Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Geografia cyberprzestępczości: Europa Zachodnia i Ameryka Północna

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab



Internet nie zna granic. Jednakże, zgodnie z naszymi danymi – cyberprzestępczość posiada pewne specyficzne „cechy geograficzne”. W różnych częściach świata cyberprzestępcy uruchamiają różne szkodliwe programy, ich ataki mają różne priorytety i używają oni różnych sztuczek, aby zarabiać pieniądze. Dzieje się tak nie tylko z uwagi na fizyczne położenie, lecz również ze względu na charakterystykę krajów, w których znajdują się potencjalne ofiary. Kluczowymi czynnikami w tym przypadku są: poziom rozwoju gospodarczego kraju, liczba użytkowników internetu oraz poziom penetracji internetu w danym kraju.

W niniejszym artykule przeanalizujemy specyfikę działalności cyberprzestępców w krajach zachodnich: Stanach Zjednoczonych, Kanadzie i w Europie Zachodniej (Wielka Brytania, Austria, Belgia, Dania, Francja, Niemcy, Holandia, Luksemburg, Irlandia, Włochy, Hiszpania, Szwajcaria i Portugalia).


Streszczenie

    • PKB (według parytetu siły nabywczej, źródło: https://www.cia.gov/):
      • Stany Zjednoczone — 14,66 miliarda dolarów (szacunki na rok 2010), drugie miejsce na świecie;
      • Unia Europejska — 14,82 miliarda dolarów (szacunki na rok 2010), pierwsze miejsce na świecie.

    • Liczba użytkowników internetu (źródło: https://www.cia.gov/):
      • Stany Zjednoczone – 245 milionów, drugie miejsce na świecie;
      • Niemcy – 65,125 milionów, piąte miejsce na świecie;
      • Wielka Brytania — 51,444 milionów, siódme miejsce na świecie;
      • Francja — 45,262 milionów, ósme miejsce na świecie;
      • Włochy — 29,235 milionów, trzynaste miejsce na świecie.

  • Poziom penetracji internetu (źródło: http://www.internetworldstats.com/):
    • Ameryka Północna — 78,3 %, pierwsze miejsce na świecie;
    • Europa – 58,3 %, trzecie miejsce na świecie.
    • Korzystanie z internetu:
      • Internet jest wszędzie: w szkołach i w różnych instytucjach publicznych, w domu i w pracy;
      • Internet jest zawsze pod ręką: internet mobilny jest bardzo tani, a urządzenia mobilne (tablety i smartfony) są bardzo popularne;
      • Internet jest powszechnie używany do płacenia za usługi publiczne, dokonywania zakupów online oraz do zarządzania rachunkami bankowymi.

    • Odsetek użytkowników internetu narażonych na ataki (pierwsza połowa 2012 r.):
      • Stany Zjednoczone – 38,8 %, trzydzieste pierwsze miejsce na świecie;
      • Niemcy — 28,8 %, sto pierwsze miejsce na świecie;
      • Wielka Brytania — 36,8 %, czterdzieste drugie miejsce na świecie;
      • Francja – 36,3 %, czterdzieste czwarte miejsce na świecie;
      • Włochy – 43,5 %, osiemnaste miejsce na świecie;
      • Unia Europejska – 32,1 %.

  • Zagrożonych jest sporo użytkowników systemu Mac OS X oraz coraz więcej użytkowników smartfonów pracujących pod kontrolą systemu Android.
  • Systemy operacyjne najczęściej atakowane przez cyberprzestępców:
    • Windows
    • Android
    • Mac OS X

