обезличивания («анонимайзеры») и шифрования данных, механизмов защиты коммуникаций и транзакций, методов стеганографии, а также виртуальной криптовалюты (bitcoin). Всё это существенно затрудняет судебное расследование преступлений.
  4. Появление организованных преступных группировок, использующих скомпрометированные данные платежных карт, в основе которых лежит технология беспроводной высокочастотной связи малого радиуса действия (Near field communication, NFC). Ряд группировок разрабатывает и реализует (в «darknet») программное обеспечение, позволяющее загрузить на Android-устройства данные скомпрометированных NFC-карт и использовать их для оплаты покупок в любых магазинах, поддерживающих технологию NFC. Это является показателем скорости, с которой злоумышленники адаптируются к появлению новых технологий и начинают использовать их в своих целях.
  5. Появление фишинговых кампаний, где в качестве элемента социальной инженерии используется рассылка писем от имени генеральных директоров крупных компаний (т.н. «CEO fraud»). Фишинг подобного рода может приводить к существенным потерям (финансовым, репутационным) целевых организаций.
  6. Рост интенсивности и сложности DDoS-атак. Если в 2015 году рекордная мощность DDoS-атак составляла 300 Гбит/с, то в 2016 году уже зафиксированы DDoS-атаки с трафиком свыше 600 Гбит/с. Кроме того, на «чёрном рынке» компьютерной преступности распространены предложения «DDoS-атака как услуга» (DDoS-as-a-service).
  7. Данные остаются ключевым товаром злоумышленников. Атаки, целью которых является похищение данных, по-прежнему нацелены в первую очередь на получение финансовой информации, затем следуют данные медицинских учреждений и интеллектуальная собственность. Зачастую похищенные данные шифруются с целью получения выкупа.
  8. Криптовалюта (bitcoin) остается инструментом, наиболее часто используемым компьютерными преступниками в качестве оплаты преступных услуг и получения выкупов от жертв программ-вымогателей.
  9. Вредоносные программы для мобильных устройств по своему характеру, уровню сложности и способу распространения всё больше приближены к ВПО для обычных ПК.
  10. В следствие груминга или приемов социальной инженерии дети всё чаще становятся жертвами сексуального насилия и вымогательства.
  11. Банковские EMV-карты («чипованные»), блокирование операций в определенной географической зоне (geoblocking) и другие механизмы безопасности, внедряемые финансовыми институтами, в настоящее время снижают уровень мошенничества с банковскими картами в Европе, вынуждая преступников проводить мошеннические схемы в других регионах (Северной и Южной Америках, Юго-Восточной Азии). Вместе с тем продолжают развиваться и увеличиваться атаки на банкоматы.
  12. Увеличивается число т.н. платежных операций без присутствия карты (Card not present transaction, CNP), при которых держатель карты не присутствует во время и в месте проведения оплаты. Это затрагивает различные типы сделок: оплата авиабилетов, покупки в интернет-магазинах, аренда автомобиля или жилья.
  13. Появление новых направлений для проведения компьютерных атак в связи с ростом числа подключенных устройств из сферы «Интернет вещей». (персональные маршрутизаторы, веб-камеры, телевизоры и принтеры).

Рекомендации

В докладе представлен следующий перечень мер по противодействию современным вызовам и угрозам в сфере компьютерной безопасности:

  • Развитие сотрудничества по обмену сведениями об инцидентах и вредоносных программах, а также при проведении исследований инцидентов между правоохранительными органами, частным и финансовым секторами, компаниями в сфере обеспечения информационной безопасности и научными учреждениями.
  • Взаимодействие правоохранительных органов различных государств, в том числе, не входящих в Европейский союз.
  • Предоставление государствами-членами Европейского союза образцов вредоносных программ в систему анализа ВПО (Europol Malware Analysis System, EMAS).
  • Взаимодействие правоохранительных органов с провайдерами с целью своевременного обнаружения, блокирования и удаления противоправного контента.
  • Повышение квалификации сотрудников правоохранительных органов (в частности, обучение методам сбора цифровых доказательств), своевременное информирование их о новых угрозах и обеспечение соответствующими ресурсами и средствами.
  • Участие правоохранительных органов в кампаниях по повышению осведомленности пользователей сети Интернет о методах совершения компьютерных атак, способах защиты от них и базовых стандартах информационной безопасности (в том числе профилактическая работа в школах). Кроме того, описывается необходимость информирования потенциальных компьютерных преступников – людей, вовлекаемых в противоправную деятельность, о последствиях.
  • Установление базовых стандартов информационной безопасности для автоматизированных систем управления производственными и технологическими процессами критически важных объектов (АСУ ТП КВО).
  • Проведение тщательных расследований инцидентов и ВПО правоохранительными органами (а не просто сбор информации о жертвах).
  • Выявление и блокирование правоохранительными органами интернет-ресурсов и форумов, на которых злоумышленники обмениваются информацией.
  • Согласование законодателями и политиками совместно с представителями промышленности вопроса о применении пользователями шифрования в целях защиты конфиденциальной информации без ущерба для работы правоохранительных органов по расследованию угроз национальной безопасности.
  • Со стороны промышленности необходимо проведение работ по устранению существующих недостатков безопасности в программном обеспечении и аппаратных средствах, а также учитывание современных угроз безопасности при разработке новых устройств, в том числе из области «Интернет вещей».
  • Внедрение эффективных каналов для предоставления компаниями-жертвами в правоохранительные органы онлайн-отчетности о совершенных в их отношении компьютерных преступлениях. В частности, говорится о необходимости участия операторов критической инфраструктуры в реализации директивы «Сетевая и информационная безопасность» (Network and Information Security, NIS), предложенной Европейской комиссией в феврале 2013 года в рамках стратегии в области кибербезопасности для ЕС.

В качестве примера успешного сотрудничества всех заинтересованных сторон в отчете упоминается Объединенная целевая группа по борьбе с компьютерной преступностью (Joint Cybercrime Action Taskforce, J-CAT). Целью данного альянса является трансграничное расследование компьютерных преступлений и скоординированное совместное противодействие ключевым угрозам компьютерной безопасности, в числе которых: разработка и распространение ВПО, создание бот-сетей, интернет-мошенничество, несанкционированное проникновение в компьютерные сети и др.

Кроме того, в качестве примера удачного решения государственно-частного партнерства упоминается про создание «в некоторых странах специальных подразделений финансовых CERTs – “FinCerts”, сосредоточенных на вопросах финансового сектора».