https://securelist.com/analysis/publications/72782/russian-financial-cybercrime-how-it-works/
俄羅斯的網絡犯罪市場聞名全球。我們在這里所說的“俄羅斯犯罪市場”指的是那些擁有俄羅斯國籍或前蘇聯國家國籍的網絡犯罪分子,尤其是烏克蘭和波羅的海諸國。為什么俄羅斯的網絡罪犯會世界聞名呢?其中主要有兩點原因:首先是媒體頻繁地報道俄羅斯地區的網絡犯罪活動。其次,俄羅斯的網絡犯罪分子為了能達成交易,在線開放了他們所使用的通訊平臺,從而宣傳他們的各種“服務”和“產品”,并在上面討論這些服務的質量和應用方法。
長期以來,這個地下市場上的“產品”和“服務”范圍一直在發展,越來越專注于金融類攻擊活動,復雜程度也在逐漸攀升。最常見的網絡犯罪類型之一(曾經是,現在仍然是)是盜取支付卡數據。隨著在線商城和其他電子支付服務的出現,DDoS攻擊和金融犯罪越來越流行,這類攻擊活動的主要目標是用戶的支付數據,或者直接從用戶賬戶或企業賬戶中直接竊取資金。
在2006年,木馬ibank首次攻擊了用戶和企業的電子錢包;然后接踵而來的是ZeuS(2007)和SpyEye(2009),接著是Carberp小組(2010)和Carbanak小組(2013)。這還不是完整的名單,犯罪分子還會利用其他的一些木馬來竊取用戶的錢和數據。
隨著,在線金融交易越來越常見,支持這類操作的企業更容易成為攻擊者的攻擊選擇。在過去的幾年中,網絡罪犯不僅僅會攻擊銀行客戶和在線商城,還會直接利用銀行和支付系統。Carbanak網絡小組專注于攻擊銀行組織,在今年早些時候,卡巴斯基實驗室曝光了這個小組。他們的故事很顯然證明了這一趨勢。
自從他們出現以來,卡巴斯基實驗室的專家們一直在監控俄羅斯的黑客活動。卡巴斯基實驗室會定期就金融網絡威脅發布報告,從而跟蹤金融木馬的數量變化。這些數量信息可以反映問題的嚴重程度,但是不能揭露是誰發動或執行了這些攻擊活動。我們希望我們的評審能更好的闡明金融網絡犯罪活動 。
本文中呈現的數據是卡巴斯基實驗室的專家們在過去的幾年中通過調查俄羅斯網絡犯罪市場獲取到的。
根據卡巴斯基實驗室的統計,在2012年和2015年之間,各個國家的執法部門,包括美國,俄羅斯,白俄羅斯,烏克蘭和歐盟逮捕了160多名俄羅斯的網絡罪犯,這些網絡犯罪分子大都是犯罪小組的成員。他們涉嫌使用木馬來竊取他人的金錢。他們在全球范圍內進行活動,總共造成了7億9千萬美元的財產損失(統計估計根據2012年-2015年之間的金融犯罪活動分析和卡巴斯基實驗室的數據)。在這之中,有5億9百萬美元是從非前蘇聯國家中竊取的。當然,這一數字只包括已經確定的損失,詳細數據是執法部門在調查過程中發現的。實際上,這些網路犯罪分子偷的錢數可能遠遠不止這些。
2012-2015年間,遭逮捕的俄羅斯犯罪分子數量
從2013年開始,卡巴斯基實驗室計算機事件調查小組參與了超過330起網絡安全事件的調查。其中有超過95%的事件都與財產失竊或金融信息有關聯。
雖然,相較于前幾年,在2015年有大量涉嫌參與網絡金融犯罪的俄羅斯犯罪分子遭到了逮捕,但是網絡罪犯市場還是很“猖獗”。據卡巴斯基實驗室的專家們說,在過去的三年中,俄羅斯的網絡犯罪隊伍壯大到了上千人。其中有的是負責搭建基礎設施,有的是負責木馬的編寫和傳播,還有的負責偷錢或提現。但是,大部分被逮捕的犯罪分子并沒有入獄。
