3. Киберпреступность: недавнее прошлое
Разработчики Актив Результат
Инструменты
атак Слава
Скомпрометиро-
ванные хост или
приложение Кража
Вредоносное ПО
Черви
Шпионаж)
Скомпрометиро-
Вирусы ванное
окружение
Трояны
4. Эволюция угроз
Malware
Вирус Шпионское (трояны, кейл Эксплоиты
ПО оггеры, скрипт
ы)
Исследования Вредоносные Web и социальные Вредоносные
NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз
5. Эволюция тактики реализации угроз
Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)
Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся
не интересует постоянно разработаны модульными, самов
известность и меняются, чтобы специально под вас – осстанавлива-
слава – им важна средства защиты их они учитывают вашу ющимися и
финансовая не отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа
6. Киберпреступность: настоящее
Атаки первой Атаки второй
Разработчики волны Посредники Результат
волны
Инструменты Прямая атака Слава
атак от хакера
Атака на отдельные
системы и
приложения
Шпионаж
Вредоносное ПО
Создание
Заражение ботнетов DDoS
Вымогательство
Черви
Рассылка
Вирусы Спама Месть
Управление ботнетом:
Аренда, продажа Реклама
Трояны Фарминг,
Фишинг/ Сбор DNS Poisoning Мошеннические
информации продажи
Шпионское
ПО Кража
информации Накручивание
Продажа
информации кликов
Мошенничество
$$$ Финансовые потоки $$$
7. Популярный пример жизненного цикла киберпреступности
1. Разработка и тестирование вредоносного кода
2. Вредоносный код объявляется к продаже
3. Вредоносный код размещается на различных сайтах
– Сайты могут быть как специально подготовленные, так и
общепопулярные, но взломанные
4. Вредоносный код загружается на компьютеры пользователей
при посещении зараженных сайтов
– В случае специально подготовленных сайтов используются
партнерские схемы pay-per-install
5. Вредоносный код собирает информацию для продажи (учетные
записи, персональные данные, ключи электронной подписи и
т.д.)
6. Собранная информация используется или продается
14. Криминальный MBA
• Современные киберпреступники эмулируют удачные бизнес-
модели
• Проведение исследований рынка
• Приобретение лучших технологий вместо разработки
собственных
• Борьба за лояльность заказчиков
• Предложение различных продуктов и сервисов
• Партнерские программы
• Профессиональный сервис
15. Где деньги – там бизнес… и бизнес-модели!
• Бизнес-модель – это стратегический план, который претворяется
в жизнь через организационные структуры, процессы и системы
• Бизнес-модель состоит из 9 обязательных элементов
– Потребительский сегмент
– Ценностное предложение
– Каналы сбыта
– Взаимоотношения с клиентами
– Потоки поступления доходов
– Ключевые ресурсы
– Ключевые виды деятельности
– Ключевые партнеры
– Структура издержек
• Говоря о киберпреступности, обычно рассматриваются все эти
элементы по отдельности
16. Шаблон бизнес-модели
Ключевые Ключевые Ценностные Взаимоотношения Потребительские
партнеры виды деятельности предложения с клиентами сегменты
Ключевые Каналы сбыта
ресурсы
Структура издержек Потоки поступления доходов
17. Потребительские сегменты
• Клиенты – сердце любой бизнес-модели
– Киберпреступники
• Владельцы ботнетов
• Спамеры
• Кардеры
• Мулы (дропперы)
• Разработчики вредоносного ПО и т.д.
– Компании, покупающие информацию об уязвимостях
– Компании-производители продуктов и услуг
• Потребности (для киберпреступников)
– Быстрота
– Скрытность
– Автоматизация
– Гибкость
18. Ценностное предложение
• Какие товары и услуги представляют ценность для каждого
потребительского сегмента?
– Какая ценность предлагается потребителю?
– Какие проблемы помогают решить потребителю?
– Какие потребности удовлетворяются?
– Какие продукты и услуги предлагаются потребителю?
• Кражи банкоматов, скимминг и т.п. ценности уже не представляют
– мороки много, а прибыль небольшая
19. В чем ценность продуктов для киберпреступников?