Prawie połowa badanych krajów zachodnich jest wśród dwudziestu krajów z największą liczbą użytkowników internetu – i są to użytkownicy bardzo aktywni. Większość uważa, że internet to nie tylko źródło informacji, ale również najprostszy sposób, aby pozostać w kontakcie ze znajomymi i najbardziej przystępna platforma dokonywania zakupów i płatności. Dodatkowo, w krajach zachodnich ludzie większość swoich oszczędności deponują w bankach i aktywnie używają internetowych i mobilnych systemów bankowych do zarządzania swoimi kontami. Jednocześnie, w krajach tych komputery są zazwyczaj bardzo dobrze zabezpieczone i często trudno jest cyberprzestępcom przeniknąć do systemu potencjalnej ofiary. Zachodni użytkownicy posiadają wystarczającą wiedzę i umiejętności, aby chronić swoje komputery przed infekcją. W szczególności, instalowanie programu antywirusowego jest podstawowym krokiem bezpieczeństwa, jaki podejmują użytkownicy w Stanach Zjednoczonych i Europie Zachodniej.

Użytkownicy komputerów w Stanach Zjednoczonych i Europie Zachodniej bardzo szybko przechodzą na nowe wersje systemów operacyjnych, utrudniając tym samym cyberprzestępcom znalezienie sposobów na obejście zabezpieczeń. Dla przykładu, w pierwszej połowie 2012 r. więcej niż połowa (62,4 %) wszystkich komputerów w tych krajach pracowała pod kontrolą systemu operacyjnego Windows 7. Jest to wynik o 6 punktów procentowych wyższy niż średnia światowa. Przy każdej nowej aktualizacji systemu operacyjnego zintegrowane rozwiązania bezpieczeństwa stają się bardziej zaawansowane. Obecne systemy operacyjne zawierają szereg mechanizmów do zwalczania złośliwego oprogramowania: DEP, ASLR, ograniczenia dotyczące instalowania sterowników bez podpisów cyfrowych itd. Ponadto, większość systemów operacyjnych jest licencjonowana. Umożliwia to automatyczne pobieranie aktualizacji, które są często krytyczne dla bezpieczeństwa całego systemu operacyjnego.


Specyficzne funkcje szkodliwych programów

Poziom bezpieczeństwa informacji w krajach zachodnich zmusza cyberprzestępców do rozwijania nowych technologii. Szkodliwe programy, dystrybuowane przez twórców złośliwego oprogramowania w tych krajach, posiadają wysoki poziom złożoności technicznej. Użytkownicy z Ameryki Północnej i Europy Zachodniej stają się królikami doświadczalnymi dla cyberprzestępców, którzy testują na nich swoje najnowsze „produkty”: zarówno technologie zaprojektowane do infekowania komputerów i ukrywania szkodliwego kodu w systemie, jak i różne mechanizmy oszustw prowadzących do zarabiania pieniędzy. Głównym celem działań cyberprzestępców w omawianym regionie są właśnie pieniądze. A jeśli chodzi o kradzież, najlepszym narzędziem są oczywiście trojany. Wszystkie szkodniki tego typu, które są dystrybuowane w krajach zachodnich, można podzielić na cztery grupy.



Dystrybucja trojanów ze względu na ich typ. Europa Zachodnia i Ameryka Północna, pierwsza połowa 2012 r.

Największą grupę stanowią trojany, które mają za zadanie dostarczać do komputera ofiary inne szkodliwe programy. Ponieważ autorzy szkodliwego oprogramowania nieustannie produkują modyfikacje swoich „dzieł” w celu obejścia aplikacji antywirusowych, istnieje ogromna liczba trojanów tego rodzaju. W międzyczasie technika dostarczania szkodliwych programów doprowadziła do powstania oddzielnego typu podejrzanych praktyk biznesowych.

Cyberprzestępcy są szczególnie zainteresowani drugą grupą programów czyli trojanami monitorującymi aktywność użytkownika i wykradającymi poufne dane. Najniebezpieczniejsze z tych trojanów, takie jak: Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes i Backdoor.Win32.Sinowal, zostały stworzone do przejmowania dostępu do kanałów bankowości elektronicznej. Jeżeli jeden z tych programów pomyślnie zainfekuje komputer ofiary, oszuści uzyskują dostęp do jej konta bankowego i mogą wykorzystać pieniądze ofiary według własnego uznania.

