info@group-ib.ru (495) 661-55-38

г. Москва, Мажоров переулок,
дом 14, строение 2

Частые вопросы

Расследование ИТ-инцидентов

  1. Почему стоит проводить расследование?
  2. Какова стоимость расследования?
  3. Какие самые частые ошибки при реагировании на инцидент?
  4. Как оперативно приезжают специалисты из Group-IB?
  5. Сколько может длиться расследование?
  6. Как часто в инциденте замешаны внутренние работники компании?
  7. Дает ли Group-IB рекомендации по предотвращению подобных инцидентов в будущем?

Компьютерная криминалистика

  1. Для чего приглашать специалиста и каковы его действия?
  2. Какие данные необходимы специалисту для проведения криминалистического исследования?
  3. Сколько времени занимает криминалистическое исследование носителей информации и что в него входит?
  4. Какие сведения предоставляются Клиенту по итогам реагирования на инцидент ИБ и криминалистического исследования?
  5. В каком виде представляются результаты криминалистического исследования?
  6. Можно ли провести исследование носителя информации по месту нахождения клиента, не передавая при этом сам носитель или его образ в лабораторию?
  7. Повредится ли содержимое носителя информации в процессе криминалистического исследования в случае его изъятия?
  8. Есть ли гарантии сохранения в секрете конфиденциальной информации, находящейся на носителях информации, которые предоставляются на исследование?
  9. Как запросить данные журналов регистрации сетевых взаимодействий (подключений) у интернет-провайдера или у банка?
  10. В каком случае следует подавать в правоохранительные органы заявление о произошедшем инциденте и как это сделать?
  11. Можно ли вернуть деньги, потраченные на криминалистическое исследование, после поимки злоумышленника?

Инциденты в системе ДБО

  1. Какие меры необходимо предпринять для предупреждения инцидентов в системах ДБО?
  2. Какова стандартная схема инцидентов в системе ДБО?
  3. Какую юридическую силу имеют Ваши заключения?
  4. Каким образом можно получить необходимые для работы данные после того, как исходный носитель информации, после снятия образа, был упакован и опечатан?
  5. Каким образом формируется список вопросов, на которые предстоит ответить в ходе проведения исследования?
  6. Каким образом осуществляется взаимодействие с клиентом в процессе проведения исследования?
  7. Что можно сделать в случае необходимости ускоренного получения результатов исследования, например для предоставления заключения в правоохранительные органы для блокирования счета, на который были переведены денежные средства?
  8. Могу ли я подать в суд на банк в случае мошенничества в системе ДБО?
  9. Какие действия следует предпринять банку в случае обнаружения инцидента у одного из клиентов?
  10. Как банк может защищать свою систему ДБО?
  11. Какая система защиты ДБО наиболее эффективна?
  12. Какие меры необходимо предпринять для предотвращения инцидентов в системах ДБО?
  13. Как заменить секретные ключи и логин/пароль для аутентификации в системе ДБО после инцидента?
  14. Причастны ли сотрудники организации к инциденту в системе ДБО?
  15. Какова стандартная схема проведения инцидентов в системе ДБО?

Программы поддержки Group-IB

  1. В чем смысл программ поддержки, и какие преимущества они дают?
  2. Какова минимальная стоимость программы поддержки?
  3. Кто еще оказывает подобные услуги?
  4. IDS/IPS какого типа устанавливается в компанию?
  5. Получают ли компании, находящиеся у Вас на поддержке, скидки на продаваемые Вами продукты?
  6. Возможно ли составление индивидуального списка услуг, входящих в поддержку?

Расследования ИТ-инцидентов для служб безопасности

  1. Почему служба информационной безопасности не всегда может провести расследование самостоятельно?
  2. Как происходит взаимодействие службы информационной безопасности и Group-IB?
  3. Есть ли рекомендации международных стандартов по информационной безопасности о проведении расследований?
  4. Как происходит работа по расследованию инцидента?
  5. Какими навыками должен обладать эксперт по расследованию инцидентов информационной безопасности?
  6. Каков процент успешно расследованных инцидентов?
  7. Что надо делать, если произошел инцидент информационной безопасности?
  8. С кем сотрудничает Ваша компания при проведении расследования?
  9. Проводите ли вы обучение по расследованию ИТ-инцидентов и компьютерных преступлений?

Юридическое сопровождение

  1. В каких именно юридических вопросах вы оказываете сопровождение?
  2. Я хочу подать на хакера в суд. Это возможно? За что можно наказать кибер-преступника?
  3. Как правильно писать заявление в МВД?
  4. Насколько развита в России судебная практика по компьютерным преступлениям?
  5. Где можно посмотреть актуальное законодательство по компьютерным преступлениям?
  6. У меня пропали деньги с пластиковой карточки. Куда мне обратится и как мне их вернуть?
  7. Как мне засвидетельствовать факт того, что в ВКонтакте (МоемКруге, Одноклассниках и пт.) обо мне распространяют порочащие меня сведения?
  8. Я слышал, что существует специальная программа «Черный список», которая позволит мне защититься от спама. Где я могу купить лицензионную копию такой программы? Вы ее продаете? Не является ли эта программа запрещенной?

Расследование и предотвращение DDOS-атак

  1. Что такое DDoS-атака?
  2. Для чего используются DDoS-атаки?
  3. Каким образом происходит предотвращение DDOS-атаки?
  4. Как можно подготовиться к противостоянию DDoS-атакам?
  5. Что если атака уже идет, и ее необходимо подавить немедленно, но оформление договоров и других документов в нашей компании занимает продолжительное время?
  6. Как долго может идти расследование DDOS-атаки?
  7. Какие мероприятия Group-IB делает для профилактики DDOS-атаки?
  8. Сколько займет времени на подготовку к профилактике и подавлению уже начавшейся атаки?
  9. Сколько стоит услуга по предотвращению DDOS-атаки?
  10. Можем ли мы найти заказчика DDOS-атаки?
  11. Сколько стоит услуга по расследованию DDOS-атаки?

Другие вопросы: социальные сети, личные почтовые ящики, порнография

  1. У меня взломали почту на mail.ru и «Мой мир», вы можете помочь мне вернуть аккаунт и выяснить, кто его взломал? Сколько это будет стоить и сколько времени это займет?
  2. У меня взломали страничку на Одноклассниках, вы можете мне ее вернуть и узнать, кто осуществил взлом?
  3. Кто-то без моего ведома разместил мои откровенные фото в интернете. Кто-то рассылает от моего имени порно-рассылки. У меня был свой интернет-секс-шоп, его кто-то взломал. Меня постоянно атакуют рекламой для взрослых.
  4. У меня есть свой порно-сайт, с ним какие-то проблемы, вы можете помочь?

Электронные платежные системы

  1. С какими платежными системами ваша организация поможет решить вопросы и провести расследование?
  2. Есть ли вероятность после взлома аккаунта вернуть мои накопления?
  3. У меня украли определенную сумму денег, сколько будет стоить ее вернуть? Вы берете определенный процент от суммы?
  4. Мой аккаунт в платежной системе заблокировали, можете ли вы помочь разобраться в чем дело?
  5. Я знаю кто украл мои деньги! Это мой друг оплатил с помощью моего кошелька подписку в World of Warcraft, можете ли вы помочь мне вернуть мои деньги?
  6. Система WebMoney предоставляет услуги в области электронных валют, я всего лишь пользователь. Почему система WebMoney не возвращает мне деньги, потерянные при взломе аккаунта?
  7. Быть может мой аккаунт не взломан, а произошел сбой в самой системе WebMoney?
  8. Взломали аккаунт! Быть может произошла утечка данных в системе WebMoney?
  9. Каким образом мог быть взломан мой аккаунт Webmoney?