我們能準確地計算出一個犯罪小組的核心成員到底有多少人:組織人,負責取現的資金流管理人和專業黑客。在整個地下網絡犯罪市場中,只有大約20名這樣的專業人士。他們會定期訪問地下論壇,并且卡巴實驗室的專家也收集到了大量的有用信息,這些信息表明這20個人是參與在線盜取資金和信息等犯罪活動中的主要角色。
在俄羅斯境內及其鄰國境內實施攻擊活動的確切團體數量是未知的:有大量這樣的犯罪小組參與了偷竊活動,然后,出于各種原因,他們又終止了自己的活動。一些組織在解散后,其成員會加入新的犯罪小組。
卡巴斯基實驗室的計算機事件調查部門現在已經確定,至少有5個主要的網絡犯罪小組在專攻金融犯罪。在過去的幾年中,卡巴斯基的專家們一直在持續監控他們的活動。
在2012-2013年期間,卡巴斯基的專家們注意到了這5個小組,這幾個小組仍然在活動中。這幾個小組的成員數量大都在10-40人之間。其中有至少兩個小組不僅僅會攻擊俄羅斯境內的目標,他們還會攻擊美國,英國,澳大利亞,法國,意大利和德國。
因為,針對這些團體的調查還不完整,所以也無法公布更詳細的活動信息。卡巴斯基實驗室還會繼續調查他們的活動,并與俄羅斯和其他國家的執法機構合作,從而抑制他們的網絡犯罪業務。
通過調查這些小組的活動,卡巴斯基實驗室的專家弄清楚了他們的行動方法以及網絡罪犯的市場結構。
“各種各樣的產品和服務”
在網絡犯罪市場中,常常會有各種各樣用于進行非法活動的“服務”和“產品”。這些“產品”和“服務”會通過專門的在線論壇提供給用戶,大多數這類論壇是不會對其他人開放的。
這些“產品”包括:
“服務”包括:
一般情況下,在網絡犯罪市場中是通過電子支付系統來購買“產品”和“服務”,這樣的電子支付系統有WebMoney,Perfect Money,Bitcoin等。
所有的這些“產品”和“服務”都可以組合銷售,主要是為了進行4類犯罪活動。根據犯罪小組的要求,這些服務還可以進行組合:
卡巴斯基的專家們說,目前傳播范圍最廣的犯罪類型就是資產盜竊。因此,本文主要關注的是俄羅斯犯罪市場中的這一領域。
金融網絡犯罪的“勞動市場”
由于一些“產品”和“服務”要求廣泛的技術,所以,有越來越多的專業勞動市場在參與金融犯罪活動。
幾乎在所有IT公司中,也會需要這些關鍵角色:
在這份列表中并沒有出現犯罪小組的領導者,負責取現的資金流管理人,以及監督套現過程的錢騾子主管。這是因為,這幾個人之間的關系并不是雇傭關系,而更像是合作關系。
根據犯罪企業的類型和影響力,攻擊小組的領導人會通過固定薪金來雇傭 “員工”或與自由業者合作,很據項目來付費。
這是一則發布在某個半開放論壇上的廣告,正在招募一名程序員加入一個犯罪小組。工作要求中包括有編寫復雜bot的經驗。
“這些員工”要么是通過涉及犯罪活動的傳統網站招募的,要么是通過想要以非常規方式賺取的資源來召集。在有些情況下,主流的招聘網站上會出現這樣的廣告,或遠程進行勞動力交換。
總的來說,參與網絡犯罪活動的“員工”有兩類:一種是清楚自己從事的項目并非合法的, 一種是不知情的(至少一開始不知情)。對于后者而言,這些人通常會負責執行相對簡單的操作,比如復制銀行系統和網站的界面。