Kolejną grupą trojanów są szkodniki przeznaczone do wyłudzania pieniędzy. Grupa ta obejmuje fałszywe programy antywirusowe i aplikacje wymuszające okup. Istnieją także trojany wielofunkcyjne, które pełnią dwie lub więcej funkcji, takich jak np. kradzież danych użytkownika i jednocześnie pobieranie na komputer innych szkodliwych programów.


Pieniądze

Główne sposoby zarabiania pieniędzySzkodliwe programy wykorzystywane przez cyberprzestępców (zgodnie z klasyfikacją Kaspersky Lab)
Kradzież danych finansowych (zdobywanie dostępu do kont finansowych; kanałów bankowości elektronicznej, serwisów PayPal, Ebay itp.) Trojan-Banker, Trojan-Spy, Backdoor
Instalowanie i sprzedaż fałszywych aplikacji antywirusowych Trojan-FakeAV
Kradzież kont powiązanych z płatnymi usługami internetowymi, grami online czy serwisami społecznościowymi (Steam, World of Warcraft, Facebook, Skype itp.) Trojan-PSW, Trojan-GameThief, Trojan-Spy
Kradzież danych osobowych Backdoor, Trojan-Spy
Podstawianie wyników wyszukiwania, reklamy, fałszywe kliknięcia Trojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
Szantaż Trojan-Ransom

Rzućmy okiem na to, jak cyberprzestępcy bogacą się kosztem zaatakowanych użytkowników komputerów lub urządzeń mobilnych.


Kradzież danych finansowych

Bankowość internetowa sprawia, że użytkownicy w Stanach Zjednoczonych, Kanadzie i Europie Zachodniej są bardzo atrakcyjnym celem dla cyberprzestępców. Najgroźniejsze znane trojany, stworzone w celu zbierania danych finansowych, są powszechnie stosowane właśnie w tych regionach.

  • Sinowal (Mebroot) - szkodnik typu backdoor, który kradnie informacje finansowe. Aby przedostać się do systemu, infekuje pierwszy sektor rozruchowy na dysku twardym.
  • Zbot (ZeuS) - uniwersalny trojan, ukierunkowany na rachunki wielu banków. Twórcy szkodliwego oprogramowania aktywnie rozwijają ten projekt na podstawie kodów źródłowych drugiej wersji, które zostały zamieszczone na stronie internetowej.
  • SpyEye - uniwersalny trojan, ukierunkowany na rachunki wielu banków. Główny konkurent trojana Zbot (ZeuS), z tą różnicą, że w sieci nie ma jego kodów źródłowych.

W pierwszej połowie 2012 r. Stany Zjednoczone, Kanada i Europa Zachodnia odparły 70 % wszystkich ataków Backdoor.Win32.Sinowal (Mebroot), 41 % ataków Trojan-Spy.Win32.SpyEye i prawie jedną czwartą wszystkich ataków Trojan-Spy.Win32.Zbot.

Oprócz dostępu do rachunków bankowych użytkowników, cyberprzestępcy są bardzo zainteresowani uzyskiwaniem dostępu do kont PayPal i eBay: odpowiednio 34 % i 9 % wszystkich ataków phishingowych było ukierunkowanych na te serwisy. W obu przypadkach konta są powiązane z kartami bankowymi, co pozwala oszustom na kradzież pieniędzy. Oprócz informacji bankowych atakujący starają się wyłudzić inne dane, jak np. numery ubezpieczenia społecznego, daty urodzenia oraz kody zabezpieczeń (CVV2) kart kredytowych.