Я не нашел своего вопроса

Вы всегда можете задать нам его, отправив вопрос по электронной почте по адресу info@group-ib.ru.

Расследование ИТ-инцидентов

  1. Вопрос: Почему стоит проводить расследование?
    Ответ: Инцидент – это нарушение штатной деятельности какого-либо процесса в организации, которое несет определенный ущерб. Выявление причины возникновения инцидента – главная цель проведения расследования. Зная причину и источник, организация может защитить себя от повторения инцидента в будущем. Более подробно о причинах можно прочитать в разделе «Почему стоит проводить расследование компьютерного преступления»
    Вернуться к списку вопросов

  2. Вопрос: Какова стоимость расследования?
    Ответ: Стоимость расследования варьируется от типа инцидента и его сложности. На стоимости расследования отражается количество исследуемых узлов, время, прошедшее с момента инцидента, удаленность офиса заказчика и др.
    Вернуться к списку вопросов

  3. Вопрос: Какие самые частые ошибки при реагировании на инцидент?
    Ответ: Основной ошибкой является внесение изменений в состояние систем после инцидента. При сборе доказательств необходимо помнить о важности сохранения максимального количества улик для дальнейшего анализа.
    Вернуться к списку вопросов

  4. Вопрос: Как оперативно приезжают специалисты из Group-IB?
    Ответ: Если инцидент произошел в пределах Москвы или Московской области, то группа реагирования готова к выезду в течение 30 минут с момента поступления сообщения об инциденте. Если Ваш офис находится за пределами Московской области, то время и условия выезда оговаривается отдельно.Если компания подписана на одну из программ поддержки, то выезд осуществляется немедленно. До прибытия наших специалистов ведутся консультации по минимизации ущерба и сохранению необходимой информации.
    Вернуться к списку вопросов

  5. Вопрос: Сколько может длиться расследование?
    Ответ: Длительность проведения расследования зависит от многих факторов. Во-первых, важную роль играет количество времени, прошедшее с момента инцидента. Чем больше времени прошло, тем меньше доказательств осталось, соответственно тем сложнее их найти. Во-вторых, многое зависит от объема той информации, которую необходимо проанализировать. Исследование каждого криминалистического образа компьютера, в зависимости от его объема, может занимать от 1,5 суток до недели. В-третьих, существенную роль играет содействие со стороны персонала Заказчика. Чем оперативней заказчик выполняет наши просьбы и рекомендации, тем быстрее будет достигнут результат. Чаще всего расследование длится от недели до месяца.
    Вернуться к списку вопросов

  6. Вопрос: Как часто в инциденте замешаны внутренние работники компании?
    Ответ: Наш опыт показывает, что инцидент, так или иначе, связан с инсайдом в 65% случаев. При этом не обязательно, что сотрудник компании напрямую замешен в произошедшем, он мог просто по неосторожности раскрыть какие-либо важные сведения. Вероятность участия внутреннего работника серьезно возрастает, если инцидент связан с финансовым мошенничеством или кражей конфиденциальной информации.
    Вернуться к списку вопросов

  7. Вопрос: Дает ли Group-IB рекомендации по предотвращению подобных инцидентов в будущем?
    Ответ: Да, конечно. По завершению расследования специалистами Group-IB готовится план мероприятий по устранению угроз и уязвимостей, которые повлекли данный инцидент и могут повлечь другие. Эти рекомендации основаны на лучших отечественных и международных практиках обеспечения информационной безопасности, нашем опыте и знаниях, полученных об ИТ-инфраструктуре. Также, своим клиентам мы предлагаем наши программы поддержки, которые включают в себя не только реагирование на инциденты, но и комплекс дополнительных работ по усилению инфраструктуры для противостояния как внутренним, так и внешним угрозам, установку систем предотвращения вторжений, настройку систем логирования, регулярный аудит информационной безопасности и тесты на проникновение.
    Вернуться к списку вопросов

Компьютерная криминалистика

  1. Вопрос: Для чего приглашать специалиста и каковы его действия?
    Ответ: После инцидента ИБ обнаружение, сбор и сохранение необходимых данных об инциденте, а также юридически грамотное оформление соответствующих документов, является одной из главных задач, которая зачастую не под силу штатным ИТ-специалистам. Ошибки, допущенные на этом этапе, могут в последующем привести к признанию собранных доказательств недопустимыми.Криминалисты Group-IB обладают соответствующими знаниями, большим опытом работы, а также специализированным оборудованием и программным обеспечением — всем тем, что необходимо для минимизации рисков потери доказательственной информации или возможности последующего ее отвода в суде как собранной с нарушением процессуального законодательства.При выезде к клиенту специалист Лаборатории компьютерной криминалистики и восстановления данных Group-IB осуществляет следующие мероприятия:

    • поиск, извлечение и копирование сведений, имеющих отношение к инциденту ИБ, с помощью специализированного программного и программно-аппаратного обеспечения;
    • юридически грамотное оформление процедуры изъятия и копирования информации;
    • опечатывание и передача носителей информации на ответственное хранение.

    Помимо этого специалист оказывает первоначальную юридическую и техническую консультацию по факту инцидента ИБ.
    Вернуться к списку вопросов

  2. Вопрос: Какие данные необходимы специалисту для проведения криминалистического исследования?
    Ответ: В зависимости от типа инцидента и доступных источников информации для криминалистического исследования могут использоваться:

    • носитель информации или его криминалистический образ;
    • копия содержимого оперативной памяти;
    • копия сетевого трафика;
    • сведения из журналов регистрации сетевых подключений потерпевшей стороны;
    • сведения из журналов регистрации сетевых подключений интернет-провайдера;
    • иные сведения, имеющие отношение к инциденту.

    Вернуться к списку вопросов

  3. Вопрос: Сколько времени занимает криминалистическое исследование носителей информации и что в него входит?
    Ответ: Криминалистическое исследование проводится в среднем в течение 20 рабочих дней с момента передачи объектов исследования в лабораторию Group-IB. Продолжительность исследования может варьироваться в зависимости от сложности конкретного исследования.В рамках криминалистических исследований компьютерной информации могут быть разрешены следующие вопросы:

    • о наличии признаков несанкционированного доступа к информационной системе и обрабатывающейся в ней информации;
    • о наличии информации в явном и неявном (скрытом, удаленном или зашифрованном) видах по заданным критериям (ключевым словам), в том числе в изображениях;
    • о наличии заданного программного обеспечения в установленной форме либо в форме дистрибутива, а также об их конфигурации;
    • о хронологии событий в информационной системе;
    • о неизменности (целостности) компьютерной информации после изъятия или исследования;
    • о наличии вредоносных программ, а также о функциональных возможностях таких программ в случае их обнаружения.

    Вернуться к списку вопросов

  4. Вопрос: Какие сведения предоставляются Клиенту по итогам реагирования на инцидент ИБ и криминалистического исследования?
    Ответ: В результате оказания услуг по реагированию на инцидент ИБ и проведению криминалистических исследований Клиенту предоставляются:

    • хронологию событий инцидента;
    • возможные причины возникновения инцидента, в частности степень участия в этом сотрудников организации;
    • комплексный список рекомендаций по полному восстановлению инфраструктуры информационной системы;
    • рекомендации по улучшению мер защиты информации;
    • необходимые сведения для дальнейшего расследования инцидента ИБ (IP-адреса, доменные имена, псевдонимы злоумышленников в сети, адреса электронной почты, идентификационные данные программ мгновенного обмена сообщениями и т. п.);
    • юридическую консультацию по вопросам привлечения к ответственности лиц, причастных к инциденту, и снижению правовых рисков;
    • техническую консультацию с целью повышения безопасности информационной системы и предотвращения повторных инцидентов.

