Co nowego, niebezpiecznego?

Cyberkryminaliści chyba jeszcze nigdy nie byli tak pomysłowi i zdeterminowani - zrobią wszystko, by dostać się do twojego komputera i twoich pieniędzy. Dowiedz się, co ci grozi i jak się temu przeciwstawić.

Cyberkryminaliści chyba jeszcze nigdy nie byli tak pomysłowi i zdeterminowani - zrobią wszystko, by dostać się do twojego komputera i twoich pieniędzy. Dowiedz się, co ci grozi i jak się temu przeciwstawić.

Phishing, vishing, mishing, SQL injection, DNS injection, botnet, zombie PC - oto tylko kilka z wielu nowych terminów, które musiał sobie w ostatnich miesiącach przyswoić każdy dbający o bezpieczeństwo internauta. To nazwy tylko niektórych - bardziej popularnych - technik wykorzystywanych w ostatnim czasie przez internetowych przestępców. W tekście przedstawiamy najnowsze trendy w przestępczych działaniach - przyznać bowiem trzeba, że e-bandyci bywają zaskakująco pomysłowi...

Oczywiście, zagrożenie ze strony komputerowych przestępców nie jest niczym nowym - z najróżniejszymi wirusami, trojanami i innymi szkodnikami zmagamy się wszak już od co najmniej dwóch dekad. Kilka lat temu ich metody i cele zaczęły się jednak powoli zmieniać - autorzy szkodliwego oprogramowania zorientowali się, że pisanie programów, które tylko szkodzą (np. pamiętny CIH vel Czernobyl) jest owszem, świetną zabawą dla autora - ale żyć się z tego nie da. Wtedy też zaczęły powstawać pierwsze "szkodniki" wyspecjalizowane w działaniach, których celem była kradzież informacji (a docelowo – pieniędzy). W minionych kilkunastu miesiącach mamy do czynienia z prawdziwą eskalacją tego trendu - przestępcy wręcz prześcigają się w opracowywaniu coraz to nowszych i bardziej skutecznych metod okradania internautów. Nie wystarczają już im klasyczne wirusy czy konie trojańskie - współcześni e-zbóje stosują cały wachlarz wyrafinowanych sztuczek psychologicznych i oszukańczych trików. Ich cel jest zawsze ten sam - zdobyć twoje pieniądze. Bywa jednak realizowany na najróżniejsze sposoby - poprzez kradzież danych niezbędnych do logowania się do serwisów online, e-banków, przechwytywanie numerów kart kredytowych, a nawet wymuszanie okupu lub haraczu.

Phishing, czyli "my być twój bank, ty nam dać hasło"

Idea metody znanej jako phishing jest dość prosta - to w sumie klasyczne oszustwo, w którym ktoś podszywa się pod przedstawiciela instytucji, której ufamy, i w ten sposób wyłudza od nas cenne informacje. W wypadku internetowego phishingu wygląda to zwykle tak: w skrzynce pocztowej internauty pojawia się e-mail, z którego opisu wynika, iż został on wysłany przez znany bank lub inną instytucję finansową. Z treści wiadomości dowiadujemy się, że ów bank (czy instytucja) miał właśnie awarię (lub modernizację) systemu informatycznego i dlatego odbiorca listu powinien odwiedzić specjalną stronę - jej adres jest podany w e-mailu - i wpisać na niej swój login i hasła do e-banku. Po kliknięciu odsyłacza internauta zostaje przekierowany na stronę o adresie podobnym do znanego mu e-banku. Jeśli poda tam żądane informacje, przejmie jest przestępca.

Oto typowy e-mail phishingowy - w tym wypadku celem ataku byli klienci polskiego banku BZ WBK.

Oto typowy e-mail phishingowy - w tym wypadku celem ataku byli klienci polskiego banku BZ WBK.

Z metody tej przestępcy korzystają od dość długiego czasu i to wciąż z sukcesami - mimo iż media często donoszą o kolejnych atakach phishingowych, a bankowcy i spece od bezpieczeństwa apelują, by ignorować takie wiadomości. Niestety, wielu internautów wciąż nie przyswoiło sobie tej podstawowej wiedzy.

Warto odnotować, że takie ataki są obecnie coraz częstsze również w Polsce - celem phisherów już kilkakrotnie stali się klienci rodzimych banków. Na nasze szczęście wielu phisherów nie włada językiem polskim i trafiające do polskich użytkowników Internetu wiadomości tworzone są często za pomocą internetowych translatorów. Dlatego zdarza się, że w naszych skrzynkach pojawiają się e-maile zatytułowane "My być Twój bank, ty nam dać hasło". A na taką sztuczkę da się nabrać chyba tylko mało rozgarnięty internauta...

Vishing i mishing - przestępcy ewoluują

Jak już wspomnieliśmy, phishing stał się ostatnio bardzo popularną metodą i choć niektórzy wciąż dają się nabrać oszustom, to znaczna część internautów wie, że takie e-maile należy ignorować. Dlatego też przestępcy zaczęli szukać nowych metod wyłudzania danych - efektem tego jest powstanie dwóch mutacji klasycznego phishingu - ich nazwy to mishing i vishing. Pierwsza z nich niewiele odbiega od pierwowzoru - jest to po prostu mobilna odmiana phishingu. Oznacza to, iż jej celem są zwykle użytkownicy najróżniejszych urządzeń przenośnych - najczęściej chodzi tu o właścicieli telefonów komórkowych.

E-mail pochodzący jakoby z Microsoftu – jego zadaniem jest skłonienie użytkownika do zainstalowania w systemie szkodliwego oprogramowania (w tym wypadku podszywającego się pod poprawkę do Windows).