Europejskie i amerykańskie banki oraz systemy płatności elektronicznej traktują ten problem bardzo poważnie i oferują wiele różnych metod ochrony swoich klientów: uwierzytelnianie przy pomocy e-tokenów, hasła jednorazowe, potwierdzanie transakcji przy użyciu kodów wysyłanych na telefon komórkowy itp. Jednak cyberprzestępcy wciąż opracowują programy pozwalające na ominięcie środków bezpieczeństwa. Dla przykładu, rodzina oprogramowania Zitmo została zaprojektowana do atakowania telefonu komórkowego użytkownika i jest w stanie ominąć systemy dwuskładnikowego uwierzytelniania europejskich banków. Te mobilne szkodliwe programy działają w parze z trojanem Zbot (ZeuS): najpierw podczas wejścia do systemu bankowości internetowej z zainfekowanego komputera Zbot kradnie login i hasło, a następnie podczas transferu pieniędzy jego „mobilny pomocnik” Zitmo przejmuje kod autoryzacji transakcji (TAN) i wysyła go do cyberprzestępców.

Oficjalne dane dają wyobrażenie o tym, jak lukratywnym biznesem może być cyberprzestępczość. Złodzieje aresztowani w 2010 r. wykorzystując trojana Trojan-Spy.Win32.Zbot zdołali pobrać 9 milionów dolarów z ponad 600 kont w zaledwie trzy miesiące! I jest to tylko kwota pieniędzy, które można namierzyć. Przy tak wielu różnych grupach cyberprzestępczych całkowita suma skradzionych pieniędzy może być nawet dziesięciokrotnie większa.


Kradzież danych osobowych

Kradzież danych osobowych odgrywa ważną rolę w aktywności cyberprzestępców w Ameryce Północnej i Europie Zachodniej. Fora dla hakerów oferują bazy danych z personaliami klientów różnych sklepów i serwisów. Dostępny jest ogrom informacji, a same ceny są raczej niskie - zaledwie kilka centów (w przypadku zakupów hurtowych) za informacje o jednej osobie. Informacje o tysiącach różnych użytkowników różnych usług zazwyczaj kończą w rękach hakerów na skutek obecności luk lub błędów w konfiguracji serwerów i baz danych.

Najszerzej rozpowszechnione luki, które prowadzą do wycieków danych, to podatności na iniekcje SQL, niezabezpieczone bezpośrednie odniesienia do obiektów i uszkodzone mechanizmy uwierzytelniania i zarządzania sesją. Jednakże, oprócz luk cyberprzestępcy wykorzystują również błędy w konfiguracji aplikacji internetowych, takie jak: nieusunięte konta domyślne, otwarty dostęp do katalogów serwera, przechowywanie nieszyfrowanych haseł i poufnych informacji itd.

Najbardziej oczywistym sposobem wykorzystania tych danych jest rozpoczęcie spersonalizowanych ataków ukierunkowanych na konkretnych użytkowników. Ataki ukierunkowane mają większą szansę powodzenia niż ataki „w ciemno”: dystrybucja szkodliwych lub phishingowych wiadomości e-mail, celujących w konta w określonych bankach, staje się efektywna jedynie w przypadku dostarczenia wiadomości do skrzynek użytkowników będących faktycznie klientami danego banku. Osobiste dane użytkowników wymagane są także do dostępu do różnych usług finansowych, co tłumaczy zwiększający się popyt na te informacje wśród cyberprzestępców zaangażowanych w internetowe oszustwa bankowe.


Dystrybucja fałszywego oprogramowania antywirusowego

Prawie wszystkie fałszywe aplikacje antywirusowe posiadają angielskojęzyczne graficzne interfejsy użytkownika (GUI), ponieważ ich nadrzędnymi celami są użytkownicy z krajów zachodnich. Fałszywy biznes antywirusowy czerpie garściami z gotowości użytkowników do płacenia dużych pieniędzy, byleby tylko ich komputery były bezpieczne. Fałszywe oprogramowanie antywirusowe jest najczęściej rozpowszechniane poprzez programy partnerskie.



Dynamika wykrywania fałszywego oprogramowania antywirusowego w Stanach Zjednoczonych, Kanadzie i Europie Zachodniej w latach 2011 – 2012.