• Новизна и инновации
• Производительность
• Изготовление на заказ
• Доработка и поддержка
• Скрытость
– Заказа и работы покупаемого продукта
• Автоматизация, удобство, гибкость
• Концентрация на профильном бизнесе – остальное делает заказчик
• Цена
– Снижение расходов (хостинг, сдача в аренду бот-сетей и т.п.)
• Снижение рисков (хостинг в «толерантных» странах)
• Доступность
– Для новых категорий клиентов (автоматизация и тулкиты)
20. Пример: инновации в спаме
• Рост сложности
– Фокусировка
– Скрытые ссылки
• Новые вектора
– SMS vishing
– IM SPAM (SPIM)
– Социальные сети
– Spam over IPT (SPIT)
– Spam over blog (splog)
• Социальный инжиниринг
• 50% пользователей
открывают спам или
кликают по ссылкам в
нем
21. Спам vs фишинг
• Объем спама снижается
• Объем фишинга растет
• Целевые атаки на более
ценные объекты более
выгодны
27. Пример: ценность в управлении
• Консоль управления Sheldor
– Входит в пятерку самых распространенных банковских троянов в
России и других странах СНГ
32. Каналы сбыта
• Собственные / Партнерские
• Прямые – большая прибыль, но дороже организация и
управление
– Торговые агенты
– Продажи через Интернет
• Непрямые – меньшая прибыль, но больший охват
– Фирменные магазины
– Партнерские магазины
– Оптовики
33. Различные каналы распространения вредоносных
программ
• Заражаются посещаемые
и популярные сайты
• По данным Лаборатории
Касперского осенью 2011-
го года оказались
зараженными сайты
– ОАО «РЖД» (180000
посетителей в день)
– ИД «Комсомольская
правда» (587000)
– ИД «Свободная
пресса» (276000)
– Экспресс газета
(263000)
– Интерфакс
38. Простая реклама инструментов рассылки спама
• Еще в 2003г. появились коммерческие программы для рассылок
спама, такие как: Dark, Revolution и Reactor Mailer
40. Установка фальшивого антивируса через партнеров
• Установка adware через ботнет – $0.3-1.5 за одну копию ПО
• Установка malware через ботнет – от $3 (CH) до $140 (US)
41. Пример: партнерская сеть Bakasoftware
• Партнерская сеть по продаже
scareware Day 1
– Рекламируется на GlavMed Day 2
Day 3
• Партнеры загружают Day 4
scareware на зараженные Day 5
компьютеры и получают Day 6
комиссию 60% c продаж Day 7
Day 8
– Русские IP не заражаются
Day 9
• Объем продаж за десять дней Day 10
$147K (154 825 установки и 2 Total
772 продажи)
– Платит 1-2% зараженных
пользователей
Статистика продаж Bakasoftware
за 10 дней
• $5M в год
Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
47. Потоки поступления доходов
• За что готовы платить потребители?
• Типы доходов
– Разовые сделки
– Регулярный доход от периодических платежей, получаемых от
клиентов за ценностные предложения или постпродажное
обслуживание
• Виды
– Продажа активов
– Плата за использование
– Оплата подписки
– Аренда/лизинг
– Лицензии
– Процент от сделки
– Реклама
50. Монетизация Koobface
• Вредоносный код перехватывает учетные записи пользователей
в социальных сетях и рассылает вредоносные ссылки
• Вредоносный код «говорит» пользователю, что он инфицирован и
должен приобрести антивирус для лечения его ПК
51. Разные доходы от одного продукта – ботнета
DDoS
Сдать в
аренду Рассылка
спама
Создание Установка Продажа
Ботнет Использовать PAN
ботнета scareware
Кража Продажа
данных account
Продать
Продажа
Стоимость Фишинг ПДн
$0.5 за бот для небольших ботнетов
$0.1-0.3 за бот для крупных ботнетов
Поисковый
Аренда спам
$2000 в месяц за 1000 писем в минуту
52. Пример: продажа ПДн
• А вы храните
отсканированные
копии паспорта на
компьютере?
• А копии
кредитных
карт, страховых
свидетельств, ИН
Н, СНИЛС?
• А вы не
боитесь, что по
этим данным кто-
то получит кредит
или откроет счет?