根據“空閑職位招聘”廣告來看,犯罪分子們通常會從俄羅斯或鄰國(大部分是烏克蘭)的偏遠地區來招募員工,在這些地區,IT人員面臨嚴重的就業和薪水問題。
一名詐騙人員在一個知名的烏克蘭網站上招聘Java/flash員工。工作要求包括熟悉Java、Flash編程,了解JVM/AVM規范等。這名組織者開出的遠程全職辦公薪水是2,500美元。
在這些地區尋找“員工”的理由很簡單-因為相比于大城市的員工,這樣更省錢。并且犯罪分子還喜歡雇傭以前沒有參與過網絡犯罪活動的員工。
通常情況下,這些工作機會都會顯示為合法的,但是一旦接收了任務,就能明白其真實意圖。
在這個例子中,犯罪小組的組織者提供了一個javascript程序員的職位,宣稱自己是一家從事高級互聯網應用開發的Web創新工作室。
在合法的招聘網站上,經驗不足的用戶就會上當。
這個職位邀請一名C++開發者來開發“定制”軟件。這里的“定制”軟件實際指的就是惡意軟件。
雇傭偏遠地域“員工”的第二個原因是組織者想要盡可能地保證活動的匿名性,并且確保任何一名承包商都無法掌握完整的小組信息。
在組織一個犯罪小組時都有哪些選擇
參與竊取資金或金融信息的犯罪組織在成員數量和活動范圍上也有很大的不同。主要有三類:
這種區分很正常。各個小組的活動范圍取決于其成員的水平,他們的野心和整體的組織能力。在某些案例中,卡巴斯基實驗室的專家發現一些相對規模較小的組織也會執行一些通常需要大量人員參與才能完成的任務。
聯署項目是最簡單也最經濟的參與網絡犯罪活動的方式。聯署項目的理念是,組織者向他們的“附屬”提供從事犯罪活動所需的任何工具 。而這些“附屬”的任務是盡可能多的用木馬去感染目標。聯署項目的所有者會根據感染結果與這些附屬分享收入。根據詐騙方案的類型,可以分享的有:
通常來說,成立或支持以盜取資金為目的聯署項目就是網絡犯罪活動。但是,一般只有大型有組織的團伙才會實施這類項目,在接下來我們還會分析他們的行動。
這則廣告說的是在測試一個用于傳播勒索軟件的聯署項目。根據其特征判斷,這個小組的活動主要著眼于位于美國和英國的企業。從注釋中就可以看出,這個木馬主要是通過企業網絡傳播,能夠加密80種不同的文件,其中大部分都是在企業中使用的。接著,測試 要求參與者要能證明流量的存在,或從美國和英國進行下載。
卡巴斯基的專家稱,在俄羅斯的網絡罪犯中,聯署項目的熱度正在衰退。造成這類項目流行的原因是這種詐騙方案能夠用惡意程序感染用戶的移動設備,然后向移動靚號發送詐騙短信。但是,在2014年春,俄羅斯的監管機構對提供這些服務的組織提出了新的要求,包括在購買收費服務時,需要用戶再次確認。這一變化導致惡意移動程序的數量在減少。但是,無論如何,有一些小組還會利用這類聯合網絡犯罪活動來傳播勒索軟件。
這種形式的網絡犯罪活動和聯署項目的區別在于,在這種形式的活動中,犯罪分子或犯罪組織會自己組織詐騙騙局。攻擊活動需要的大多數工具都是從黑市上購買的,比如木馬,修改版的木馬(“重新封裝”后的木馬),流量,服務器等。通常來說,這些團伙里的成員并不是計算機和網絡技術領域的專家;他們會通過公共資源,通常是論壇,來了解實施金融攻擊活動都需要哪些工具。這些團體的能力也會受到諸多方面的限制。尤其是,木馬的廣泛使用導致了安全解決方案能很快地檢測到這些木馬。相反的,這樣也會促使犯罪分子投資更多的成本在木馬傳播和“重新包裝”上,以便繞過檢測。最終的結果就是攻擊者能得到的利益會大幅削減。