    Вернуться к списку вопросов

  5. Вопрос: В каком виде представляются результаты криминалистического исследования?
    Ответ: Результаты криминалистического исследования оформляются в виде Отчета об исследовании, подписанного и заверенного специалистом, проводившим исследование, и Генеральным директором Group-IB. Отчет принимается в качестве доказательства при проведении гражданского, административного и уголовного делопроизводства.Вернуться к списку вопросов

  6. Вопрос: Можно ли провести исследование носителя информации по месту нахождения клиента, не передавая при этом сам носитель или его образ в лабораторию?
    Ответ: Провести полное криминалистическое исследование носителя информации без изъятия самого носителя или его образа не представляется возможным в силу отсутствия необходимого программного и/или программно-аппаратного обеспечения у клиента. На месте может производиться только осмотр носителей информации на предмет наличия необходимой информации.Вернуться к списку вопросов

  7. Вопрос: Повредится ли содержимое носителя информации в процессе криминалистического исследования в случае его изъятия?
    Ответ: Криминалисты компании Group-IB используют в своей работе только профессиональное специализированное оборудование и ПО, которые предотвращают любые изменения данных, хранящихся на объектах исследования. Например, работа с носителем информации производится с помощью аппаратного блокиратора записи, а изъятие образа носителя информации производится с помощью криминалистического дубликатора и/или криминалистических дистрибутивов операционных систем, которые обеспечивают программную блокировку записи.Вернуться к списку вопросов

  8. Вопрос: Есть ли гарантии сохранения в секрете конфиденциальной информации, находящейся на носителях информации, которые предоставляются на исследование?
    Ответ: С каждым клиентом подписывается Соглашение о неразглашении конфиденциальной информации (NDA), которое гарантирует сохранность доверенной нам коммерческой тайны и иной конфиденциальной информации клиента.Вернуться к списку вопросов

  9. Вопрос: Как запросить данные журналов регистрации сетевых взаимодействий (подключений) у интернет-провайдера или у банка?
    Ответ: Для того чтобы получить данные журналов регистрации сетевых взаимодействий у интернет-провайдера или банка, необходимо написать официальный запрос на имя соответствующей организации. При этом необходимо запросить журналы сетевых взаимодействий (подключений) пострадавшей стороны за определенный период времени (за два или три месяца до даты инцидента по настоящее время). Следует учитывать, что не все организации предоставляют собственным клиентам статистику их сетевых подключений, а делают это только по запросу правоохранительных органов.Вернуться к списку вопросов

  10. Вопрос: В каком случае следует подавать в правоохранительные органы заявление о произошедшем инциденте и как это сделать?
    Ответ: Соответствующее заявление необходимо подавать, если вы считаете, что против вас совершено противоправное деяние, ваши законные права и интересы нарушены и вам причинен вред.Правила составления и подачи заявления о преступлении регламентированы ст.141 Уголовно-процессуального кодекса РФ. В том числе указано, что:

    • заявление о преступлении может быть сделано в устном или письменном виде;
    • заявитель предупреждается об уголовной ответственности за заведомо ложный донос;
    • анонимное заявление о преступлении не может служить поводом для возбуждения уголовного дела.

    Вернуться к списку вопросов

  11. Вопрос: Можно ли вернуть деньги, потраченные на криминалистическое исследование, после поимки злоумышленника?
    Ответ: Да, такая возможность существует. Для этих целей существует процедура предъявления гражданского иска в рамках уголовного процесса.В соответствии с законом гражданский иск может быть предъявлен после возбуждения уголовного дела и до окончания судебного следствия при разбирательстве данного уголовного дела в суде первой инстанции. При предъявлении гражданского иска гражданский истец освобождается от уплаты государственной пошлины.Однако стоит учитывать процессуальный статус клиента в конкретном процессе. Рассчитывать на компенсацию расходов по проведению исследования клиент может только в том случае, если он признан потерпевшим.
    Вернуться к списку вопросов

Программы поддержки Group-IB

  1. Вопрос: В чем смысл программ поддержки, и какие преимущества они дают?
    Ответ: Программы поддержки Group-IB представляют собой круглосуточное реагирование на инциденты информационной безопасности и их предотвращение, правовую поддержку и расследование ИТ-инцидентов и компьютерных преступлений. Выбирая программы поддержки, Вы оптимизируете траты на информационную безопасность так как:

    • Разовое расследование инцидента обходится дороже, чем услуги, входящие в программу поддержки.
    • Любая из программ поддержки направлена на раннее предупреждение возможных инцидентов.
    • Проведение расследований снижает затраты на информационную безопасность в целом, т.к. чувство ответственности работает лучше чем средства обеспечения ИБ.
    • Кроме того, в программы поддержки входит комплекс услуг по информационной безопасности, стоимость которых превышает стоимость одного месяца программы поддержки.
    • Наше время реакции на инциденты для подписчиков меньше, чем для лиц, обратившихся к нам впервые.
    • Для подписчиков предоставляются специальные скидки на продаваемые нами продукты и другие услуги (ссылка на продаваемые продукты)

    Также, стоит добавить, что данные решения уникальны как в России, так и в мире, и позволяют оптимизировать штат сотрудников отдела информационной безопасности, а также получить страховку от ИТ-инцидентов.
    Вернуться к списку вопросов

  2. Вопрос: Какова минимальная стоимость программы поддержки?
    Ответ: Минимальная стоимость программы поддержки составляет 30 тысяч рублей.
    Вернуться к списку вопросов

  3. Вопрос: Кто еще оказывает подобные услуги?
    Ответ: Данная услуга уникальна как в России, так и в мире. Она была разработана, документирована и запущена в эксплуатацию в 2008 году. Права защищены Группой информационной безопасности: Group-IB.
    Вернуться к списку вопросов

  4. Вопрос: IDS/IPS какого типа устанавливается в компанию?
    Ответ: Чаще всего устанавливаются пассивные Snort IDS (Snort является IPS), который является стандартом де-факто систем обнаружения вторжений. Системы Snort наиболее распространены среди специалистов по ИБ, поскольку уже давно доказали свою надежность и гибкость. Также по желанию заказчика и его готовности мы готовы установить сенсоры компании Sourcefire (www.sourcefire.com) создателей Snort. Мы являемся единственным партнером компании Sourcefire в России. Если установка сенсоров Snort больше подходит для организаций малого и среднего бизнеса, то решения Sourcefire способны удовлетворить требованиям любой организации, от регионального провайдера до международной компании с разветвленной сетью офисов и филиалов.
    Вернуться к списку вопросов

  5. Вопрос: Получают ли компании, находящиеся у вас на поддержке, скидки на продаваемые вами продукты?
    Ответ: Да, конечно. Скидки зависят от программы поддержки, на которую вы подписаны. Более подробную информацию о скидках вы можете получить по тел. 661-55-38
    Вернуться к списку вопросов

  6. Вопрос: Возможно ли составление индивидуального списка услуг, входящих в поддержку?
    Ответ: Да, вы можете комбинировать компоненты программ поддержки, создавая то, что нужно именно вашей организации.
    Вернуться к списку вопросов

