Cyberzagrożenia w nowym roku


Konta w grach

W październiku 2012 r. analitycy zagrożeń firmy ESET ostrzegali grających w "Diablo III" przed atakami phishingowymi, których celem było wyłudzenie danych dostępu do kont w serwisie battle.net. W rozsyłanej korespondencji oszuści informowali graczy o złamaniu regulaminu serwisu. Jednocześnie, aby uniknąć sankcji wystarczyło ponownie zalogować się do serwisu za pomocą dołączonego linku, który oczywiście kierował do fałszywej witryny, zbierającej dane wprowadzane w oknie logowania. Ten, kto w porę nie wykrył próby wyłudzenia danych, mógł na dobre stracić dostęp do swojego konta w battle.net. Kamil Sadkowski, ekspert firmy ESET przypomina, aby nigdy nie klikać odnośników w wiadomościach namawiających do zalogowania się do konta pocztowego, profilu w serwisie społecznościowym czy też rachunku karty kredytowej.

Na ten sam problem zwraca uwagę Maciej Ziarek z Kaspersky Lab. "Coraz większa popularność gier wymagających jedynie przeglądarki internetowej do np. prowadzenia swojej postaci, sprawiła, że rynek ten wart jest miliony dolarów. Od dłuższego czasu obserwujemy wzmożoną aktywność cyberprzestępców na tym polu. Ich celem są kradzieże kont, postaci oraz przedmiotów, które rzadko występują w grze, dzięki czemu ich cena w portalach aukcyjnych potrafi osiągnąć astronomiczną wysokość. Można się spodziewać, że wraz z rozwojem e-sportu w nadchodzącym roku ataki wymierzone w graczy mogą się nasilić, a metody stosowane przez cyberprzestępców nie będą się ograniczały do phishingu" - uważa analityk z Kaspersky Lab.

Immunet

Immunet

Nowoczesna bankowość

Banki na całym świecie szukają sposobu na przyciągnięcie klientów przez zaoferowanie im unikatowych usług i funkcji. Na rynku są już mechanizmy, które umożliwiają realizację przelewów gotówkowych za pomocą profilu na Facebooku. Wymaga to otwarcia bezpłatnego subkonta, powiązaniu go z profilem w serwisie społecznościowymi oraz zainstalowania niewielkiej aplikacji, która umożliwi szybkie przelewy pieniężne między znajomymi.

Specjaliści ds. bezpieczeństwa są jednak sceptycznie nastawieni do tego typu funkcji. "Można przypuszczać, że nowa forma realizowania transakcji pieniężnych będzie atrakcją dla oszustów i hakerów, którzy z łatwością wykorzystają niski poziom zabezpieczenia profili na Facebooku. Obecnie coraz częściej mamy możliwość logowania się w wielu miejscach za pomocą swojego konta - jest to skrajnie niebezpieczne, szczególnie dla osób, które mają to samo lub podobne hasło w kilku miejscach w sieci, np. do skrzynki e-mailowej" - tłumaczy Mateusz Sell z FileMedic.

Coraz więcej banków udostępnia aplikacje mobilne, które umożliwiają wygodny dostęp do bankowości elektronicznej z dowolnego miejsca na świecie przy użyciu smartfonu lub tabletu. Warto jednak zwrócić uwagę, że aplikacje te dystrybuowane są w tych samym kanałach, z których pobierasz oprogramowanie, narzędzia i gry. Istnieje realne ryzyko, że użytkownicy będą pobierać fałszywe aplikacje, różne od tych, które zostały udostępnione przez banki w sklepach Google Play lub iTunes.

Dziurawe bazy danych

Dariusz Łydziński, Szef działu bezpieczeństwa, ochrony informacji i audytu, Unizeto Technologies

Zauważalna jest tendencja zwiększania się liczby baz danych, które zawierają wrażliwe informacje. Serwisy społecznościowe i platformy e-commerce, takie jak Facebook czy Amazon, żądają i gromadzą coraz więcej danych o swoich użytkownikach. W efekcie powstaje coraz więcej baz danych zawierających dane osobowe. W tym momencie wzrasta szansa na wyciek danych z takich baz, co stanowi poważne zagrożenie dla prywatności internautów. Firmy na całym świecie próbują zebrać możliwie jak najwięcej informacji o swoich klientach, często bez ich jednoznacznej wiedzy o tym, co rodzi wiele kontrowersji.

Warto zwrócić również uwagę na zagrożenia związane z przejęciem danych przesyłanych w sieci, bez wiedzy i zgody stron uczestniczących w transmisji. Dzięki podsłuchowi intruz może wprost zdobywać dane, które go interesują (na przykład finansowe), lub też nazwy i hasła logowania, dające mu dostęp do kolejnych informacji i zasobów. Konsekwencje podsłuchania mogą być bardzo kosztowne zarówno dla osoby, której zasoby przejęto (w wymiarze osobistym), jak i organizacji, w której ona pracuje (przejęte mogą zostać ważne informacje mające wpływ na działalność tej komórki).