53. В России и СНГ это тоже есть
• Стоимость ПДн
– Жителя США/Канада – $5-8
– Жителя Евросоюза – $10-15
• Паспортные данные жителя
России - $150
54. Ценообразование
• Фиксированные цены
Учетная
– По прайс-листу запись в
– В зависимости от характеристик продукта/услуги банке
– В зависимости от потребителя
– В зависимости от величины закупки Украсть Продать
• Свободные цены деньги учетную
самому запись
– Договорная цена
– Управление доходами
– Аукцион Фиксированная % от суммы
цена ($1-1500) на счете
Цена на запись
зависит от
количества
55. Немного цифр
• Стоимость DDoS-атаки
– От $50 до $1000-2000 в сутки
• Стоимость e-mail
– $20-100 за базу из 1М адресов электронной почты
– Стоимость спамерской рассылки – $150-200 на 1М адресов
– Спам по 90000 в СПб - $55
– Спам по 6М россиян - $150
– Спам по 450К украинцев - $50
– Спам по 4М пользователей @mail.ru - $200
• Стоимость учетных записей платных ресурсов
– $7-15 за учетную запись популярного онлайн-магазина
• 16-17% кликов по рекламным ссылкам мошеннические
• Редиректы - $0.5-1 за тысячу пользователей
59. И еще немного цифр
• Стоимость разработки
уникального «простого»
вредоносного ПО, который будет
неизвестен антивирусным
производителям в течении 2-3
дней – $800-1000
• Стоимость разработки
банковского трояна – $900-5000
• Стоимость проверки
вредоносного ПО на
необнаруживаемость - $500
• Доработка ботнета «под себя» –
$500-1000
• Взлом Web-сайта – от $50
60. И вновь о цифрах
• Массовое распространение
троянской программы – от $20 на
1000 пользователей
• Поиск уязвимости для
мобильного телефона – от $5000
• Поиск уязвимости в SMS-сервисе
– от $1000
• Взлом почтового ящика – от $45
• Аренда FastFlux-хостинга –
$1000-2000 в месяц
62. И опять цифры
• Номер кредитной карты с CVV или PIN - $500
– А без CVV - $5-25
• Реквизиты доступа к банковскому счету - $80-300
• Счет в системе электронных платежей - $5
64. Деньги играют важную роль, но есть и другие мотивы
Кибер- Кибер- Хактивисты Писатели Старая Фрикеры Самураи Script Warez
террористы воины malware школа kiddies D00dz
Сложность
+ + + + +
Эго
+ + + +
Шпионаж
+ +
Идеология
+ + + + +
Шалость
+ + +
Деньги
+ + + + +
Месть
+ + + +
Источник: Furnell, S. M
• Отсутствие желания заработать не означает отсутствие бизнес-
модели
– Anonymous, Lulzsec демонстрируют это в полной мере
67. У каждого своя роль
• Менеджер по продажам • Дроп (разводной / неразводной)
• Кассир • Дроповод
• Маркетолог • Обнальщик
• Логист • Заливщик / Даунлоадер
• Водитель • Селлер
• HR • Abuse-хостер
• Генеральный директор • Гарант
• Айтишник • Кодер
• Охранник
• Инженер
• Разработчик
68. Ресурсов надо не так много – их можно купить
• Smartbot.Net Malware
– Opened CD-ROM tray
– ―If your cd-rom drive’s open . . .you
desperately need to rid your system of
spyware pop-ups immediately! Download
Spy Wiper now!‖
– Spy Wiper продавался за $30
• Рассылка спама через
Twitter/Facebbok/MySpace
– Фишинг и кража паролей
– Заработок свыше $500K
Сэнфорд Вуоллэс
71. Производство и разрешение проблем
Mpack как коммерческий проект основан в 2006г. тремя Русскими
программистами.
Стоимость продукта с годовой подпиской на обновления $500 – $1000
Q: Как вы получаете эксплойты?
A: Для нашего продукта мы используем два основных метода:
1. Друзья присылают нам любые материалы найденные в Интернете,
купленные, или полученные от других.
2. Анализ публично анонсированных уязвимостей и POC-эксплойтов.
Иногда мы платим за эксплойты. Средняя цена за zero-day уязвимость в
Internet Explorer составляет $10 000 в случае хорошей эксплуатации.