Cyberprzestępcy zaczęli rozpowszechniać fałszywe programy antywirusowe w Europie Zachodniej i Ameryce Północnej na początku 2011 r. W maju 2011 r. wprowadzili fałszywe oprogramowanie antywirusowe dla Mac OS X, dystrybuując je również za pośrednictwem programów partnerskich. W czerwcu 2011 r. liczba fałszywych programów antywirusowych osiągnęła swoją szczytową wartość (firma Kaspersky Lab wykryła ich ponad 900 000), zanim ustabilizowała się na dawnym poziomie. Zbiegło się to w czasie z aresztowaniem Pavla Vrublevskiego. Jednocześnie policja zatrzymała członków dwóch gangów cyberprzestępczych, które zajmowały się rozprzestrzenianiem fałszywych programów antywirusowych. Ponadto, wyszukiwarki stały się bardziej skuteczne w usuwaniu z wyników wyszukiwania złośliwych odnośników. Mimo, iż okres pomiędzy grudniem 2011 r. a styczniem 2012 r. został naznaczony kolejną falą ataków fałszywego oprogramowania antywirusowego, liczba fałszywych dystrybucji powróciła później do swojego początkowego poziomu.

Obecnie fałszywe programy antywirusowe nie przynoszą cyberprzestępcom wielkich zysków, choć zapewniają stały dochód, który satysfakcjonuje sporą grupę „partnerów”. Dochodowość tego biznesu ilustruje pewien fakt – otóż policja uważa, iż grupa nieuczciwych dystrybutorów fałszywych aplikacji antywirusowych (aresztowanych na Łotwie w czerwcu 2011 r.) w ciągu trzech lat wyłudziła 72 miliony dolarów od 960 tysięcy użytkowników.


Podmiana wyników wyszukiwania

W wielu przypadkach, schematy zarabiania pieniędzy wykorzystujące podmianę wyników wyszukiwania lub reklam tworzone są właśnie dla zachodnich użytkowników. Odpowiadając na zgłoszenie użytkownika, popularne silniki wyszukiwania dostają polecenie wyświetlenia witryn, na których najlepsze miejsca są wypełnione odsyłaczami z sieci reklamowych, a nie rzeczywistymi wynikami wyszukiwania. Kliknięcia w odsyłacze są opłacane przez reklamodawców, a zyski z każdego kliknięcia idą do cyberprzestępców, którzy zastąpili wyniki wyszukiwania reklamami.


Przykład wiadomości zamieszczonej na rosyjskim forum dla hakerów, która oferuje podstawienie wyników wyszukiwania dla użytkowników w Stanach Zjednoczonych, Kanadzie, Wielkiej Brytanii i Australii.

Technicznie jest to wykonywane z pomocą trojanów, które modyfikują ustawienia serwerów DNS / hostów plików w ten sposób, aby każde zapytanie użytkownika do wyszukiwarki przeszło przez serwer oszustów, umożliwiając tym samym podstawienie adresu URL. Ostatecznie wyniki wyszukiwania produkują odnośniki, którymi najbardziej zainteresowani są cyberprzestępcy. Dla przykładu, Trojan-Downloader.OSX.Flashfake, wykryty pod koniec 2011 r., infekował komputery pracujące pod kontrolą systemu Mac OS X i wykonywał podstawianie wyników wyszukiwania. Wykryty botnet składał się z ponad 700 000 zainfekowanych maszyn, co stanowi niemal 1 % wszystkich użytkowników Mac OS X. 84 % wszystkich zainfekowanych komputerów znajdowało się w Europie Zachodniej i w Ameryce Północnej.


Dziesięć krajów, z których Trojan-Downloader.OSX.Flashfake najczęściej wysyłał zgłoszenia do swojego centrum kontroli.

Kolejnym przykładem trojana, posiadającego tę samą funkcjonalność, jest Backdoor.Win32.ZAccess (ZeroAccess). Szkodnik szczególnie upodobał sobie użytkowników w Stanach Zjednoczonych (27,7 %) i w Niemczech (11 %).


