Обзор Group-IB Digital Risk Protection, системы устранения цифровых рисков

1. Введение
2. Функциональные возможности Group-IB Digital Risk Protection
3. Архитектура Group-IB Digital Risk Protection
   1. 3.1. Антимошеннический модуль (Anti-Scam)
   2. 3.2. Антиконтрафактный модуль (Anti-Conterfeit)
   3. 3.3. Антипиратский модуль (Anti-Piracy)
   4. 3.4. Модуль выявления утечек данных (Data Leaks Detection)
   5. 3.5. Модуль защиты топ-менеджмента (VIP Protection)
4. Сценарии использования Group-IB Digital Risk Protection
5. Выводы

Введение

Законы информационной безопасности рождаются из актуальных киберугроз и чужих ошибок: там, где существует интернет-бизнес (а значит, клиенты, продажи товаров и услуг, финансы), всегда имеются и связанные с криминалом риски: потеря денег или ущерб для деловой репутации.

На недавней конференции Digital Risk Summit 2021 эксперты компании Group-IB озвучили шокирующую статистику: на мошенничество приходятся 73 % преступлений, происходящих в интернете. Из них 56 % — «скам» (обман, при котором жертва добровольно передаёт свои данные или финансовые средства), 17 % — фишинг. Если посмотреть на статистику онлайн-мошенничества в другом разрезе, 59 % его эпизодов приходятся на социальные сети, 23 % — на фейковые сайты, 6 % — на поддельные мобильные приложения. Group-IB называет подобную ситуацию «скамдемией». Это слово прекрасно характеризует происходящее: пандемия скама, от которого страдают все — и простые люди, и огромные корпорации.

В большинстве случаев при описанных видах мошенничества используются известные бренды. Распродажи товаров популярных компаний с огромными скидками, розыгрыши купонов от крупных нефтяных предприятий на бесплатный бензин, раздача биткоинов от имени топ-менеджмента больших корпораций — возможные сценарии ограничены только фантазией мошенников. Жертвами становятся как обычные люди, чьи данные или деньги оказались похищены, так и те организации, от имени которых производились подобные действия. Злонамеренное использование бренда может привести к тому, что жертвы больше не обратятся к той компании, с которой у них связаны плохие ассоциации, а также передадут негативную информацию другим людям.

Защита бренда, его репутации в интернете — совсем нетривиальная задача. Интернет растёт, и не всегда представляется возможным оперативно отследить появление новых мошеннических ресурсов при помощи обычных средств мониторинга. В связи с этим появился целый класс средств минимизации угроз от использования бренда в мошеннических целях — Digital Risk Protection. Решения подобного класса создаются и в России, причём международная компания Group-IB на этот рынок вышла одной из первых. Новая платформа Digital Risk Protection от Group-IB возникла из продукта Group-IB Brand Protection, но объединила в себе сразу пять модулей различной направленности, эффективно действующих против мошенников, контрафакта, пиратства, утечек данных и ненадлежащего использования «цифровых профилей» VIP-персон. Несмотря на то что платформа Digital Risk Protection была презентована только в 2020 году, она была сразу удостоена престижной награды Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

Перед Digital Risk Protection от Group-IB стоят весьма амбициозные задачи: поиск и блокировка ресурсов, которые используют в недобросовестных целях имя компании, её продукцию либо профили и аккаунты её топ-менеджмента. Блокировка возможна как в ручном режиме, так и в автоматическом — в зависимости от пожеланий заказчика.

Опишем стандартный сценарий использования Digital Risk Protection. Заказчик предоставляет Group-IB список легальных доменов, аккаунтов в соцсетях, магазинов-партнёров и других ресурсов. По предоставленным данным производится настройка платформы, после чего обученные нейросети начинают поиск контента выходящего за рамки описанного. Поиск ведётся в социальных сетях, по контекстной рекламе, в мессенджерах, на форумах, в базах данных фишинговых ресурсов, в магазинах мобильных приложений, в дарквебе и других источниках. Технологии, основанные на 18-летнем опыте Group-IB в расследовании киберпреступлений, знаниях Threat Intelligence и алгоритмах машинного обучения, позволяют автоматизировать сложные процессы выявления и классификации мошенничества под конкретную компанию и индустрию в любой стране мира.