Q: Ощущаете ли вы чувство вины перед жертвами заражений?
A: Я ощущаю, что мы лишь фабрика по производству оружия.
Источник: http://www.securityfocus.com/news/11476
75. У создателей malware проблемы те же
• Разработка ПО (вредоносного)
– Документирование изменений
– Внесение изменений
– Развитие функционала
– Учет потребностей клиентов и рынка
• Борьба с конкурентами
– Защита своего кода от кражи со стороны хакеров-альтруистов
– Защита своего кода от кода конкурентов путем встраивания
мини-антивируса
76. Ключевые партнеры
• Оптимизация и экономия в сфере производства
• Снижение риска и неопределенности
• Поставки ресурсов и совместная деятельность
• Типы партнеров
– Abuse-хостеры
– Гаранты
– Владельцы ботнетов
– Владельцы анонимных прокси
– Владельцы Fast-Flux-хостинга
– Продавцы трафика
– И т.д.
77. Структура издержек
• Какие наиболее важные расходы предполагает бизнес-модель?
• Какие из ключевых ресурсов наиболее дороги?
• Какие ключевые виды деятельности требуют наибольших затрат?
79. Структура издержек спама
Показатель Значение Показатель Значение
Послано спама 40.000.000 Хостинг $230
Click-through ratio 0.12% 4 дня аренды $6800
Соотношение 1/200 ботнета
продаж Стоимость базы $4000
Всего продаж 240 e-mail
Объем продаж $37440 Затраты $11030
Комиссия 50%
спаммера
Доход $18720
Прибыль - $7690 в неделю
80. Структура издержек на банковских троянах
• Стоимость RDPdoor - $2000
• Стоимость Sheldor - $2500
• Стоимость Carberp - $9000
• + аренда Abuse-хостинга
• + наем мулов
$26.475.929,32
$24.436.243,86
81. И еще пример заработка на ботсетях
$1.733.492,43 за 1.5 года
82. Криминальный арбитраж
• Задача гаранта — быть независимым и гарантировать получение
услуг/товаров покупателем и денег продавцом
Разработчик Кардеры
malware
Разработчик Вымогатели
ExploitKit Владелец
Гарант Гарант
ботнета
Упаковщик Конкуренты
malware
Спамеры
Abuse-хостер
83. Вывод денег
• Мулы (дропперы) – люди, найденные через
Интернет, используемые для снятия/обналичивания/перевода
денег
– Рекрутинг на сайтах, в социальных сетях, через спам
– Составление трудовых договоров на снятие денег в банках, а не
на преступную деятельность
• Мулы открывают банковские счета, а затем переводят
полученные через троянцев (например, Zeus) или вручную деньги
на указанные счеты
– Также возможно обналичивание средств, перевод средств на
мобильные телефоны, использование систем мгновенных
переводов, системы электронных платежей и т.д.
• Получают процент от перечисленных средств
– Открывают счета на свои или украденные ПДн
84. День из жизни мула (дроппера)
Мне нужна
работа Мул
арестовывается
или уходит с
работы
Нанимается
и передается
дропповоду
Дроповод получает Мул получает
деньги или вновь деньги и
переводит их переводит их на
указанные счета
Дроповод
Дроповод или
координирует
обеспечивает обналичивает
трансфер денег от
мула операторов к мулам
инструкциями
для открытия
банковского
счета
88. My Canadian Pharmacy ориентируется на потребности
• В США запрещена безрецептурная продажа многих лекарств
– Каждый поход к врачу за рецептом стоит денег
89.
90. Реальный адрес офиса My Canadian Pharmacy
1592 Wilson Avenue
Toronto, ON M3L 1A6
• Доход от продажи плацебо или фальсифицированных лекарств
составляет не менее $100M в год
91. Спам и фишинг для рекламы «Виагры»
• Ботнет Storm отправлял различные спамерские рассылки,
включая
– Фишинг банков
– Рекрутинг мулов (дропперов)
– Фрамацевтический спам, рекламирующий Canadian Pharmacy (до
80% всех рассылок Storm)
93. Самообслуживание на Spamit.com
• Сервис Spamit.com управляет спам-доменами
– Регистрация доменов для рассылки спама, создание записей
DNS, серверов NS, Web-сайтов
– Владельцы ботнетов, используют сервис Spamit для
мониторинга сайтов и доходов от рассылки спама
• Доход фармадилеров – 40% от успешной сделки
94. Российский GlavMed связан с Spamit.com
GlavMed is a BEST way to convert your pharmacy traffic into real money. Forget
about miserable sums you're getting sending your visitors to PPC pharmacy.