Расследования ИТ-инцидентов для служб безопасности

    1. Вопрос: Почему служба информационной безопасности не всегда может провести расследование самостоятельно?
      Ответ: На наш взгляд, существуют две основные предпосылки для привлечения сторонних специалистов.Во-первых, это возможная некомпетентность работников службы безопасности в вопросах реагирования на инциденты, проведения расследования и юридических аспектах. Для эффективного проведения расследования работник должен знать и иметь опыт применения лучших международных и отечественных практик в данной области, это касается методик и инструментов оценки произошедшего, сбора необходимых улик, их анализа, восстановления хронологии событий, устранения последствий и предотвращения повторных инцидентов. Чтобы выполнять эту работу качественно и в срок, необходима постоянная практика и повышение квалификации. К сожалению, не каждая организация готова выделять достаточный объем средств, на содержание команды по реагированию на инциденты.Во-вторых, учитывая разнообразие инцидентов, нельзя исключать возможность участия в них работников службы информационной безопасности в них. В таких случаях вряд ли стоит надеяться на объективность проведенного расследования, особенно, если работники службы ИБ являются главными виновниками произошедшего.
      Вернуться к списку вопросов

    2. Вопрос: Как происходит взаимодействие службы информационной безопасности и Group-IB?
      Ответ: При проведении расследования в незнакомой инфраструктуре невозможно сделать это качественно и быстро без активного участия обеих сторон. Никто не знает всех деталей и особенностей сети лучше, чем работники отдела администрирования и службы безопасности. Эти знания особенно полезны, когда необходимо разобраться с причинами инцидента, собрать необходимую для расследования информацию.Также, от служб безопасности зависит регламент получения нашими специалистами доступа к информации для сбора доказательной базы.
      Вернуться к списку вопросов

    3. Вопрос: Есть ли рекомендации международных стандартов по информационной безопасности о проведении расследований?
      Ответ: Существует целый ряд международных и отечественных стандартов, которые, так или иначе, затрагивают процесс управления инцидентами. Часть этих стандартов является общеприменимой, как например стандарты ISO/IEC 27001, ISO/IEC 27002, и их отечественные варианты ГОСТ 27001 и ГОСТ 17799; другие являются отраслевыми, например Стандарт ЦБ РФ СТО БР ИББС-1.0, третьи предназначены непосредственно для групп по реагированию на инциденты (например, NIST SP800-61 Computer Security Incident Handling Guide). Общей рекомендацией всех этих стандартов является проведение любых работ, связанных с расследованием, только квалифицированными специалистами, во избежание искажений или утери доказательств.
      Вернуться к списку вопросов

    4. Вопрос: Как происходит работа по расследованию инцидента?
      Ответ: Обычно расследование инцидента состоит из следующих этапов:

      1. Оперативное реагирование и предварительный сбор информации. На этом этапе наши специалисты получают и формируют первоначальное представление об инциденте: затронутые информационные системы и сегменты сети, задействованные лица, последствия инцидента, возможные источники. Сбор данной информации ведется при непосредственном участии работников компании, в которой произошел инцидент.
      2. Сбор улик. Специалистами Group-IB производится сбор необходимых улик в соответствии с требованиями лучших мировых практик и отечественного законодательства. В ходе данных работ происходит съем образов с систем, задействованных в инциденте, также собираются журналы событий с сетевых устройств, межсетевых экранов, шлюзов, систем IDS/IPS и др.
      3. Анализ собранных улик. На этом этапе происходит анализ данных, собранных на предыдущем этапе. Извлекается и документируется вся информация, которая имеет отношение к инциденту. Восстанавливается хронология событий, повлекших инцидент, а также лиц, связанных с инцидентом.
      4. Подготовка отчета. Эксперты Group-IB составляют отчет, описывающий инцидент, указывают его причины и дают рекомендации по предотвращению подобных инцидентов в дальнейшем.

      Вернуться к списку вопросов

    5. Вопрос: Какими навыками должен обладать эксперт по расследованию инцидентов информационной безопасности?
      Ответ: Пожалуй, самое главное, чтобы эксперт по расследованию инцидентов был настоящим профессионалом своего дела. Он должен обладать не только богатыми теоретическими знаниями о компьютерной криминалистике, сетевых технологиях, программных продуктах и хакерских приемах, но и должен уметь применять эти знания на практике. Очень важно, чтобы эксперт был стрессоустойчив, ответственен, порядочен и целеустремлен.
      Вернуться к списку вопросов

    6. Вопрос: Каков процент успешно расследованных инцидентов?
      Ответ: Расследования, проводимые нашими экспертами, достигают поставленной заказчиком цели в среднем в 95% случаев.
      Вернуться к списку вопросов

    7. Вопрос: Что надо делать, если произошел инцидент информационной безопасности?
      Ответ: Прежде всего, не стоит поддаваться панике. Необходимо попытаться понять, действительно ли это инцидент? Если да, то затем, по возможности, необходимо определить его масштаб и серьезность. После того как Вы определили уровень инцидента, необходимо разработать план реагирования на него. Во-первых, необходимо изолировать зону инцидента от остальной ИТ-инфраструктуры, это позволит предотвратить его дальнейшее распространение. Во-вторых, необходимо максимально бережно сохранять любые улики, которые позволят изучить данное происшествие. К уликам можно отнести: протоколы доступа, состояние серверов и рабочих станций, следы вирусных заражений и т.д. В-третьих, совместно со всеми заинтересованными лицами составить план восстановления после инцидента. В-четвертых, необходимо провести расследование причин происшествия и определить виновников. Понимание причин позволит предотвратить повторение подобных инцидентов в дальнейшем. Не все организации способны самостоятельно пройти по всем этим этапам, в таких случаях необходимо обратиться либо к специалистам нашей компании, либо в правоохранительные органы, если причины возникновения инцидента являются нарушением закона.
      Вернуться к списку вопросов

    8. Вопрос: С кем сотрудничает ваша компания при проведении расследования?
      Ответ: Группа информационной безопасности сотрудничает с правоохранительными органами, провайдерами телекоммуникационных услуг и услуг связи, с детективными агентствами, международными организациями по борьбе с мошенничествами и компьютерными преступлениями.
      Вернуться к списку вопросов

    9. Вопрос: Проводите ли вы обучение по расследованию ИТ-инцидентов и компьютерных преступлений?
      Ответ: Да, мы проводим обучение. Обучение включает следующие направления: расследование ИТ-инцидентов, реагирование на ИТ-инциденты, юридическое оформление доказательств. Возможно составление индивидуальной программы в зависимости от деятельности Вашей организации или, например, по критичным для Вас типам инцидентов.
      Вернуться к списку вопросов

    Юридическое сопровождение

      1. Вопрос: В каких именно юридических вопросах вы оказываете сопровождение?
        Ответ: Юристы Group-IB могут оказать Вам правовую помощь по следующим направлениям:

        • оптимизация Ваших внутренних документов и инструкций, касающихся предоставления услуг дистанционного банковского обслуживания, в целях минимизации Ваших возможных рисков убытков. Разработка/доработка полного пакета документации;
        • юридическое сопровождение расследования инцидента ИБ;
        • представление Ваших интересов в рамках уголовного судопроизводства;
        • представление Ваших интересов в рамках Гражданского и Арбитражного процессов (доменные споры; защита авторского и смежных прав; защита чести, достоинства и деловой репутации; иное), в том числе участие специалиста на досудебной стадии урегулирования конфликта;
        • доменные споры по зонам COM, NET, ORG, BIZ, INFO, а также AERO, COOP, JOBS, MOBI, MUSEUM, NAME, PRO, TRAVEL и другим по правилам UDRP в Арбитражном центре ВОИС (WIPO, Женева);
        • государственная регистрация авторских прав на интернет-сайты, компьютерные программы, базы данных, а также договоров о передаче прав на них в Федеральной службе по интеллектуальной собственности, патентам и товарным знакам (РОСПАТЕНТ);
        • международная регистрация авторских прав на интернет-сайты, компьютерные программы, рукописи, книги, баз данных, музыку, кино, сценарии других объектов интеллектуальной собственности в «US Copyright Office» при Библиотеке Конгресса США;
        • государственная регистрация интернет-сайтов в качестве электронных СМИ;
        • правовое сопровождение купли-продажи доменного имени (РФ, RU, SU, COM, NET, ORG, BIZ, INFO и др.), сайта, программного обеспечения;
        • Иные услуги.