這類網絡罪犯一旦犯錯,就會暴露自己的身份或被捕。但是,由于進入網絡犯罪活動的成本比較低(200美元起),這些比較“業余”的犯罪形式也是會吸引新人的加入。
在2012年的時候,俄羅斯法庭審判了這樣的一個“業余”犯罪組織,指控他們涉嫌從客戶的網銀賬戶中竊取了超過1千3百萬盧比的資金(價值422,000美元)。卡巴斯基實驗室的專家通過縝密的調查,收集到了大量能幫助執法機構識別攻擊者身份的信息。
法庭判處其中的兩名成員分別4年和半年的有期徒刑。但是,這一宣判并沒能阻止犯罪分子,在接下來的2年半中,他們繼續通過實施犯罪活動又竊取了大量的資金。在2015年5月,他們再次被捕。
大型犯罪團伙不同于其他的犯罪人員,即便他們的活動范圍更大,組織和犯罪行動的方法也更全面。這類團伙的成員數量能達到好幾十人(不包括負責取現和“洗錢的”錢騾子)。他們的攻擊目標并不局限于網銀客戶:他們還會攻擊中小型企業,其中最大和最復雜的組織,比如Carbanak,主要專注于銀行和電子支付系統。
大型團伙的行動結構與小型團體大有不同。從某種程度上說,參與軟件開發的常規企業也是這種結構。
尤其是,大型團體會有自己的員工-定期拿固定工資,負責執行組織性任務。但是,即使是在這樣的大型專業團體中,也有一些任務會交由第三方承包商。例如,木馬“重打包”可能由自己的員工完成,也有可能會雇傭木馬作者或通過第三方服務,或在特殊軟件的幫助下自動完成這一過程。對于犯罪活動所需要的其他IT基礎設施也是同樣的。
像這樣的大型有組織犯罪團體有Carberp,這個小組的成員分別于2012年和2013年在俄羅斯和烏克蘭被捕。在2015年出,卡巴斯基實驗室還曝光了Carbanak。
雖然,合作項目和小團伙也能造成上萬美元的損失,但是,大型犯罪組織才是最危險,破壞性最大的。據估計,Carberp造成的損失達到了上億美元(達到了10億)。在這一點上,研究這些團體的能力和戰略是極為重要的,這樣能讓我們更有效地調查他們的活動,并最終進行打壓。
犯罪“專家”通過組織大型的金融犯罪活動,能夠給安全和金融部門造成上百萬美元的損失。一般情況下,這種犯罪活動需要幾個月的準備,包括,搭建復雜的基礎設施,選擇和開發惡意軟件,以及全面的研究目標組織,從而明確目標的內部運行和安全漏洞。犯罪團體中的每名成員都有各自的責任。
在參與金錢盜竊的犯罪小組中,都包括下面的這些角色。從事其他的活動的犯罪組織可能需要不同的角色。
木馬作者/程序員
程序員負責創建惡意程序,允許攻擊者進入目標組織的企業網絡,下載額外的木馬,幫助獲取必要的信息,并最終把錢偷到手。
不同小組之間,成員的重要程度和關系特征也都會不同。例如,如果某個小組使用的是現有的開源木馬,或從程序員手中購買的木馬,那么他們就會受到限制,只能通過設置或修改惡意程序,以便在基礎設施上運行,從事一種特定的網絡犯罪活動,或者是通過修改來攻擊某一類機構。但是,先進的犯罪團伙會依賴自己的“開發者”,因為這樣能避免被安全解決方案檢測到,并能提供更多的木馬修改機會。在這種情況下,木馬作者的角色就會更加重要,因為他們負責了惡意程序的架構和功能。