Jak się przed tym chronić? Użytkownicy powinni stosować wiele uzupełniających się produktów, np. oprogramowanie antywirusowe, zaporę sieciową, narzędzia do szyfrowania dysków oraz zawsze pamiętać o podstawowych zasadach bezpieczeństwa, takich jak regularne aktualizowanie systemu operacyjnego czy ochrona programu pocztowego przed spamem.

Stare-nowe zagrożenia

Wydawać by się mogło, że skoro cała energia cyberprzestępców skierowana jest na urządzenia mobilne i serwisy społecznościowe, użytkownicy zwykłych pecetów mogą czuć się bezpieczniej. Nic z tych rzeczy. Aby się o tym przekonać, wystarczyć zajrzeć do raportu "Globalne trendy w rozwoju zagrożeń", który co miesiąc publikuje firma ESET. We wrześniu 2012 roku w pierwszej dziesiątce zagrożeń znalazły się aż cztery związane z ukrywaniem złośliwego kodu w HTML lub JavaScripcie. HTML/ScrInject.B i HTML/Iframe.B to grupa robaków, które wykorzystują luki w zabezpieczeniach przeglądarek i systemu Windows w taki sposób, aby za pomocą szkodliwego kodu infekować komputer ofiary kolejnymi złośliwymi programami. Pierwsze miejsce w rankingu najczęstszych powodów infekcji komputerów należy jednak do grupy programów INF/Autorun. Robaki tego typu do rozpowszechniania wykorzystują plik autorun.inf, który wymusza automatyczne uruchomienie nośników pamięci podłączanych do komputera.

Dziwi natomiast wysokie, czwarte miejsce robaka Win32/Conficker, który w sieci pojawił się już pod koniec 2008 roku. Conficker wykorzystuje luki zabezpieczeń w usłudze RPC systemu Windows, które już dawno temu zostały załatane. Utrzymujące się zagrożenie ze strony robaka pokazuje, że użytkownicy komputerów nadal nie dbają o aktualizację systemu operacyjnego i zainstalowanego oprogramowania.

F-Secure Mapa zagrożeń

F-Secure Mapa zagrożeń

Ataki ukierunkowane

Pierwszym szerzej znanym robakiem, który atakował ściśle określone instalacje przemysłowe, był odkryty w 2010 roku Stuxnet. Wykorzystywał nieznane wówczas luki w zabezpieczeniach Windows, a dzięki przenośnym pamięciom USB mogło się rozpowszechniać w zamkniętych sieciach lokalnych. Na początku stycznia 2011 roku dziennik "New York Times" zasugerował, że Stuxnet został opracowany przez naukowców izraelskich i amerykańskich w celu zatrzymania programu atomowego Iranu. Zadaniem robaka było włamanie się i sparaliżowanie pracy irańskiej elektrowni Natanz przez zmianę częstotliwości pracy konwerterów napędów wirówek służących do wzbogacania uranu, co w rezultacie skutkowało ich uszkodzeniem.

Stuxnet to najlepiej udokumentowany przypadek wykorzystania złośliwego oprogramowania przez rząd jednego z krajów do ściśle ukierunkowanego cyberataku na cele przeciwnika. Napięcia i konflikty w różnych częściach świata sprawiają, że istnieją realne podstawy do przewidywania podobnych działań w przyszłości, skierowanych przeciwko jednostkom rządowym, instytucjom publicznym, przedsiębiorstwom użyteczności publicznej, takim jak wodociągi czy zakłady energetyczne, rezerwom ropy i gazu, operatorom telekomunikacyjnym oraz bankom. W kontekście cyberwojny każdy kraj staj się potencjalnym celem ataku, przy czym wyraźnie widać napięcia na linii USA / Izrael - Iran / Chiny. Nie należy również bagatelizować Rosji, która słynie z wybitnych naukowców z dziedziny bezpieczeństwa informatycznego.

"Rosnąca liczba zagrożeń ze strony cyberprzestępców wciąż wskazuje na przeprowadzanie licznych ataków na różne instytucje rządowe oraz firmy komercyjne jako główny cel tego typu działań. Cyberataki mogą doprowadzić do sparaliżowania działalności firmy oraz skutkować utratą wrażliwych informacji. Najpoważniejszymi konsekwencjami włamań są zakłócenia działalności firmy oraz utrata wrażliwych danych, które mogą wystawić firmę na niebezpieczeństwo strat i utratę reputacji" - twierdzi Dariusz Łydziński, szef działu bezpieczeństwa w Unizeto Technologies.