Рисунок 1. Поиск ресурсов, на которых могут быть обнаружены следы мошенничества, в платформе Group-IB Digital Risk Protection

За день платформа может обнаружить несколько миллионов упоминаний клиента как на легитимных ресурсах, так и на подозрительных, причём само упоминание может быть даже графическим. После этого нейросеть анализирует содержимое найденных страниц, сужая список потенциальных нарушений и оставляя в шорт-листе для аналитиков только подозрительное.

В случае обнаружения подозрительных ресурсов сотруднику приходит запрос на дальнейшие действия — блокировку либо бездействие. В случае если заказчиком выставлены максимально жёсткие условия, запрос может не выдаваться — ресурс будет заблокирован автоматически.

Единственное исключение из этой логики — работа с обнаруженными утёкшими данными. Зачастую они выкладываются в неконтролируемой зоне интернета, на подпольных хакерских форумах, и их блокировка возможна в результате взаимодействия с правоохранительными органами, Интерполом, Европолом. В этом случае компания-заказчик получает уведомление о найденных данных и дальнейшее реагирование (смена паролей, возможно — документов, изменение кода программных продуктов и т. п.) ложится на неё.

Функциональные возможности Group-IB Digital Risk Protection

Digital Risk Protection обладает богатыми функциональными возможностями, выделяющими платформу среди аналогичных решений и делающими её действительно передовой разработкой. Многие применяемые в ней технологии являются по-настоящему инновационными.

Прежде всего, одной из основных составляющих платформы является система искусственного интеллекта, основанная на запатентованных методах обнаружения киберугроз.

Скоринговая модель, которая является ещё одной запатентованной технологией Group-IB, позволяет оценить риски для бизнеса с точки зрения использования логотипа защищаемого бренда и схожих доменных имён.

Графовый анализ поможет вычислить всю сетевую инфраструктуру мошенников, даже если у исследователей минимум информации о них — почта, аккаунты в соцсетях, IP-адрес, телефон. Информация визуализируется и позволяет не только проанализировать масштаб действий злоумышленников, но и принять превентивные меры для минимизации ущерба.

Отметим также возможность устранения выявленных нарушений. Первыми шагами здесь являются идентификация истинного владельца ресурса, на котором обнаружен подозрительный контент, и отправка запроса на устранение нарушения. В случае если отправленный запрос не помог решить проблему, процесс переходит на этап эскалации, на котором Group-IB, используя партнёрскую сеть по всему миру, ликвидирует нарушение. Третьим этапом процесса является отправка официального досудебного уведомления о блокировке.

Тонкая настройка платформы позволяет выбрать степень реакции на обнаруженный подозрительный ресурс — начиная от уведомления администратора защищаемой организации и заканчивая автоматической блокировкой.

Архитектура Group-IB Digital Risk Protection

Digital Risk Protection состоит из пяти модулей, охватывающих различные направления деятельности потенциального заказчика. Благодаря этому платформа весьма универсальна. Модули являются наборными: потребитель может использовать то количество модулей, которые считает необходимым. Всё зависит от тех рисков, которые планируется минимизировать с помощью платформы.

Антимошеннический модуль (Anti-Scam)

Мошенники охотно применяют подделку под известные бренды, поскольку те являются привлекательной наживкой для пользователей. По оценке Group-IB, в 2020 г. на один российский банк приходилось более 500 фальшивых аккаунтов. Задачей модуля Anti-Scam является поиск и устранение ресурсов, которые используют защищаемый бренд с целью обмана. Для решения этой задачи применяется сразу несколько направлений поиска. В первую очередь это — мониторинг фишинговых и скам-ресурсов, мессенджеров, социальных сетей и других источников. Мониторинг рекламных сетей (контекстных и в социальных медиа) позволяет найти и предотвратить любое нелегитимное применение бренда в рекламных целях. Не менее опасны мобильные приложения, имеющие следы модификации или подделки с использованием защищаемого бренда; в связи с этим отслеживаются магазины (как официальные — App Store или Google Play, — так и неофициальные). Платформа умеет автоматически связывать не использовавшиеся ранее для мошенничества домены с уже известными, обеспечивая раннее реагирование и предотвращение мошеннических действий.