        Вернуться к списку вопросов

      2. Вопрос: Я хочу подать на хакера в суд. Это возможно? За что можно наказать кибер-преступника?
        Ответ: Да, это возможно. Законодательство РФ, а так же большинства стран мира, имеет соответствующие статьи. В Уголовном Кодексе Российской Федерации это статьи 272-274.Конечно же, многое зависит от типа произошедшего инцидента. Например, если в письме от «друга» лежит ссылка на забавную картинку, при скачивании которой Ваш антивирус выдает сообщение о троянской программе, данное действие образует состав преступления «распространение вредоносных программ для ЭВМ». А создание «фишингового» сайта (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям) подпадает также и под действие «некомпьютерной» статьи 159 «Мошенничество».
        Вернуться к списку вопросов

      3. Вопрос: Как правильно писать заявление в МВД?
        Ответ: Необходимо максимально подробно изложить произошедшую ситуацию, приложить все имеющиеся документы, относящиеся к инциденту (скриншоты, тексты писем, ip-адреса и прочее). Если данных много, то к заявлению лучше приложить компакт диск и некоторые распечатки. На нашем сайте в разделе «Образцы документов» Вы можете найти шаблоны заявлений в МВД.
        Вернуться к списку вопросов

      4. Вопрос: Насколько развита в России судебная практика по компьютерным преступлениям?
        Ответ: К сожалению, долгое время на преступления в сфере информационных технологий попросту закрывали глаза. Сложился стереотип, что такие преступления либо не раскрываются вообще, либо затраты на расследование будут слишком значительны. Этому способствовали и общая компьютерная неграмотность населения, и отсутствие специалистов в этой области, и отсутствие прецедентов по положительному рассмотрению таких дел в судах. Чаще всего уголовные дела по компьютерным преступлениям либо не заводились вообще, либо разваливались в ходе судебных слушаний. Сейчас ситуация хоть и медленно, но меняется. Появление соответствующих статей в УК РФ, подготовка в ведущих ВУЗах страны специалистов в области информационной безопасности, все это позволяет надеяться на улучшение ситуации в данном вопросе.
        Вернуться к списку вопросов

      5. Вопрос: Где можно посмотреть актуальное законодательство по компьютерным преступлениям?
        Ответ: В программных комплексах Консультант или Гарант. Мы также постоянно обновляем юридический раздел и на нашем сайте. Более подробную информацию по конкретным судебным решениям Вы можете запросить у нас.
        Вернуться к списку вопросов

      6. Вопрос: У меня пропали деньги с пластиковой карточки. Куда мне обратится и как мне их вернуть?
        Ответ: Разрешение данной ситуации зависит от целого ряда факторов. Если убытки нанесены клиенту в связи с несоблюдением им условий договора о выпуске и обслуживании карты, что повлекло к попаданию в руки злоумышленников реквизитов, достаточных для доступа к денежным средствам – ответственность за это будет нести сам клиент. В случае же, если указанные реквизиты стали доступны третьим лицам по вине банка – есть шанс получить компенсацию.В любом случае клиенту необходимо немедленно заблокировать операции по своей карте, сообщив об инциденте в банк, а также написать соответствующее заявление.Вернуться к списку вопросов

      7. Вопрос: Как мне засвидетельствовать факт того, что в ВКонтакте (МоемКруге, Одноклассниках и пт.) обо мне распространяют порочащие меня сведения?
        Ответ: Для этих целей существует процедура заверения страниц сайта. В этом Вам может помочь нотариус. Однако Вам следует знать, что не каждый оказывает данный вид услуг. Этот вопрос следует уточнять предварительно. Вы также можете обратиться к нам, чтобы получить необходимую контактную информацию.Вернуться к списку вопросов

      8. Вопрос: Я слышал, что существует специальная программа «Черный список», которая позволит мне защититься от спама. Где я могу купить лицензионную копию такой программы? Вы ее продаете? Не является ли эта программа запрещенной?
        Ответ: Да, мы можем оказать подобную услугу. Однако то, о чем Вы говорите, не совсем программа. Это списки, составленные нашими специалистами, содержат в себе перечень неблагонадежных IP-адресов и доменных имен, скомпрометировавших себя рассылкой спама.Данные списки не являются производными материалов оперативных мероприятий и не нарушают положений ФЗ «Об оперативно-розыскной деятельности» и норм УПК РФ. По такому же принципу работают многие компании, занимающиеся информационной безопасностью, например, Cisco, Websense, Kaspersky Lab и многие другие.Вопрос «закрытости» данных материалов регулируется исключительно договором о распространении списков.Вернуться к списку вопросов

      Расследование и предотвращение DDOS-атак

      1. Вопрос: Что такое DDoS-атака?
        Ответ: Распределенной атакой, направленной на отказ в обслуживании (DDoS-атакой) называется атака на систему оконечного хоста или серверную инфраструктуру, результатом которой являются перебои в предоставлении пользователям определенного сетевого сервиса. Перебои могут иметь различное направление, включая:

        • трудности с доступом к определенным ресурсам, таким как серверы
        • снижение пропускной способности
        • и, как худший вариант, «засорение» канала связи с Интернетом до такой степени, что невозможным становится всякий доступ к хосту извне

        Распределенной атака называется потому, что осуществляется она с большого количества хостов, обычно являющихся ботами (зомби-машинами).
        Вернуться к списку вопросов

      2. Вопрос: Для чего используются DDoS-атаки?
        Ответ: DDoS-атака в большинстве случаев используется для вывода из режима доступности какого-нибудь ресурса: сайта конкурента, системы электронных платежей. Цели могут быть как маркетинговые (показать что конкурент ненадежен), показательные, так и коммерческие: например, вывести из строя сайт конкурента для того, чтобы клиенты воспользовались другим предложением.Например, для организаций, работающих в сфере финансов, основная часть деятельности происходит в режиме online, простой исчисляемый в минутах, может обойтись в миллионы долларов потерь в транзакциях, не говоря уже о расходах, связанных со сглаживанием эффекта от публикаций негативных материалов в СМИ.
        Вернуться к списку вопросов

      3. Вопрос: Каким образом происходит предотвращение DDOS-атаки?
        Ответ: Все зависит от типа и масштаба атаки. Фильтрация и блэкхолинг, наращивание ресурсов, рассредоточение, уклонение, увод непосредственной цели атаки (доменного имени или IP-адреса) и активные ответные меры. Время, которое потребуется для предотвращения атаки: от нескольких минут до нескольких часов, при условии, что компания готова к таким атакам.
        Вернуться к списку вопросов