You're loosing at least half of YOUR money converting traffic like this. GlavMed
offers you a possibility to eliminate any agents and sell most popular pharmacy
products directly. It means 30-40% revenue share.
96. Троян/ботнет Zeus
• Автор – предположительно Россия или страна бывшего СССР
• Известна с 2007-го года
– Первоначально продавался на «черном» рынке с адаптацией под
требования заказчика
• Высокий уровень модификации кода Zeus
– До несколько тысяч версий в месяц
– Доступен конструктор ботнета
– Модульная структура
• Троян работает с системами Интернет-банкинга и системами
электронных денег
– Кража ПДн, учетных записей, ключей ЭП, сертификатов,
передаваемой платежной информации
– Фишинг
• Средняя стоимость – €1.5-10K (зависит от модулей)
97. Zeus – одна из последних успешных бизнес-моделей
99. Первый случай функционирования Zeus
• Казначей из Кентукки получил Zeus на свой ПК
• Злоумышленник украл реквизиты доступа и получил доступ к
банковскому счету с компьютера казначея
– Мул (дроппер) был найден на Careerbuilder.com
– Мул «заведен» как фиктивный работник
– Мул получил $9700 и послал $8700 в Украину через Western
Union
• Более 25 снятий со счета сумм <$10,000
• Общая сумма потерь $415K
– Владелец данной копии Zeus заработал 90%
– Мул заработал 10%
100. Конфиг Zeus – пример настройки под нужды клиента
• По умолчанию Zeus крадет все поля в формах
• Каждый контролер ботнета может быть настроен на жертву
Красть отсюда
• А могут быть и исключения
Отсюда не красть
101. Демонстрация ценности: популярность ZeuS
• Несколько сотен центров управления зафиксировано на ZeuS
Tracker
• Примерно 1.6M ботов в ботнетах на базе ZeuS
• 960 банков в числе жертв
• Топ5 банков США – на каждый из них нацелено около 500
ботнетов ZeuS
– По данным Cisco
• 88% компаний Fortune 500 пострадали от ZeuS
– По данным RSA
• Небольшие компании больше подвержены действиям ZeuS ввиду
отсутствия адекватных средств защиты
• Российские компании пока не так активно попадают в прицел
ZeuS (по сравнению с иностранными)
– Патриотизм или банальная ориентация на денежные страны?
103. На смену ZeuS пришел Carberp
• ZeuS (как и SpyEye) получил преимущественное
распространение за пределами России – у нас активно
используется Carberp
• В конце 2011 появились ZeuS/SpyEye-модули для российских
банков
108. Киберпреступники постоянно меняют бизнес-модель
• MetaQuotes занимается
разработкой ПО для
финансовых рынков
• MetaQuotes готова
платить за участие
пользователей в
облачных вычислениях
• Троян Trojan-
Downloader.Win32.MQL5M
iner.a скачивает ПО
MetaQuotes на ПК жертвы
• Деньги за участие в
вычислениях идут автору
трояна
109. Старые методы уже не работают
Мотивация Известность Деньги
Метод Дерзко Незаметно
Фокус Все равно Мишень
Средства Вручную Автомат
Результат Подрыв Катастрофа
Тип Уникальный код Tool kit
Цель Инфраструктура Приложения
Агент Изнутри Третье лицо
110. Индустрия киберпреступности похожа на ИТ
• Высокообразованные специалисты взаимодействуют между
собой для создания новых вредоносных программ
• Для управления большими проектами используются
специализированные средства разработки ПО, контроля версий и
взаимодействия разработчиков
• Разработчики вредоносных программ ничем не отличаются от
таких же в ИТ-индустрии
• Обмен информацией и талантами при совместной работе дает
гораздо больший эффект, чем работа в одиночку
• Большие заработки не оставляют надежды на самостоятельное
прекращение этого бизнеса
111. Что делать?