Антиконтрафактный модуль (Anti-Conterfeit)

Задача модуля — выявление и блокировка ресурсов предлагающих контрафактную продукцию под брендом защищаемой компании. Для этого нейросети, работающие в составе модуля, совершают следующие действия: находят и блокируют предложения фальсифицированной продукции на всех цифровых платформах, отслеживают соблюдение партнёрской политики, производят идентификацию всех нелегальных каналов дистрибуции (производство, склады и т. д.), раскрывая всю цепочку поставки контрафакта. Также модуль имеет возможность отправки писем в точки продаж и в компании, занимающиеся сбытом такой продукции.

Антипиратский модуль (Anti-Piracy)

Задачей модуля является борьба с незаконным распространением материалов охраняемых авторским правом: видео- и аудиопродукции, книг, газет и т. д. Из-за пиратства правообладатель может потерять часть доходов и покупателей, а также понести репутационный ущерб, поскольку качество копии может быть значительно ниже оригинала.

Модуль умеет мониторить веб-ресурсы, начиная от торрент-трекеров и стриминговых сервисов и заканчивая группами в социальных сетях и пиратскими платформами в «глубоком» интернете. Для удаления пиратского контента важно не только найти подобное содержимое как таковое, но и идентифицировать его владельца. Эта задача также под силу модулю — он ищет владельца ресурса, на котором выложена информация, и устанавливает с ним прямой контакт, позволяющий гарантировать доставку отправленного ему сообщения. Ещё одна особенность модуля — использование специальных возможностей для немедленного удаления нелегитимного контента. Group-IB имеет модераторские аккаунты в популярных соцсетях, платформах и форумах, что позволяет незамедлительно блокировать опасные ресурсы.

Модуль выявления утечек данных (Data Leaks Detection)

Утечка данных может привести к разным последствиям, среди которых — нарушение бизнес-процессов, потеря прибыли и покупателей, репутационный ущерб, штрафы и проблемы с законодательством. Модуль обнаружения утечек производит мониторинг репозиториев кода для обнаружения разных типов конфиденциальных данных (учётные записи, код программных продуктов и т. д.), баз данных и форумов в дарквебе и «глубоком» интернете. Этот модуль — единственный в составе платформы, который не предполагает активных действий в части блокировки или удаления контента. Это связано с тем, что данные часто располагаются в неконтролируемой зоне Сети. Полезность модуля — в том, что обладая информацией об утечках, заказчик может своевременно отреагировать на них (поменять учётные данные, изменить код и т. п.).

Модуль защиты топ-менеджмента (VIP Protection)

Главные цифровые риски для VIP-персон в интернете связаны уже не только с публикацией компромата, но и со взломом и «угоном» персонального аккаунта, созданием «цифрового двойника», например поддельной учётной записи в соцсети. Следом за этими действиями злоумышленники могут потребовать выкуп или использовать захваченные площадки для дезинформации. Топ-менеджеры или владельцы компаний могут быть абсолютно непубличными людьми, но это не мешает появлению фейковых аккаунтов. На самом деле сделать такой аккаунт не очень сложно, в открытом доступе обычно много фотографий и информации о человеке. У многих известных бизнесменов есть более 50 фейковых аккаунтов. А про медийных личностей — политиков, режиссёров, актёров, спортсменов — уже даже можно не говорить.

Фейковый аккаунт может долгое время не представлять угрозы — например, просто перепечатывать какие-то новости. Но завоевав доверие, он способен резко начать мошенническую деятельность — например, рекламировать контрафактный товар, несуществующие услуги. В случае с бизнесменом такие аккаунты могут вызвать падение котировок акций на бирже, если вдруг мошенники заявят, скажем, о закрытии части бизнеса. А фейковый аккаунт политика может нанести вред репутации этого человека и даже втянуть страну в дипломатический скандал. Group-IB всегда советует проактивно блокировать такие аккаунты. Недавно, например, компания заблокировала фейковый аккаунт депутата Госдумы, который вели неизвестные с Ближнего Востока.

Система позволяет делать своеобразную проверку, как в медицинской клинике. Она проверяет, что в интернете есть о человеке и его семье: утечки паролей, фейковые события из жизни, компромат, какими автомобилями или недвижимостью он владеет. Данные о персоне собираются примерно месяц, потом их систематизируют. В итоге человек может посмотреть, какие риски для него несут эти данные. Предупреждён — значит вооружён.

Сценарии использования Group-IB Digital Risk Protection

Рассмотрим использование Digital Risk Protection на примере модуля Anti-Scam.