木馬作者還可能會負責木馬的“重新包裝”。但是,只有當組織者想要實現任務最大化,或原有軟件就是為了用于“重新包裝”木馬時,這樣的情形才有可能會出現。不過,在大多數情況下,這個過程會轉移給第三方承包商或通過封裝服務實現。
測試者
測試者在犯罪小組中的作用與合法IT企業中的測試人員沒有太大的區別。他們都是從管理者手中獲取程序在不同環境中的測試規范(不同的OS版本,不同的應用設置等),并執行。如果在詐騙騙局中涉及到了虛假的遠程銀行界面或電子支付系統,測試者的任務也會包括監控這些虛假活動的正常運行。
網頁設計師和網頁程序員
通常情況下,網頁設計師和網頁程序員都是遠程辦公,他們的任務包括創建釣魚頁面,釣魚網站、虛假的應用界面和web注入,這些東西都是為了竊取數據來入侵電子支付系統和網銀系統。
傳播者
傳播者的意圖是為了確保惡意軟件盡可能多的安裝到設備上。這項任務一般是通過使用工具來完成的。通常情況下,組織者會判斷需要感染哪些用戶,并從所謂的流量提供商(提供的服務能吸引特定的用戶訪問具有某些特征的網站)那里購買需要的流量類型。
一則購買流量的廣告。只要成功安裝了惡意軟件,每1000條“回調”(在成功感染后,木馬發送給CC服務器的一條信息),犯罪分子就會支付140美元。
組織者可以挑選和訂購垃圾郵件,在郵件中會有受感染的附件文件或一個惡意網站的鏈接。組織者也可以選擇目標經常訪問的網站;讓黑客攻入網站并放置上漏洞包。當然,所有這些工具都可以與其他工具組合使用。
黑客
通常,在攻擊過程中,組織者掌握的漏洞和其他惡意軟件是不足以感染所有需要攻擊的計算機,可能還需要入侵特定的計算機或網站。在這種情況下,組織者會啟用黑客來執行非標準任務。卡巴斯基實驗室的專家發現,在很多情況下,黑客只會偶爾的參與其中,并根據服務收取費用。但是,如果需要定期的入侵要求(比如針對金融機構的針對性攻擊),“小組成員”中就會加入一名黑客,并且一般情況下這名黑客會成為小組像組織者和資金流管理人一樣的關鍵成員。
系統管理員
網絡犯罪小組中的系統管理員與合法公司中的系統管理員執行的幾乎是一樣的任務:他們負責實現和維護IT基礎設施。在犯罪團體中,系統管理員會配置管理服務器,為服務器購買防濫用托管服務,保證工具能夠匿名連接到服務器(VPN)并解決其他的技術挑戰,包括聯系負責雇傭來執行小型任務的遠程系統管理員。
電話服務
要想保證網絡犯罪活動的成功,社會工程非常重要。尤其是當談到通過攻擊一些組織來竊取大量金錢時。在大多數情況下,即使攻擊者能夠控制用于交易的計算機,但是要成功完成任務還是需要確定其合法性。這就是需要“通話”服務的意義。在指定的時間上,犯罪組織雇傭的“員工”會扮演在受攻擊組織或銀行工作的成員,負責確定交易的合法性。
“電話服務”可以作為犯罪團體的一個分部或一個第三方組織,參與到特定的網絡犯罪活動中,負責執行特定的任務,并按服務收費。在犯罪分子用于與相互通訊的論壇上,會有大量提供這些服務的廣告。
這則廣告提供英語,德語,荷蘭語和法語的“電話服務”。這個小組專門從事給在線商城、銀行和受害者打電話,另外,這個小組還能快速創建本地免費號碼,在詐騙騙局中偽裝成支持服務,接收短信和收發傳真。每次通話,這些犯罪分子收費10-12美元,接收短信10美元,創建免費號碼15美元。
卡巴斯基實驗室稱,大型的網絡犯罪組織更喜歡自己設立“電話服務”,這樣他們就不需要找第三方提供商了。
資金流管理人