Dystrybucja Backdoor.Win32.ZAccess, lipiec 2012 r.

Departament Sprawiedliwości Stanów Zjednoczonych oskarżył jedną z grup cyberprzestępczych o rozwinięcie schematu zarabiania pieniędzy z wykorzystaniem podstawiania wyników wyszukiwania. Według organów ścigania, oszuści przywłaszczyli sobie 14 milionów dolarów podczas pięciu lat nielegalnych operacji z użyciem szkodnika Trojan.Win32.DNSChanger.


Utajnione wymuszenia

Cyberprzestępcy w krajach zachodnich zaczęli aktywnie używać oprogramowania z kategorii „Trojan-Ransom” – programów, które do niedawna były prawie nieznane poza terenem byłego Związku Radzieckiego. Zasada ich działania jest prosta: po zainfekowaniu komputera blokują dostęp do niego poprzez zmianę ustawień systemowych lub otwarcie własnego okna na wierzchu wszystkich innych okien. „Na wolności” najczęściej spotykane są dwa typy trojanów wymuszających okup: tzw. pornblokery, które blokują komputer i jednocześnie żądają pieniędzy w zamian za zamknięcie okna wyświetlającego obsceniczne treści, lub programy, które blokują system operacyjny twierdząc, że na komputerze użytkownika wykryte zostało nielegalne oprogramowanie. Jednakże, w Europie takie sztuczki nie działają. W przypadku próby wymuszenia – praworządny obywatel będzie kontaktował się z policją. Poza tym większość użytkowników posiada licencjonowane oprogramowanie. Dlatego oszuści wdrożyli kolejny podstęp: blokują komputer ofiary i rzekomo w imieniu policji sugerują, że użytkownik musi uiścić grzywnę za odwiedzanie witryn zawierających pornografię dziecięcą lub sceny przemocy wobec dzieci.


Okno otwierane przez trojana wymuszającego okup, który nęka użytkowników w Wielkiej Brytanii.

Aktualnie znamy kilka wersji trojanów, które używają nazw i symboli charakterystycznych dla policji niemieckiej, francuskiej, angielskiej, szwajcarskiej, duńskiej, fińskiej i hiszpańskiej. Niestety, nie jest łatwo namierzyć do kogo trafiają pieniądze ponieważ oszuści używają systemów e-płatności, takich jak: Ukash, Epay lub PayPoint, w których nie zawsze możliwe jest monitorowanie transakcji. System Ukash został po raz pierwszy użyty w schemacie wyłudzeń zawierającym trojana GpCode, który został stworzony w byłym ZSRR.


Specyfika dystrybucji szkodliwego oprogramowania

Aby uruchomić złośliwy program, cyberprzestępcy muszą go najpierw dostarczyć do komputera użytkownika. Do głównych kanałów dystrybucji szkodliwego oprogramowania na całym świecie należą internet i nośniki wymienne. Nasze badania pokazują, że programy, które wnikają do komputerów użytkowników za pośrednictwem nośników wymiennych, jak i również klasyczne wirusy, które infekują pliki, nie działają zbyt aktywnie na terenach, o których mowa w niniejszym artykule. Programy antywirusowe, zainstalowane w większości przypadków, po prostu nie pozwalają robakom i wirusom na złamanie takiej ilości komputerów, aby możliwe było postępowanie procesu autoinfekcji. Poniższy schemat pokazuje, jak szkodliwe programy wnikają do komputerów w krajach zachodnich.


Wektory ataku w Europie Zachodniej i w Ameryce Północnej, pierwsza połowa 2012 r.

* Udział procentowy użytkowników Kaspersky Lab atakowanych za pośrednictwem specyficznego kanału na tle wszystkich atakowanych użytkowników produktów Kaspersky Lab w regionie.

