Embed Size (px)
Citation preview
Теория и практика защиты бренда
от онлайн мошенничества
Андрей Бусаргин
Заместитель генерального директора по направлению интеллектуальной защиты бренда
Онлайн-угрозы для бренда
Предложения о продаже товаров
с сомнительно низкой ценой
• Мошеннические сайты,
сайты-клоны, фишинг
• Поддельные мобильные
приложения
• Неправомерная реклама
Интернет-мошенничество,
неправомерное использование бренда
• Поддельные аккаунты
и группы в соцсетях
• Ложное партнерство
ТОВАР
НЕ ДОСТАВЛЯЕТСЯ
ТОВАР
ДОСТАВЛЯЕТСЯ
• Предложения
о продаже контрафакта
• Несоблюдение
партнерской политики
Нелегальная онлайн-дистрибуция
• Демпинг
• Серый импорт
Как преступники монетизируют ваш бренд
SSL
сертификат
Доменное имя, созвучное
оригинальномуПоисковая
оптимизация (SEO)
Реклама
• Контекстная
• Баннерная
• В соцсетях
• Через Adware
Спам
• По e-mail
• В мессенджерах
Продвижение в соцсетях
• С помощью поддельных
аккаунтов бренда
• Разгон ботами
• Через лидеров мнений
Логотип,
товарные знаки
Название
компании
Фирменные
цвета
Создание площадки Привлечение трафика
Выявлена схема “Кроличья нора”
“Кроличья нора”
Привлечение трафика
Аккаунт в
Репост в
Переход на
ресурс-
опросник
Покупка базы потенциальных жертв в
даркнете
Покупка
таргетированной
рекламы
Сбор
почтовых
адресов
жертв
Отправка
фишинговых
писемМножество
редиректов
Атака
Кража
данных
Денежные
потери
Загрузка вредоносного
мобильного приложения
Фишинговый
ресурс
Бренд
Нет бренда
Бренд
Бренд
Бренд
Бренд
Мошенническая схема №1
Логика мошеннической схемы №1. «Кража данных»
Регистрация
созвучного
домена
Перенаправление на
официальный домен
1
Создание
генерационного
модуля
Реализация генератора
ссылок на домене или
посредством Telegram-
бота
2
Формирование
временной
ссылки
Использование
зарегистрированного
домена в качестве
основы для генерации
фишинговой ссылки
3
Таргетированная
отправка
пользователю
Целенаправленная
отправка конечной
фишинговой ссылки
пользователю в
мессенджерах, соц. сетях,
по почте или СМС
4
Перенаправление на официальный домен
Генерация мошеннической ссылки: Telegram-бот
Формирование конечной ссылки
Отправка
сгенерированной мошеннической
ссылки пользователю
Нетривиальный подход
• Закрытые мошеннические форумы
• Каналы и боты в Telegram
• Перебор Domain Path
• Непосредственное получение
персональной ссылки (Honeypot,
Spamtrap)
Стандартное выявление
• Доменные имена
• Поисковая выдача
• Рекламные объявления
• Социальные сети
• Мобильные приложения
• Мессенджеры
Как бороться?
Нетривиальный подход к выявлению
Мошенническая схема №2
Логика мошеннической схемы №2. «Оплата мошенникам»
Регистрация
созвучного
домена
Регистрируются сотни
доменов, нацеленных
на десятки популярных
брендов
1
Копирование
дизайна и
конструкции
сайта
Контент на сайте
генерируется
автоматически
2
Подключение
официальных
эквайринговых
систем
После совершения
покупки пользователь
перенаправляется на
официальный платежный
портал
3
Недобросовестное
оказание услуг
или их отсутствие
Услуги и продукты
оказываются
некачесвтенными, чековая
документация отсутствует,
предоставляются поддельные
карты лояльности
4
Сеть ресурсов
Схема насчитывает порядка 250 доменов. Практически все находятся в активной фазе.
Схожий с официальным типовой дизайн сайта-
доставки
Перенаправление на официальные платежные
системы
302 редирект
Что «под капотом»?
Предприниматель по
образу мышления
В схеме может быть задействован
реальный бизнес, к примеру, по
оказанию услуг доставки.
Технические IT-знания
Используется несколько линий
взаимодействия:
владелец – разработчики – колл-центр
– курьерская служба
Юридическая подкованность
Владелец схемы анонимизирован
посредством запутанной цепочки
владения
Знания ограничений
регуляторов
Мошенническая веб-инфраструктура
защищена абузоустойчивыми
сервисами (GoDaddy, ServerPanel)
Как бороться?
Нетривиальный подход к досудебному реагированию
Стандартное
реагирование
• Запросы/претензии:
• Регистратор
• Хостинг-провайдер
• Владелец ресурса
Нетривиальный подход
• Удаление из поисковая выдачи (DMCA)
• Запуск процедуры проверки рег. данных
• Меры по блокировке почтовых сервисов
• Инициация блокировки платёжного шлюза
• «Легкая» процедура UDRP (единая политика)
• Выявление промежуточного хостинг-провайдера
• Блокировка на уровне общедоступных DNS-серверов
• Поверхностная деанонимизация (получение скрытой почты)
• Диалог с потенциальным владельцем через раскрытый канал связи
Каков ущерб?
Оценка Group-IB. Сколько теряют пользователи?
Предполагаемый заработок
злоумышленников с использованием
более 250 ресурсов в схеме
в день
2,7 млн рубСредний заработок злоумышленников
в отношении 5 брендов согласно
информации из 7 источников
в день
720 тыс руб
Схема 2Схема 1
[email protected] facebook.com/GroupIB
+7 495 984-33-64group-ib.ru/blog twitter.com/groupib
Предотвращаем и расследуем
киберпреступления с 2003 года
Андрей Бусаргин
+7 915 350 76 42