• Это уже не детские шалости и бороться в одиночку с этой
проблемой потребители не в состоянии
• Технические средства также не в состоянии решить эту проблему
– В цикле «проактивные действия – активная защита –
реагирование» технические решения направлены, как правило,
на вторую стадию
• Любой бизнес может быть прекращен или снижен его масштаб
устранив основные причины его возникновения и способы
получения прибылей
– Если удастся заблокировать перевод украденных денежных
средств, то у киберпреступников пропадут стимулы участвовать в
данной бизнес-модели
• Нужно сделать киберпреступление дорогим или опасным
– Это выбьет почву из под ног киберпреступников
112. Взаимодействие банков и провайдеров
• Необходимо активное взаимодействий операторов связи
(провайдеров Интернет-услуг) и банков, а также
специализированных компаний, занимающихся расследованием
преступлений и разработкой средств защиты
– Уязвимым местом в бизнес-модели является обработка
платежей за киберпреступления
• Если
– вооружить банки черными списками продавцов, использующих
спам
– убедить банки блокировать процессинг в пользу онлайн-
сервисов, запятнавших свою репутацию
• киберпреступники лишатся механизма получения доходов, а с
ними и те, кому они платят за разработку инструментания
• Но… нужна помощь государства
113. Необходимо участие государства и регуляторов
• Создать единую площадку для оперативного обмена
информацией о хищениях или покушении на хищения денежных
средств
• Разработать единый порядок взаимодействия операторов по
переводу денежных средств в таких инцидентах
• Разработать оперативный механизм блокирования
последующего вывода денежных средств на счета «мулов», а
также механизм возврата украденных средств
• Внести изменения в нормативно-правовые акты в части
квалификации компьютерных преступлений и определения
времени и места окончания преступления
– Необходим регламент проведения расследования таких
преступлений
• Провести обучение сотрудников правоохранительных и судебных
органов в области киберпреступлений
The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization. 60% believe they don’t need to be in the office to be productive66% would accept a lower-paying job (10%) for more work flexibility45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)45% of IT professionals unprepared to make workforces more mobile57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization. 60% believe they don’t need to be in the office to be productive66% would accept a lower-paying job (10%) for more work flexibility45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)45% of IT professionals unprepared to make workforces more mobile57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
Criminals are using their business acumen ("Cybercrime MBA") to maximize innovation and profits across a portfolio of criminal techniques and business modelsWe lack the framework to analyze criminal businesses at a macro levelThe CROI Matrix plots techniques and business models that make up the cybercrime product life cycle according to their growth and revenue potentialModeled on the Boston Consulting Group Growth-Share Matrix-- highlight how things are moving – phishing 1.0 (inoculation) into Zeus and money mules (due to better payment security), IM > Social networking, web exploits – major, developing technique, cash cows = less change…clockwise movementif they made into it rising star status…- DDoS got a lot of ink. Not part of the investment, a side benefit,
Criminals are using their business acumen ("Cybercrime MBA") to maximize innovation and profits across a portfolio of criminal techniques and business modelsWe lack the framework to analyze criminal businesses at a macro levelThe CROI Matrix plots techniques and business models that make up the cybercrime product life cycle according to their growth and revenue potentialModeled on the Boston Consulting Group Growth-Share Matrix-- highlight how things are moving – phishing 1.0 (inoculation) into Zeus and money mules (due to better payment security), IM > Social networking, web exploits – major, developing technique, cash cows = less change…clockwise movementif they made into it rising star status…- DDoS got a lot of ink. Not part of the investment, a side benefit,
Criminals are using their business acumen ("Cybercrime MBA") to maximize innovation and profits across a portfolio of criminal techniques and business modelsWe lack the framework to analyze criminal businesses at a macro levelThe CROI Matrix plots techniques and business models that make up the cybercrime product life cycle according to their growth and revenue potentialModeled on the Boston Consulting Group Growth-Share Matrix-- highlight how things are moving – phishing 1.0 (inoculation) into Zeus and money mules (due to better payment security), IM > Social networking, web exploits – major, developing technique, cash cows = less change…clockwise movementif they made into it rising star status…- DDoS got a lot of ink. Not part of the investment, a side benefit,