E-mail pochodzący jakoby z Microsoftu – jego zadaniem jest skłonienie użytkownika do zainstalowania w systemie szkodliwego oprogramowania (w tym wypadku podszywającego się pod poprawkę do Windows).

Zdecydowanie ciekawszym zjawiskiem jest vishing (nazwa powstała z połączenia słów voice + phishing) - czyli metoda oszukiwania, wykorzystująca... obawę użytkowników przed klasycznym phishingiem. Standardowy scenariusz takiej akcji wygląda następująco: do internauty dzwoni przestępca i przedstawia się jako... pracownik banku lub instytucji zajmującej się płatnościami. Oszust tłumaczy, że w ostatnim czasie zagrożenie ze strony phishingu jest tak poważne, że aby uniknąć ryzyka bank zdecydował się na konsultacje telefoniczne z klientami. Do tego niezbędne jest jednak wcześniejsze zweryfikowanie tożsamości klienta - czyli... podanie nazwy użytkownika i hasła dostępu do serwisu e-bankowego. Aby uniknąć wyśledzenia, "visherzy" korzystają zwykle z telefonii VoIP.

Szkodliwe oprogramowanie z legalnych witryn

O botnetach - czyli sieciach komputerów zombie - powiedziano i napisano już wiele, również na łamach naszego miesięcznika. Dlatego nie będziemy po raz kolejny tłumaczyć, jak funkcjonują botnety - ograniczmy się jedynie do przypomnienia, że są to zarządzane przez przestępców sieci komputerów zarażonych złośliwym oprogramowaniem. Ich "władcy" wykorzystują je - jakże by inaczej - do zarabiania. Na sieciach zombiePC można zarabiać na najróżniejsze sposoby - np. wysyłając spam, infekując komputery oprogramowaniem reklamowym czy wymuszając pieniądze od właścicieli legalnych serwisów (przestępcy zwykle grożą im atakiem DDoS i wyłączeniem serwisu).

Botnety wciąż pojawiają się i znikają - dlatego ich twórcy i administratorzy wciąż szukają nowych metod infekowania kolejnych komputerów. I wykazują się w tym zakresie niewyczerpaną wręcz inwencją. Przestępcy już dawno zorientowali się, że internauci zachowują się szczególnie ostrożnie na stronach tradycyjnie uważanych za podejrzane - serwisach pornograficznych, witrynach z nielegalnym oprogramowaniem itp - ponieważ wiedzą, że wyjątkowo łatwo "złapać" na nich wirusa czy trojana. Autorzy złośliwych programów postanowili więc poszukać nowego sposobu na dostarczane swoich produktów do komputerów użytkowników Internetu. Szukali, szukali i... znaleźli.

Zdjęcie, które atakuje

Do niedawna wydawało się, że samo przeglądanie stron WWW nie naraża nas na atak złośliwego oprogramowania - do tego niezbędne było pobranie i uruchomienie jakiegoś niebezpiecznego pliku. Te czasy już jednak minęły - dziś mnóstwo wirusów czy koni trojańskich instaluje się bezpośrednio ze stron WWW, wykorzystując do tego błędy w przeglądarkach. Niedawno pojawił się nowy, „szkoleniowy” sposób na przeprowadzenie takiego ataku, który będzie skuteczny nawet w uaktualnionej aplikacji. Ów atak wykorzystuje nowy typ pliku, łączący właściwości grafiki oraz skryptu JAVA - twórcy nazwali go GIFAR (GIF+JAR).

Jego autorzy - specjaliści z firmy NGS - tłumaczą, że jest to nowy, hybrydowy typ pliku - jego nietypowość polega na tym, iż różne programy identyfikują go jako zupełnie różne typy danych. To pozwala na wykorzystanie go do atakowania internautów - można go osadzić na każdej stronie umożliwiającej publikowanie zdjęć i z jego pomocą wykradać loginy i hasła użytkowników. "Udało nam się stworzyć aplet JAVA, który dla większości programów jest grafiką" - tłumaczy John Heasman, wiceprezes działu badań NGS Software.

Wiadomo, że po osadzeniu pliku na stronie serwer i przeglądarka będą go traktowały jak grafikę w formacie GIF - jednak wtyczka JAVA do przeglądarki uzna go za aplet i uruchomi go. Dzięki temu możliwe będzie uruchomienie w systemie złośliwego kodu z ominięciem zabezpieczeń przeglądarki (ponieważ przeglądarka i aplikacje zabezpieczające nie będą widziały w nim żadnego zagrożenia).

Okazało się, że znaczna liczba dostępnych w sieci stron WWW zawiera proste błędy programistyczne (głównie luki typu cross-site scripting), które co prawda nie pozwalają wyrządzić poważniejszych szkód samej witrynie, ale umożliwiają umieszczanie na niej dodatkowej treści. Przestępcy nie potrzebowali nic więcej - od kilku miesięcy intensywnie wykorzystują owe błędy (oraz fakt, że administratorzy nie usuwają ich na czas) do osadzania na stronach niewielkich skryptów, przekierowujących internautę z legalnej strony na witrynę ze szkodliwym kodem. Od początku roku mieliśmy już co najmniej kilka takich masowych, zautomatyzowanych ataków na dziurawe strony WWW - ich efektem było osadzenie złośliwego kodu na kilkuset tysiącach "legalnych" stron. Nie oszacowano na razie, ile komputerów zwykłych internautów zostało w ten sposób zarażonych wirusami czy botwormami - liczby te mogą jednak być ogromne.


Zobacz również