      4. Вопрос: Как можно подготовиться к противостоянию DDoS-атакам?
        Ответ: Существует два варианта:Вариант первый: нанять квалифицированных специалистов и купить дорогостоящее оборудование. Этот вариант больше подходит для телекоммуникационных компаний.Вариант второй: заниматься непосредственно своим бизнесом, а проблемы защиты отдать нам, например – подписаться на одну из наших программ поддержки.
        Вернуться к списку вопросов

      5. Вопрос: Что если атака уже идет, и ее необходимо подавить немедленно, но оформление договоров и других документов в нашей компании занимает продолжительное время?
        Ответ: В подобной ситуации каждая минута простоя – это убытки, поэтому, если заказчик согласен со стоимостью проводимых работ, то вне зависимости от наличия договора команда по реагированию приступает к работе немедленно, а оформление документов проходит позже.
        Вернуться к списку вопросов

      6. Вопрос: Как долго может идти расследование DDOS-атаки?
        Ответ: От одного дня до года. Все зависит от опыта злоумышленника, от его активности и географического положения.
        Вернуться к списку вопросов

      7. Вопрос: Какие мероприятия Group-IB делает для профилактики DDOS-атаки?
        Ответ: Мы пропускаем ваш трафик через фильтрующую сеть и возвращаем уже очищенный трафик. Таким образом вне зависимости от того закончилась текущая атака или началась новая, ваши ресурсы не почувствуют никакой дополнительной нагрузки и будут всегда защищены. Если вы не являетесь подписчиком одной из программ поддержки, а атака уже идет, то мы готовы начать подавление атаки немедленно. Есть и другие методы, которые мы можем использовать в зависимости от типа атаки.
        Вернуться к списку вопросов

      8. Вопрос: Сколько займет времени на подготовку к профилактике и подавлению уже начавшейся атаки?
        Ответ: Подготовка и подавление DDoS-атаки занимает от часа до 24 часов, в зависимости от масштаба атаки и готовности специалистов заказчика провести необходимое изменение конфигурации оборудования.
        Вернуться к списку вопросов

      9. Вопрос: Сколько стоит услуга по предотвращению DDOS-атаки?
        Ответ: Для подписчиков программ поддержки стоимость предотвращения DDoS-атаки уже включена в стоимость программы.Для компаний, не являющихся подписчиками программ поддержки, стоимость защиты от DDoS-атаки составляет от 20 тысяч рублей. В эту сумму входит подавление идущей DDoS-атаки в максимально короткие сроки (от часа до 24) и гарантия защиты от нее в течении 30 дней. Если заказчик желает обезопасить себя от подобных атак в дальнейшем, то с учетом подключения это будет стоить от 20-50 тыс. рублей в зависимости от количества защищаемых ресурсов.
        Вернуться к списку вопросов

      10. Вопрос: Можем ли мы найти заказчика DDOS-атаки?
        Ответ: Да. Это очень хороший вопрос. Исполнитель обычно не имеет ничего против Вашей компании – он просто получает деньги за DDoS-атаку. Таким образом важен человек, не исполнивший атаку, а заказавший её.
        Вернуться к списку вопросов

      11. Вопрос: Сколько стоит услуга по расследованию DDOS-атаки?
        Ответ: Все зависит от имеющихся начальных данных. Иногда, благодаря распределенному оборудованию, мы знаем координационный центр или владельца бот-сети заранее. В этом случае расследование будет стоить недорого. В сложных случаях стоимость определяется по многим критериям. Если необходимо узнать приблизительную стоимость, то позвоните, пожалуйста, к нам, специалист задаст несколько вопросов и скоординирует по стоимости. Что получает заказчик при проведении расследования DDOS-атаки? Во-первых, заказчик получает полный пакет документов для передачи дела в суд и в правоохранительные органы. Во-вторых, если атака продолжается, наши специалисты её прекращают. В-третьих, заказчик получает информации о заказчике DDoS-атаки, ее исполнителе и мотивах ее проведения.
        Вернуться к списку вопросов

      Другие вопросы: социальные сети, личные почтовые ящики, порнография

      1. Вопрос: У меня взломали почту на mail.ru и «Мой мир», вы можете помочь мне вернуть аккаунт и выяснить, кто его взломал? Сколько это будет стоить и сколько времени это займет?
        Ответ: В большинстве случаев мы можем вернуть вам аккаунт. Розыск злоумышленника – вопрос индивидуальный и рассматривается непосредственно в каждом отдельном случае. Если вы поставили перед собой цель найти преступника, то мы готовы это сделать. Стоимость работ по восстановлению/расследованию начинается от 20 тысяч рублей, сроки по возвращению: 5-7 рабочих дней, сроки расследования оговариваются индивидуально.
        Вернуться к списку вопросов

      2. Вопрос: У меня взломали страничку на Одноклассниках, вы можете мне ее вернуть и узнать, кто осуществил взлом?
        Ответ: Администрация сайта odnoklassniki.ru крайне неохотно сотрудничает по вопросам преступлений, совершаемых у них на сайте. Мы готовы провести расследование, но не можем гарантировать 100% результат.
        Вернуться к списку вопросов

      3. Вопрос: Кто-то без моего ведома разместил мои откровенные фото в интернете. Кто-то рассылает от моего имени порно-рассылки. У меня был свой интернет-секс-шоп, его кто-то взломал. Меня постоянно атакуют рекламой для взрослых.
        Ответ: Цены на все расследования, связанные с тематикой «только для взрослых», начинаются от 60 тысяч рублей.
        Вернуться к списку вопросов

      4. Вопрос: У меня есть свой порно-сайт, с ним какие-то проблемы, вы можете помочь?
        Ответ: Нет, к сожалению, в данном случае, мы не сможем вам помочь. Мы не оказываем помощь и не сотрудничаем с лицами, занимающимися распространением порнографии или запрещенного контента.
        Вернуться к списку вопросов

      Электронные платежные системы

      1. Вопрос: С какими платежными системами ваша организация поможет решить вопросы и провести расследование?
        Ответ: В настоящее время мы можем гарантировать оперативное взаимодействие только с российскими платежными системами (Webmoney, Яндекс-деньги и т.д.). В случае с иностранными платежными системами (PayPal, EGold и т.д.) срок расследования может возрасти на неопределенный срок. Если же система еще и полностью анонимна (например, Liberty Reserve), то скорее всего мы вообще ничем не сможем вам помочь. Будьте аккуратны с выбором платежной системы!
        Вернуться к списку вопросов

      2. Вопрос: Есть ли вероятность после взлома аккаунта вернуть мои накопления?
        Ответ: Чем раньше вы обнаружите пропажу и сообщите нам об этом, тем ВЕРОЯТНЕЕ вновь обрести свои утраченные сбережения. И вероятность эта уменьшается с течением времени. Оперативность в этом деле играет первостепенную роль! Грабители начинают действовать сразу после взлома, проводя деньги по различным обменным пунктам в интернете и производя операции перевода на счета других платежных систем, пытаясь запутать следы.
        Вернуться к списку вопросов

      3. Вопрос: У меня украли определенную сумму денег, сколько будет стоить ее вернуть? Вы берете определенный процент от суммы?
        Ответ: Каждая ситуация оговаривается отдельно. В большинстве случаев для нас не имеет значение величина суммы, т.к. расследование кражи 1000$ или 100000$ занимает одинаковое количество времени и ресурсов. Однако, в индивидуальных случаях, мы готовы обсуждать оплату нашей работы за процент от возвращенных денежных средств.
        Вернуться к списку вопросов