Internet jest znacznie bardziej efektywnym sposobem atakowania użytkowników europejskich i amerykańskich. Zgodnie z naszymi danymi, w pierwszej połowie 2012 r. 80 % wszystkich zainfekowanych komputerów zostało zaatakowanych podczas przeglądania stron internetowych. Pierwsze dwie pozycje w zestawieniu zajmowane są przez Włochy i Hiszpanię – kraje które znajdują się w grupie wysokiego ryzyka infekcji podczas przeglądania stron internetowych (kraje, w których odsetek ataków na komputery przekracza 40 %).


Ryzyko infekcji podczas surfowania po internecie w Ameryce Północnej i w Europie Zachodniej, pierwsza połowa 2012 r.

* Odsetek unikalnych użytkowników narażonych na ataki internetowe na tle wszystkich unikalnych użytkowników produktów Kaspersky Lab w danym kraju.

Wszystkie pozostałe kraje, za wyjątkiem Danii, przynależą do grupy średniego ryzyka (21 – 40 %). W Szwajcarii, Niemczech, Austrii i Luksemburgu odsetek zaatakowanych użytkowników nie przekracza 30 %. Dania, która jest ostatnia na liście, jest jednym z najbezpieczniejszych krajów, z mniej niż 20 % atakowanych użytkowników.

W celu infekowania komputerów użytkowników poruszających się po internecie, przestępcy stosują różne sztuczki:

  • Infekują legalne strony;
  • Oszukują silniki wyszukiwania;
  • Rozprzestrzeniają szkodliwy spam w serwisach społecznościowych i na Twitterze.

Infekowanie legalnych witryn internetowych

Infekowanie legalnych witryn to trik, który jest najbardziej niebezpieczny dla odwiedzających i jednocześnie najbardziej skuteczny dla cyberprzestępców. W taki czy inny sposób, cyberprzestępcy uzyskują dostęp do popularnego serwisu i wprowadzają drobne zmiany do jego kodu. Gdy użytkownik odwiedza witrynę internetową, przeglądarka przechodzi przez wszystkie odsyłacze w kodzie strony i pobiera ich zawartość; w tym momencie ciąg znaków z wbudowanym złośliwym kodem przekierowuje przeglądarkę do dedykowanej strony zawierającej exploit, tj. szkodliwy program wykorzystujący luki w legalnym oprogramowaniu w celu wniknięcia do komputera użytkownika. Ten atak odbywa się bardzo dyskretnie: na pierwszy rzut oka strona wygląda i działa normalnie. W rzeczywistości w takich atakach zwykle używane są pakiety exploitów. Najpierw pakiet automatycznie wyszukuje luki w programach zainstalowanych na komputerze użytkownika, a następnie wysyła do komputera odpowiedni exploit. Dlatego, aby osiągnąć swój cel, cyberprzestępcy muszą znaleźć tylko jedną popularną aplikację, która jest nieaktualna.

Exploity pojawiają się i znikają – cały czas obserwujemy skoki popularności poszczególnych rozwiązań: u schyłku 2011 r. ulubioną platformą hakerów była Java, tuż przed Adobe Acrobat Readerem i Adobe Flash Playerem – cztery z pięciu najpopularniejszych exploitów wymierzone było właśnie w Javę. Jednakże, w pierwszej połowie 2012 r. zaobserwowaliśmy wielki powrót exploitów dla produktów firmy Apple.

5 najpopularniejszych exploitów nękających użytkowników z Ameryki Północnej i Europy Zachodniej:

W drugiej połowie 2011 r.

 Nazwa exploitaOdsetek zaatakowanych użytkownikówPodatna aplikacja
1 Exploit.Java.CVE-2010-4452.a 20,6 % Oracle Java (JRE)
2 Exploit.JS.CVE-2010-4452.l 3,4 % Oracle Java (JRE)
3 Exploit.JS.Pdfka.exr 3,0 % Adobe PDF Reader
4 Exploit.JS.CVE-2010-4452.t 2,9 % Oracle Java (JRE)
5 Exploit.Java.CVE-2010-0840.d 2,6 % Oracle Java (JRE)

W pierwszej połowie 2012 r.