在網絡犯罪小組中,當所有的技術任務都完成后(選擇和感染目標,并在其基礎設施中確定這些目標),并且盜竊準備都完成后,資金流管理人就要登場了。資金流管理人負責的是把錢從受害者的賬戶中轉移出來。但是,他們不僅僅是下命令,而是在整個過程中都扮演關鍵角色。
資金流管理人通常會全面的理解目標組織的內部情況(他們甚至知道目標企業中的員工會在什么時候去吃午飯,從而在他們離開自己電腦的這段時間進行轉賬)。他們知道自動化反詐騙系統是如何運行的,以及如何繞過這些系統。換句話說,除了做賊,資金流管理人同樣會負責難度很大的“專家”任務或無法自動完成的任務。或許是因為這種特殊的身份,資金流管理人是犯罪團伙中不多的幾個按百分比拿錢的成員,而不是領取固定“薪水”。
資金流管理人還經常會操作僵尸網絡,分析和分類從受感染計算機上獲取到的信息(訪問遠程銀行服務,了解賬戶中的可用金錢,明確受感染的計算機屬于哪個組織等)。
除了錢販子,只有騾子項目的領導會共享這些“工作條件”。
騾子頭(騾子“項目”領導)
在任何金融犯罪中,騾子項目都是至關重要的一環。錢騾子團體包括一名或多名組織者,最多可以有十幾名騾子。
騾子是各種支付方式的持有者,聽從錢騾子管理人的命令,負責把自己賬戶中的錢取出現金,或轉賬給錢騾子管理人指定的賬戶。
騾子可以分為兩類:不知情的和知情的。不知情騾子至少在一開始與錢騾子管理人合作時,并不知道他們參與了犯罪活動。一般來說,他們在取錢和轉賬時看到的都是各種托詞。例如,錢騾子管理人可以成立一個法律實體并委派一名管理人(如,財務總監),負責執行不知情騾子的功能:比如簽署企業文件,實際上作為取錢的合法掩護。
知情騾子非常清楚錢騾子管理人的真實意圖。
騾子項目有多種取錢方式。取決于偷到了多少錢,他們可能會通過個人信用卡來套現,并從錢騾子管理人那里賺一小筆錢,或通過法律實體,在企業銀行賬戶上辦理“工資項目”(給企業員工發工資)。
但是,另一種常用的方法是讓知情騾子在不同的銀行開設十幾個賬戶。
這則廣告提供了一套可以取現的支付卡(卡片,授權文件,與銀行賬號關聯的SIM卡)。在售的包括俄羅斯銀行、鄰國銀行、歐洲、亞洲和美國銀行發行的各種卡。動力卡3000盧比(不到50美元),白金卡8000盧比(約120美元)。
當盜竊活動并不是在俄羅斯進行時,知情騾子的角色就會由東歐國家的人民來扮演,這些人需要短時間的在幾個國家之間穿行,并用自己的名字開設銀行賬戶。然后,知情騾子會把訪問這些賬戶所需的數據提供給錢騾子管理人。之后,這些賬戶就會被用于取錢。
這則廣告在出售一些在俄羅斯聯邦注冊并位于海岸周邊的公司名單。網絡罪犯提供服務在560美元-750美元之間。
商人
“商人”這個詞是從“stuff”(意思是商品)來的。一種取現的方式就是通過在線購買商品然后再轉賣實現的。完成這項任務的就是商人,他們負責用受害者賬戶中的錢從網上購買商品。
實際上,商人與資金流管理人存在區別。如果竊取到的金額較少,那么才會通過購買商品的方式取現。一般來說,商人都是小組合作形式的。這種“合作”的方式通常會購買某一類型的產品,有時候會有特定的制造商或明確的型號。
組織者
如果我們把網絡犯罪看做是一個項目,組織者就是犯罪小組的總經理。他們的責任通常包括給準備階段提供資金,給執行人分配任務,監督執行人的表現,聯系第三方機構,比如騾子項目和電話服務(如果這個小組自己沒有的話)。組織者會判斷攻擊目標,挑選必要的“專業人士”并與他們談判。
