Nasza-klasa, Facebook - scenariusze ataków

Użytkownicy serwisów społecznościowych to łakomy kąsek dla cyberprzestępców. Nieświadomi zagrożeń, dają się nabrać na fikcyjne konta i zawirusowane wiadomości. A stąd tylko krok do utraty danych i cennej tożsamości.

Osoby korzystające z dużych serwisów społecznościowych, takich jak nasza-klasa.pl czy , przeważnie nie czują najmniejszej potrzeby, by w jakiś szczególny sposób dbać o własne bezpieczeństwo. Wokół sami znajomi, a nad wszystkim czuwa obsługa portalu. Zapewnia ona użytkownikom wszystko to, czego potrzebują. Aby tylko nie musieli wystawiać nosa na zewnątrz, narażając się na przeglądanie podejrzanych stron WWW i ściągając zainfekowane pliki z sieci P2P.

Wydawałoby się, że w takich cieplarnianych warunkach ryzyko ataku jest znikome. Tymczasem serwisy społecznościowe z miesiąca na miesiąc przyciągają coraz większą uwagę cyberprzestępców. Trwa nieustanny wyścig o to, kto szybciej odkryje nową lukę w zabezpieczeniach największych serwisów.

Jak stać się zombie

Na początku 2009 r. wykryto na stronach naszej-klasy.pl błąd umożliwiający przeprowadzenie ataku typu XSS (cross site scripting). Polega on na osadzeniu na stronie WWW, korzystając ze znalezionych luk w zabezpieczeniach, złośliwego kodu. Jedyne, co trzeba zrobić, aby paść ofiarą ataku, to kliknąć odpowiednio spreparowany odnośnik do serwisu. Wyświetlona strona będzie działać poprawnie, ale w tle zostanie uruchomiony kod, który sprawi, że bez wiedzy użytkownika zostaną wykonane niepożądane akcje.

W przypadku naszej-klasy.pl wykryta luka umożliwiała spreparowanie odnośnika do podstrony prezentującej wyniki działania wyszukiwarki. Błąd został na szczęście szybko naprawiony, zanim ktokolwiek zdążył wykorzystać go do złych celów.

Pokrewnym rodzajem ataku jest CSRF, który z kolei stał się zmorą portalu Facebook. Każdy użytkownik tego serwisu ma swoją Tablicę, która zawiera podsumowanie jego aktywności i ostatnie komentarze. Wszystko zaczyna się od umieszczenia na fikcyjnym profilu atrakcyjnego zdjęcia, np. półnagiej kobiety, z odnośnikiem w rodzaju "kliknij po więcej". Po kliknięciu w link, internauta jest przenoszony do innej strony, która zawiera złośliwy kod. Powoduje on, że użytkownik nieświadomie zamieszcza takie zdjęcie i odnośnik na swojej Tablicy. Atak CSRF wykorzystuje fakt, że użytkownik jest aktualnie zalogowany na Facebooku, automatycznie wypełniając formularz na tym serwisie w jego imieniu. A stąd już krótka droga do rozprzestrzenienia fałszywego odnośnika wśród niczego nie przeczuwających znajomych.

Innym popularnym rodzajem ataku jest drive-by download. Na spreparowanej stronie, do której jest przekierowany użytkownik serwisu społecznościowego, umieszczany jest kod programów (tzw. exploitów) wykorzystujących luki w przeglądarce internetowej. Uruchamiają się one bez wiedzy użytkownika, pobierając w tle na jego komputer złośliwe oprogramowanie. Może to być np. trojan, służący do zbierania poufnych danych użytkownika lub wykorzystania jego komputera jako zombie do ataków DDoS.

Fałszywe linki

Firma Sophos opublikowała pod adresem go.pcworld.pl/a8eaa film instruktażowy dla użytkowników serwisu Facebook, tłumaczący jak ustrzec się przed kradzieżą tożsamości.

Firma Sophos opublikowała pod adresem go.pcworld.pl/a8eaa film instruktażowy dla użytkowników serwisu Facebook, tłumaczący jak ustrzec się przed kradzieżą tożsamości.

Ogromne zaufanie jakim użytkownicy obdarzają serwisy społecznościowe sprawia, że cyberprzestępcy wykorzystują je także do rozpowszechniania szkodliwego oprogramowania.

Symbolem takiego zagrożenia na Facebooku stał się robak Koobface (anagram słowa facebook). Rok temu użytkownicy serwisu zaczęli otrzymywać krótkie komentarze wraz z odnośnikiem, prowadzącym do pliku wideo. W rzeczywistości na docelowej stronie nie ma żadnego filmu, pojawia się natomiast komunikat informujący o konieczności zaktualizowania programu . Jeżeli nieświadomy niczego użytkownik zgodzi się na aktualizację, na jego komputerze zostanie zainstalowany wirus.

Jednym z powodów, dla których niezamierzone wizyty na podejrzanych stronach WWW zdarzają się tak często nawet doświadczonym użytkownikom serwisów społecznościowych, jest popularność serwisów świadczących usługę skracania adresów URL. Dzięki nim można w prosty sposób zamienić długi adres w rodzaju nazwastrony.domena.com na krótszy, np. 3.ly/yfE. Początkowo służyło to łatwiejszemu publikowaniu adresów na listach dyskusyjnych, potem taką formę przekazywania odnośników rozpowszechniły serwisy mikroblogowe z Twitterem na czele. Pomimo swoich licznych zalet, to rozwiązanie ma jednak jedną poważną wadę: aby móc szybko sprawdzić, gdzie prowadzi odnośnik, trzeba go kliknąć.

Problem stał się na tyle poważny, że w połowie grudnia Facebook uruchomił własną usługę skracania linków fb.me, która powinna uchronić użytkowników tego serwisu przed podobnymi zagrożeniami. Z kolei bit.ly, najpopularniejszy serwis skracający linki, podjął współpracę z firmą Sophos w celu wyłapywania potencjalnie niebezpiecznych adresów. Nie zmienia to jednak faktu, że w Sieci wciąż funkcjonują dziesiątki podobnych serwisów, pozbawionych jakichkolwiek zabezpieczeń. I to właśnie z nich korzystają cyberprzestępcy.

Lista zagrożeń:

  1. Ataki na przeglądarkę internetową

    Czasem wystarczy dziura w serwisie społecznościowym lub przestarzała przeglądarka internetowa, aby paść ofiarą ataków XSS, CSRF lub drive-by download.

  2. Robaki internetowe

    Wirus Koobface wziął swoją nazwę od serwisu Facebook. Poluje na użytkowników, którzy skuszą się, aby obejrzeć niepozorny film wideo i klikną w fałszywą aktualizację odtwarzacza Flash Player.

  3. Spam

    Osoby rozsyłające fałszywe wiadomości podszywają się pod profile znanych firm lub osób. Spam w serwisach społecznościowych sprawia wrażenie bardziej wiarygodnego, stąd więcej osób daje się nabrać.

  4. Phishing

    Cyberprzestępcy korzystają z usługi tzw. krótkich linków, aby lepiej zamaskować adres fałszywych stron WWW, które podszywają się pod prawdziwe serwisy społecznościowe.

  5. Kradzież tożsamości

    Przejęcie czyjegoś konta w serwisie społecznościowym wystarczy, aby skompromitować tę osobę w oczach znajomych i pracodawcy. Gorzej, jeżeli wykorzystuje ona to samo hasło także do innych serwisów, w tym do konta bankowego.