      4. Вопрос: Мой аккаунт в платежной системе заблокировали, можете ли вы помочь разобраться в чем дело?
        Ответ: В подавляющем большинстве случаев вы сами можете это сделать. Достаточно лишь обратиться в службу технической поддержки платежной системы. Но если у вас возникают какие-либо трудности с этим, мы готовы оказать содействие.
        Вернуться к списку вопросов

      5. Вопрос: Я знаю кто украл мои деньги! Это мой друг оплатил с помощью моего кошелька подписку в World of Warcraft, можете ли вы помочь мне вернуть мои деньги?
        Ответ: Ни платежная система, ни поставщик каких-либо услуг, которые были оплачены, денег вам не вернут (в подавляющем большинстве случаев). Однако, наша компания поможет вам составить необходимый набор документов для передачи дела в правоохранительные органы. В результате разбирательства ваши деньги будут вам возвращены человеком, неправомерно воспользовавшимся ими.
        Вернуться к списку вопросов

      6. Вопрос: Система WebMoney предоставляет услуги в области электронных валют, я всего лишь пользователь. Почему система WebMoney не возвращает мне деньги, потерянные при взломе аккаунта?
        Ответ: Приведем выдержку из кодекса WebMoney Transfer, статья 3.3 «Обеспечение безопасности в системе», раздел 3.3.1. Основные принципы обеспечения безопасности: «Каждый Участник обязан выполнять процедуры безопасности, установленные в Системе, ответственность за порчу и утрату находящихся у Участника данных возлагается на Участника».Другими словами безопасность данных – это дело каждого из Участников системы. Система является по сути программно-аппаратным комплексом и дает лишь рекомендации в этой области.
        Вернуться к списку вопросов

      7. Вопрос: Быть может мой аккаунт не взломан, а произошел сбой в самой системе WebMoney?
        Ответ: За всю историю WebMoney еще не было случая программных или аппаратных сбоев, приведших к потере титульных знаков в кошельках пользователей или к потере доступа к кошелькам.
        Вернуться к списку вопросов

      8. Вопрос: Взломали аккаунт! Быть может произошла утечка данных в системе WebMoney?
        Ответ: Каждому Участнику системы WebMoney присваивается уникальный 12 значный идентификатор. Соответственно, в системе WebMoney 10 в 12 степени идентификаторов. Даже если предположить, что кто-то пытается взломать сервер аттестации, то на проверку всех идентификаторов при продолжительности каждой в 1 мс уйдет 10 в 9 степени секунд, или 37 лет!Если Вы нашли случайный WM ID, то на странице http://passport.webmoney.ru вы увидите только то, что сам владелец пожелал открыть. Процент пользователей, открывших свой данные добровольно, не превышает 5%.Ну и конечно, система WebMoney прилагает все усилия для сохранения конфиденциальности личных данных ее пользователей.Таким образом, утечка данных из самой системы минимальна.
        Вернуться к списку вопросов

      9. Вопрос: Каким образом мог быть взломан мой аккаунт Webmoney?
        Ответ: Во взломе аккаунта, как это не печально, в 99,9% случаев виноваты сами пользователи WebMoney. Дело в том, что не каждый придерживается элементарных рекомендуемых правил обеспечения безопасности.Как правило, Ваши пароли к киперу, файлу ключей, сам файл ключей добываются непосредственно с ПК путем проникновения различного рода вредоносных программ: вирусов-троянов, регистраторов нажатий клавиатуры и так далее. Причиной тому служит плохая организация информационной обороны – отсутствие антивируса, фаервола, переход по неизвестным ссылкам, запуск неизвестных приложений, присланных в электронных письмах от незнакомых адресатов… Список можно продолжать.Потому, необходимо позаботиться не только о безопасности денежных переводов, но и о безопасности ПК в целом.
        Вернуться к списку вопросов

      Инциденты в системе ДБО

      1. Вопрос: Какие меры необходимо предпринять для предупреждения инцидентов в системах ДБО?
        Ответ: Для предупреждения инцидентов в системах ДБО рекомендуется придерживаться следующих правил:

        • разработать и внедрить инструкции по безопасной работе на автоматизированных рабочих местах (АРМ) в соответствии с требованиями банка, а также в соответствии с Инструкцией по защите платежных АРМ от компании Group-IB;
        • организовать отдельное рабочее место, которое будет использоваться исключительно для проведения платежных поручений в системе ДБО;
        • использовать только лицензионное программное обеспечение, регулярно обновлять его;
        • использовать антивирусное программное обеспечение, поддерживать антивирусные базы в актуальном состоянии;
        • настроить политику безопасности операционной системы в соответствии с рекомендациями банка.

        При подписании договора с банком о предоставлении услуг ДБО необходимо запросить информацию о всех действующих способах идентификации стороны, инициирующей платежное поручение, а также: о проверке IP- и MAC-адресов компьютера, с которого производятся платежи; о практике контрольного взаимодействия для подтверждения платежного поручения до его исполнения; о практике ограничения суммы платежей и т. д.

        Вернуться к списку вопросов

      2. Вопрос: Какова стандартная схема инцидентов в системе ДБО?
        Ответ: В ходе криминалистических исследований специалисты компании Group-IB обычно сталкиваются со следующей схемой проведения мошеннических платежных поручений:
        1. При заходе на интернет-ресурс, содержащий вредоносное программное обеспечение (ПО), скрытно от пользователя происходит запуск данной программы на компьютер с установленной программой интернет-банкинга. Само вредоносное ПО может не иметь функциональных возможностей для осуществления несанкционированных действий в системе ДБО, оно может только взаимодействовать с управляющим сервером с целью организации скрытого удаленного управления компьютером.
        2. Для удаленного управления компьютером скрытно от пользователя могут устанавливаться программы для удаленного администрирования, создаваться скрытые учетные записи для подключения в параллельной терминальной сессии и т. д.
        3. В результате действий вредоносного ПО и (или) злоумышленника происходит несанкционированное копирование логина и пароля для аутентификации в системе ДБО, а также необходимых криптографических ключей.
        Полученная информация может быть использована для проведения платежных операций на компьютере бухгалтера (в режиме скрытого удаленного управления компьютером) либо на компьютере злоумышленника.
        4. Также возможна подмена реквизитов платежного поручения вредоносной программой непосредственно перед его подписанием и передачей в банк.
        Вернуться к списку вопросов

      3. Вопрос: Какую юридическую силу имеют Ваши заключения?
        Ответ: Все криминалистические исследования, включая судебные экспертизы, проводятся в соответствии с требованиями российского законодательства с учетом методических рекомендаций ведущих государственных судебно-экспертных учреждений страны и международных организаций и принимаются в качестве допустимых доказательств в российских и иностранных судах.
        Также наши заключения могут послужить основанием для возбуждения уголовного дела, либо для подтверждения или опровержения сведений, полученных в рамках уже расследуемого уголовного дела.
        Вернуться к списку вопросов

      4. Вопрос: Каким образом можно получить необходимые для работы данные после того, как исходный носитель информации, после снятия образа, был упакован и опечатан?
        Ответ: По требованию заказчика все необходимые данные будут переданы указанным способом (по электронной почте, на компакт-диске и т. д.). Перед передачей данных производится их проверка на наличие вредоносного ПО (с целью исключения повторения инцидента).
        Вернуться к списку вопросов

      5. Вопрос: Каким образом формируется список вопросов, на которые предстоит ответить в ходе проведения исследования?
        Ответ: Список вопросов по инцидентам в системах онлайн-банкинга формируется на основании типовых вопросов, разработанных компанией Group-IB, с учетом требований заказчика и обстоятельств конкретного инцидента.
        Вернуться к списку вопросов