Criminals are using their business acumen ("Cybercrime MBA") to maximize innovation and profits across a portfolio of criminal techniques and business modelsWe lack the framework to analyze criminal businesses at a macro levelThe CROI Matrix plots techniques and business models that make up the cybercrime product life cycle according to their growth and revenue potentialModeled on the Boston Consulting Group Growth-Share Matrix-- highlight how things are moving – phishing 1.0 (inoculation) into Zeus and money mules (due to better payment security), IM > Social networking, web exploits – major, developing technique, cash cows = less change…clockwise movementif they made into it rising star status…- DDoS got a lot of ink. Not part of the investment, a side benefit,
Criminals are using their business acumen ("Cybercrime MBA") to maximize innovation and profits across a portfolio of criminal techniques and business modelsWe lack the framework to analyze criminal businesses at a macro levelThe CROI Matrix plots techniques and business models that make up the cybercrime product life cycle according to their growth and revenue potentialModeled on the Boston Consulting Group Growth-Share Matrix-- highlight how things are moving – phishing 1.0 (inoculation) into Zeus and money mules (due to better payment security), IM > Social networking, web exploits – major, developing technique, cash cows = less change…clockwise movementif they made into it rising star status…- DDoS got a lot of ink. Not part of the investment, a side benefit,
Criminals are using their business acumen ("Cybercrime MBA") to maximize innovation and profits across a portfolio of criminal techniques and business modelsWe lack the framework to analyze criminal businesses at a macro levelThe CROI Matrix plots techniques and business models that make up the cybercrime product life cycle according to their growth and revenue potentialModeled on the Boston Consulting Group Growth-Share Matrix-- highlight how things are moving – phishing 1.0 (inoculation) into Zeus and money mules (due to better payment security), IM > Social networking, web exploits – major, developing technique, cash cows = less change…clockwise movementif they made into it rising star status…- DDoS got a lot of ink. Not part of the investment, a side benefit,
Criminals are using their business acumen ("Cybercrime MBA") to maximize innovation and profits across a portfolio of criminal techniques and business modelsWe lack the framework to analyze criminal businesses at a macro levelThe CROI Matrix plots techniques and business models that make up the cybercrime product life cycle according to their growth and revenue potentialModeled on the Boston Consulting Group Growth-Share Matrix-- highlight how things are moving – phishing 1.0 (inoculation) into Zeus and money mules (due to better payment security), IM > Social networking, web exploits – major, developing technique, cash cows = less change…clockwise movementif they made into it rising star status…- DDoS got a lot of ink. Not part of the investment, a side benefit,
Individual applies to an employment ad (e.g., “Work from Home!”) posted on a job site or sent via spam by a money muling operation.The money mule recruiter responds to the applicant via email. The charade may include asking for more detail about the applicant’s experience, and explaining “employment benefits.”The mule reports back to the handler by cell phone or email. The handler tells the mule to await further instruction.The mule is hired and told to work from 9 to 11 a.m. on the first day (which is usually the last day, too). The mule is instructed to open two bank accounts, one for “funds” and one for “salary,” and to provide credentials for accessing the accounts. The mule is also asked to locate local Western Union and Moneygram locations.Once the money muling operatives transfer money from victims’ bank accounts and into the “funds” account, the handler contacts the mule to say the money is ready to be withdrawn and wired.The mule takes the money out of the bank (always less than US$10,000 at a time to help avoid fraud detection), and headsto a Western Union or similar location to make a wire transfer.The money is wired overseas to one or more locations.Money mule operators (or other mules) collect the wired money at overseas location(s). The funds may be wired again to conceal the true destination(s) for the funds.The mule awaits further instruction. From here, the mule is usually abandoned by the handler, and may even be arrested (once fraud is detected) and can go to jail and/or be expected to pay back funds illegally taken from victims’ accounts.Current estimates are ratio of account credentials to available mules could be as high as 10,000 to 1
The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization. 60% believe they don’t need to be in the office to be productive66% would accept a lower-paying job (10%) for more work flexibility45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)45% of IT professionals unprepared to make workforces more mobile57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