Основное меню модуля показывает подозрительные ресурсы, на которых обнаружены упоминания защищаемой организации.

Рисунок 2. Основное меню модуля Anti-Scam платформы Group-IB Digital Risk Protection

По каждому источнику можно посмотреть более детальные сведения, состоящие из скриншота подозрительного ресурса, информации о домене и хостинге. Материалы дополняются скоринговыми рейтингами, разработанными компаний Group-IB и помогающими оценить создаваемый ресурсом риск.

Рисунок 3. Детальная информация по мошенническому ресурсу, предоставляемая пользователю платформы Group-IB Digital Risk Protection

Нажав на скриншот, можно внимательнее изучить данные с обнаруженной страницы — где используется логотип бренда, в каком контексте представлена мошенническая информация.

Рисунок 4. Мошенническая страница, имитирующая бренд Всемирной Организации Здравоохранения, обнаруженная с помощью платформы Group-IB Digital Risk Protection

Как видно из представленного рисунка, некий ресурс, используя бренд Всемирной Организации Здравоохранения (ВОЗ), обещает выплаты «случайно выбранному» человеку. Всё, что надо сделать, — ответить на три вопроса, после чего оставить сведения о своей банковской карте. Чтобы атакуемый пользователь чувствовал себя более уверенно, под «опросом ВОЗ» находятся комментарии людей якобы получивших подобные выплаты. Общий скоринговый рейтинг основывается на сочетании двух оценок: по использованию домена (похожесть на защищаемый домен) и по использованию логотипа заказчика. Также учитывается множество дополнительных параметров.

Рисунок 5. Система скоринговых рейтингов Group-IB Digital Risk Protection

Для анализа риска со стороны домена применяется ряд дополнительных показателей, таких как возраст домена, наличие карты сайта, статус сертификата и другие.

Рисунок 6. Оценка риска с точки зрения защиты домена, предоставляемая в платформе Group-IB Digital Risk Protection

Ещё одна особенность нейросетей платформы — использование множества вариантов при попытке обращения к потенциально мошенническому ресурсу, т. к. доступ к нему может быть открыт при определённых условиях: конкретная географическая зона, нужная злоумышленнику операционная система на устройстве и др.

Как отмечалось выше, Digital Risk Protection от Group-IB позволяет строить графы связей между ресурсами, которые имеют какие-либо общие признаки: почта хозяина, IP-адреса и т. д. Это позволяет в дальнейшем предотвратить использование скрытых доменов в мошеннических операциях.

Рисунок 7. Граф связей между ресурсами в платформе Group-IB Digital Risk Protection

Выводы

Платформа Digital Risk Protection от компании Group-IB — своевременное и необходимое решение для защиты бизнеса, способное минимизировать ряд рисков как с финансовой точки зрения, так и с точки зрения репутации. Успешность Digital Risk Protection подтверждается рядом решённых задач как в России, так и за рубежом.

В рамках борьбы с нелегитимным использованием бренда одной известной аграрной компании были заблокированы 24 поддельных сайта и 38 почтовых адресов, с которых потенциальным клиентам заказчика уходили мошеннические письма. Предотвращённые убытки — не менее 2 млрд рублей. Ещё один кейс по этому же модулю — защита онлайн-сервиса путешествий. Результатами проведённой работы стали обнаружение более 12 тыс. схожих доменных имён, 2 тыс. рекламных объявлений и мобильных приложений, нацеленных на защищаемый сервис, и блокировка 100 % ресурсов, которые могли бы нанести вред бренду заказчика.

В рамках борьбы с пиратством в интернете по одному из клиентов компании были достигнуты следующие результаты: за три года удалено более 140 тыс. ссылок на ресурсы с пиратским контентом, 90 % из них — в досудебном порядке. При работе с другим заказчиком получились ещё более значимые цифры: обнаружено около 1 млн пиратских ссылок, из которых заблокированы около 96 %.

Достоинства:

• Запатентованная система скоринга и использование нейронных сетей.
• Обнаружение всей сети мошеннических ресурсов благодаря технологии слежения за инфраструктурой злоумышленников.
• Хранение доказательной базы на случай судебных разбирательств.
• Автоматическая блокировка мошеннических ресурсов.

Недостатки:

• Отсутствие русскоязычного интерфейса.