      6. Вопрос: Каким образом осуществляется взаимодействие с клиентом в процессе проведения исследования?
        Ответ: По всем вопросам заказчик может связаться в любое время по телефону или электронной почте с менеджером проекта, либо напрямую со специалистом, который проводит исследование. Со стороны нашей организации взаимодействие с клиентом производится ближе к концу недели по телефону и (или) электронной почте в виде еженедельного отчета, в котором заказчику сообщается статус, в котором находится исследование, и примерные сроки завершения исследования.
        Вернуться к списку вопросов

      7. Вопрос: Что можно сделать в случае необходимости ускоренного получения результатов исследования, например для предоставления заключения в правоохранительные органы для блокирования счета, на который были переведены денежные средства?
        Ответ: В данном случае, по согласованию с заказчиком, нашим специалистом может быть сформирован промежуточный отчет, в котором будут указаны основные сведения, имеющие отношение к делу, без указания деталей, технических подробностей и т. д., который может быть основанием для начала оперативных мероприятий.
        Вернуться к списку вопросов

      8. Вопрос: Могу ли я подать в суд на банк в случае мошенничества в системе ДБО?
        Ответ: Предугадать исход судебного иска достаточно тяжело, так как результат судебной тяжбы зависит от условий договора на предоставление услуг ДБО и от степени выполнения требований договора сторонами.
        Как правило, договоры на предоставление услуг ДБО содержат единственное условие признания легитимности платежного поручения — наличие корректной электронной подписи у платежного поручения. Стоит обратить внимание и на наличие в договоре пунктов о дополнительном подтверждении исполнения подозрительных платежных поручений.
        Также не стоит забывать и о том, что за безопасность компьютера несет ответственность его пользователь, а не банк.
        Вернуться к списку вопросов

      9. Вопрос: Какие действия следует предпринять банку в случае обнаружения инцидента у одного из клиентов?
        Ответ:
        0. Оповестить клиента о факте инцидента.
        1. Приостановить движение денежных средств (по возможности).
        2. Заблокировать криптографические ключи системы ДБО, рекомендовать клиенту сменить пароль.
        3. Провести расследование по факту инцидента.
        4. Предоставить клиенту копии платежных поручений, связанных с инцидентом.
        5. Предоставить клиенту сведения об IP-адресах и о MAC-адресах, с которых производилось взаимодействие с системой ДБО.
        Вернуться к списку вопросов

      10. Вопрос: Как банк может защищать свою систему ДБО?
        Ответ: Существуют различные способы защиты системы интернет-банкинга: аппаратные, программные и комбинированные методы. Банк может систематически отслеживать изменения среды информационной безопасности, как собственными силами, так и на основании уже проведенных расследований инцидентов. Следует заменять устаревшие методы защиты своих клиентов более новыми, например, заменять устаревшие носители ключевой информации (дискеты) на более новые (аппаратные ключи). Также нужно применять системы активной защиты (антифрод-системы).
        Но следует помнить, что средства защиты на стороне банка не дают стопроцентной гарантии безопасности.
        Вернуться к списку вопросов

      11. Вопрос: Какая система защиты ДБО наиболее эффективна?
        Ответ: Каждый элемент системы защиты интернет-банкинга эффективен в своей области применения, но суммарно они не обеспечивают стопроцентную защиту. Наиболее эффективной защитой системы ДБО является использование этих элементов в комплексе. Также очень важен регламент, согласно которому все элементы защиты должны быть использованы: например, если для проведения платежа необходим аппаратный ключ (токен), то это совершенно не значит, что он должен быть постоянно подключен к компьютеру.
        Вернуться к списку вопросов

      12. Вопрос: Какие меры необходимо предпринять для предотвращения инцидентов в системах ДБО?
        Ответ: Для предотвращения инцидентов в системах ДБО Клиенту, при использовании систем ДБО, рекомендуется придерживаться следующих правил:

        • сформировать инструкции по безопасной работе в соответствии с требованиями Банка, а также в соответствии с «Инструкцией по защите платежных АРМ» от компании Group-IB;
        • организовать отдельное рабочее место бухгалтера, которое будет использоваться исключительно для проведения платежных поручений в системе ДБО;
        • использовать только лицензионное ПО, регулярно обновлять его;
        • при подписании договора с банком о предоставлении услуг ДБО необходимо запросить у банка информацию о всех существующих способах идентификации стороны, инициирующей платежное поручение, а также: о проверке IP- и MAC-адресов компьютера, с которого производятся платежи; о практике контрольного взаимодействия для подтверждения платежного поручения до его исполнения; о практике ограничения суммы платежей и т.д.

        Вернуться к списку вопросов

      13. Вопрос: Как заменить секретные ключи и логин/пароль для аутентификации в системе ДБО после инцидента?
        Ответ: В зависимости от услуг, предоставляемых банком, замена секретной ключевой информации может производиться двумя способами:

        1. необходимо связаться с менеджером банка и написать заявление для смены ключевой информации;
        2. новая ключевая информация генерируется в специальных разделах на интернет-ресурсе банка.

        Логин и пароль, как правило, можно изменить на интернет-ресурсе банка.

        В любом случае, правила и процедуры изменения данных для аутентификации должны быть указаны в договоре с банком.
        Вернуться к списку вопросов

      14. Вопрос: Причастны ли сотрудники организации к инциденту в системе ДБО?
        Ответ: Стоит отметить, что причастность и виновность сотрудников организации может быть установлена исключительно решением суда на основании проведенного правоохранительными органами расследования с учетом норм действующего законодательства.Однако Клиент на основании проведенного специалистами Group-IB исследования получит исчерпывающую ориентирующую информацию о потенциально возможной причастности конкретного сотрудника к инциденту ИБ.
        Вернуться к списку вопросов

      15. Вопрос: Какова стандартная схема проведения инцидентов в системе ДБО?
        Ответ: В ходе криминалистических исследований специалисты компании Group-IB обычно сталкиваются со следующей схемой проведения поддельных платежных поручений:

        1. При заходе на интернет-ресурс, содержащий вредоносное ПО, скрытно от пользователя происходит его загрузка на компьютер бухгалтера. Само вредоносное ПО может не содержать функционал для осуществления несанкционированных действий в системе ДБО, оно может только взаимодействовать с управляющим сервером с целью организации скрытого удаленного управления компьютером.
        2. Для удаленного управления компьютером могут скрытно от пользователя устанавливаться программы удаленного администрирования, создаваться скрытые учетные записи для подключения в параллельной сессии и т. д.
        3. В результате действий специализированного вредоносного ПО и/или злоумышленника происходит несанкционированное копирование логина и пароля для аутентификации в системе ДБО, а также необходимых криптографических ключей.
        4. Полученная информация может быть использована для проведения платежных операций на компьютере бухгалтера, на компьютере самого злоумышленника и т. д.

        Вернуться к списку вопросов

        Я не нашел своего вопроса
        Вы всегда можете задать нам его, отправив вопрос по электронной почте по адресу info@group-ib.ru.

Новости компании

31.01.2012 Group-IB запускает новую услугу — «Защита рабочего места клиента ДБО»
24.01.2012 Group-IB и HostExploit: размер не имеет значения
Архив новостей >>

Пресса о нас

31.01.2012 Как отбиться от хакера
26.01.2012 Эксперты: Петербургскому спамеру ничего не грозит
Архив публикаций >>

     

 

Входит в LETA Group


   



Наши клиенты и партнеры





© Все права защищены Group-IB