需要注意的是,上述的分類并不是一成不變的。在有些情況下,小組中的一名成員可能會身兼數職。無論如何,不管有多少人在執行任務,他們每個人的角色都逃不開我們上面的介紹。下面要說說他們的“實時”工作情況。
1.研究。當談到以某個公司為目標的針對性攻擊時,組織者首先會要求承包商收集關于這個公司的信息,以便他們開發社會工程方案,進行第一階段的攻擊。如果我們討論的是針對個人用戶的攻擊活動,那么就會跳過前期的研究階段,或有限制的選擇要攻擊的“目標受眾”(比如,某家銀行的網銀用戶),并創建釣魚郵件和相關的小魚網站。
2.感染。通過執行釣魚攻擊或發送包含惡意附件或惡意網頁鏈接的釣魚郵件來滲透企業網絡。只要打開了附件或點擊了鏈接,就會被木馬感染。通常情況下,感染是自動完成的,并不會引起用戶的注意和參與-在點擊了鏈接后,惡意程序就會自動下載到用戶的計算機上(drive-by下載),并運行。
在其他情況下,感染是通過入侵常用網站,在網站上放置工具把用戶重定向到漏洞網站上實現的。一旦進入了漏洞網站,用戶就會感染木馬。
只要進入了系統,網絡罪犯就會利用大量的惡意工具來鞏固自己的生存能力。比如,當企業的安全軟件刪除了先前版本的木馬后,受感染企業的內部網絡還會重新安裝木馬。除此之外。攻擊者還經常在受攻擊企業的基礎設施軟件中進行設置,允許從外界訪問內部網絡。
3.探索和實現。遠程管理程序會下載到受攻擊的計算機上。網絡罪犯會利用這些程序獲取系統的管理員憑據。許多用戶都知道合法的遠程管理程序也會用到這一點。
4.偷錢。在最后的階段,網絡罪犯會登錄目標組織的金融系統,把賬戶中的其錢轉給騾子項目,或直接從ATM上取錢。
在近幾年中,有越來越多的俄羅斯犯罪分子開始從事金融犯罪,造成這一增長的原因有很多。主要有:
不同于在真實世界中,網絡空間中的搶劫常常不會被注意到,并且收集數字證據的窗口也很小。此外,犯罪分子還不需要出現在犯罪現場就能實施犯罪。
不過,對于俄羅斯的網絡罪犯來說,他們很喜歡當前的條件:被指控的風險很低,而潛在收益卻很高。所以,有越來越多的犯罪分子參與到這樣的犯罪活動中,造成的損失也越來越高,網絡犯罪服務的市場也在壯大。
犯罪分子還利用了內部合作機制缺失這一點:比如,卡巴斯基實驗室的專家們知道,有些犯罪小組中的成員會在俄羅斯周邊的國家生活和工作,而鄰國的公民會進入俄羅斯領土來實施犯罪活動。
卡巴斯基實驗室正在盡一切可能來阻止網絡犯罪團伙的活動,并鼓勵所有國家的企業和執法機構開展合作。
針對Carbanak活動的國際聯合調查最初是由卡巴斯基實驗室發起的,這是首次成功的國際合作范例。要想讓世界做出積極的改變,將來需要更多這樣的合作案例。
卡巴斯基實驗室是一家知名的殺毒安全解決方案企業。但是,卡巴斯基實驗室還會提供全方位的防護服務,其中就包括計算機事件調查。
每起事件的證據,主要是以數字數據的形式呈現的,這些數據需要經過收集和記錄。當受害者報案時,我們要毫無疑問的進行調查和實驗。
卡巴斯基實驗室計算機事件調查的責任包括:
在響應IT安全事件和支持調查行動的過程中,需要處理大量的數據。通過數據分析和惡意對象統計能夠識別出網絡空間中的犯罪行為趨勢。
卡巴斯基實驗室計算機事件調查部門于2011成立,由6名分析專家組成。