Stuxnet wcale nie był pierwszym robakiem zaprojektowanym do prowadzenia cyfrowej wojny. Dopiero w maju ub. roku badacze z Kaspersky Lab odkryli robaka Worm.Win32.Flame, którego skala działania oraz sposób zaprojektowania wielokrotnie przewyższa wszystko to, z czym mieliśmy do czynienia do tej pory. Firma Kaspersky ogłosiła, że prace nad powstaniem Flame trwały już od grudnia 2006 roku w ramach zaawansowanej kampanii cyberszpiegowskiej sponsorowanej przez rząd. Kaspersky nie podaje, co prawda, oficjalnie o jaki rząd lub rządy chodzi, ale powiązania z robakiem Stuxnet wskazują, że przynajmniej w części Flame wyszedł spod ręki tego samego programisty. Znaleziono go w kilku krajach Bliskiego Wschodu, w tym w Iranie, Izraelu i Sudanie.

Flame wyróżnia się modularną budową, dzięki czemu operator może na żądanie ładować dodatkowe funkcje robaka. Jednocześnie, wciąż nie jest znane przeznaczenie wszystkich modułów. Złośliwe oprogramowanie replikuje się przez nośniki wymienne oraz w sieciach lokalnych. Zasadniczym celem Flame’a jest wykradanie (szpiegowanie) danych na wiele różnych sposobów. Oprogramowanie potrafi nagrywać dźwięk mikrofonu, śledzić urządzenia Bluetooth w pobliżu, podsłuchiwać ruch sieciowy, wykonywać zrzuty ekranu oraz rejestrować znaki wprowadzane na klawiaturze.

Każdego roku na intensywności przybierają też ataki ukierunkowane na konkretnych pracowników lub grupy osób zatrudnionych w instytucjach publicznych i przedsiębiorstwach. Ataki tego typu poprzedzone są dokładną analizą ofiary oraz systemów informatycznych używanych w organizacji, np. przez sprawdzenie właściwości publikowanych w internecie dokumentów. Odpowiednio przygotowany e-mail przypomina korespondencję służbową. Po otwarciu załączników zawierających złośliwe oprogramowanie najpierw dochodzi do zainfekowania komputera pracownika, a później wszystkich systemów w sieci lokalnej, podatnych na daną lukę w zabezpieczeniach.

Kaspersky Endpoint Security

Kaspersky Endpoint Security

Jak producenci oprogramowania antywirusowego przygotowują się na nowe zagrożenia?

Tomasz Kuźniar, FileMedic

Producenci oprogramowania antywirusowego powinni szukać innowacyjnych sposobów na znalezienie potencjalnych źródeł zagrożeń komputerowych oraz metod ich zabezpieczania. Z tego powodu eksperci FileMedic stale rozwijają bardzo zaawansowane metody emulacji oraz detekcji do programów przeznaczonych do Windows 8/ARM Edition. Prowadzimy też innowacyjny monitoring zawartości sklepów z aplikacjami. Pozwala to na znalezienie zagrożeń, które może napotkać każdy użytkownik internetu czy smartfonów. Rozbudowujemy także własną sieć tzw. czujek, przechwytujących nowe zagrożenia w internecie. Kluczem do ochrony użytkowników programu antywirusowego jest możliwie jak najszybsze dostarczenie odpowiedniej aktualizacji bazy zagrożeń. Specjalistyczne laboratoria pracują przez 24 godziny na dobę, dlatego takie aktualizacje mogą odbywać się nawet kilka razy dziennie. Producenci programów antywirusowych powinni również wzmacniać skuteczność ochrony w obszarach, w których obecnie zwiększone jest zagrożenie ze strony przestępców. Szczególnie dotyczy to ochrony transakcji gotówkowych oraz wykrywania prób wyłudzenia danych metodą phishingu.

Maciej Ziarek, Kaspersky Lab

W każdym nowym wydaniu aplikacji antywirusowej dokonuje się wielu poważnych zmian. Dzięki temu użytkownik zawsze otrzymuje produkt dostosowany do aktualnych zagrożeń i chroniący w sposób kompleksowy. Przykładem nowości przewidzianych na rok 2013 w produktach Kaspersky Lab jest ochrona haseł mająca uniemożliwić ich przechwycenie. Z naszych danych wynika, że około 34% użytkowników stosuje bardzo słabe hasła i nieprawidłowo nimi zarządza. Nowa technologia pozwoli zmniejszyć szanse na przechwycenie hasła przez szkodliwe oprogramowanie. Inną czynnością często lekceważoną przez użytkowników jest regularne aktualizowanie systemu i zainstalowanych aplikacji. Kaspersky Lab wprowadza w nowej odsłonie produktów funkcję zapobiegania wykorzystaniu luk w oprogramowaniu, między innym przez ograniczenie działań, jakie mogą wykonywać aplikacje zawierające dziury. W związku ze wzrostem zagrożenia systemów mobilne, wprowadzamy produkty do ochrony nie tylko smartfonów, ale także tabletów. Dzięki temu użytkownik może zapewnić kompleksową ochronę każdemu rodzajowi urządzenia, z którego obecnie korzysta.