 Nazwa exploitaOdsetek zaatakowanych użytkownikówPodatna aplikacja
1 Exploit.JS.Pdfka.fhh 20,1 % Adobe PDF Reader
2 Exploit.SWF.CVE-2011-0611.bt 10,8 % Adobe Flash Player
3 Exploit.Java.CVE-2011-3544.ct 6,9 % Oracle Java (JRE)
4 Exploit.JS.Agent.blb 5,6 % Oracle Java (JRE)
5 Exploit.JS.Pdfka.fhp 4,7 % Adobe PDF Reader


Oszukiwanie wyszukiwarek

Drugim bardzo popularnym trikiem jest oszukiwanie silników wyszukiwania (Black Hat SEO – ang. Black Hat Search Engine Optimization). Kiedy ta technika jest stosowana, specjalnie spreparowane witryny zawierające złośliwy kod są wyświetlane na szczycie listy wyników wyszukiwania. Twórcy wyszukiwarek zapewniają trafność wyników wyszukiwania. Dlatego też bardzo kłopotliwe i prawdopodobnie nieopłacalne dla cyberprzestępców jest pozycjonowanie złośliwych stron na górze listy wyników wyszukiwania dla rutynowych zapytań. Cyberprzestępcy opracowali bardziej skuteczną metodę: optymalizują swoje witryny do pracy z żądaniami wyszukiwania jakiegoś gorącego tematu, czyli do odpowiadania na zapytania dotyczące np. śmierci sławnej gwiazdy lub wydania długo oczekiwanego filmu. Producenci wyszukiwarek po prostu nie mają czasu, aby kontrolować wyniki wyszukiwania dla lawinowo pojawiających się zapytań.


Spam

Wysyłanie spamu na portalach społecznościowych lub na Twitterze jest bardzo popularną wśród cyberprzestępców metodą rozsyłania szkodliwych odnośników. Również i w tym przypadku spam jest nierozerwalnie związany z gorącymi tematami. Ostatnio cyberprzestępcy, atakujący użytkowników w krajach zachodnich, reaktywowali przesyłanie spamu poprzez pocztę elektroniczną jako metodę dostarczania niebezpiecznych ładunków. W chwili obecnej, poczta elektroniczna jest na Zachodzie bardzo często wykorzystywana do potwierdzania rejestracji w różnych serwisach oraz do komunikacji z bankami, funduszami emerytalnymi, sklepami, instytucjami państwowymi itd. Tak więc, e-maile zawierające złośliwe oprogramowanie są kamuflowane jako oficjalne powiadomienia z takich organizacji. W pierwszej połowie 2012 r. średnia miesięczna wiadomości zawierających szkodliwe załączniki stanowiła 2,8 – 4,3 % całego ruchu pocztowego. Wartość ta jest znacznie wyższa od średnich wartości w ciągu ostatnich trzech lat.

Zgodnie ze statystykami Kaspersky Lab, wiadomości e-mail stanowiły 2,5 % wszystkich źródeł infekcji w pierwszej połowie 2012 r. Ta statystyka obejmowała tylko e-maile zawierające szkodliwe załączniki i skrypty (wiadomości zawierające niebezpieczne odsyłacze były klasyfikowane jako ataki sieciowe), i nie uwzględniała wiadomości e-mail, które użytkownicy otrzymali z internetowych klientów pocztowych.


Cyberprzestępcza infrastruktura

Cyberprzestępstwa są możliwe do popełnienia tylko wtedy, gdy istnieje nowoczesna infrastruktura cyberprzestępcza – serwery centrum kontroli (C&C), platformy do rozprzestrzeniania szkodliwego oprogramowania, serwery proxy i botnety. Wszystkie te elementy fizyczne, tak samo jak wektory ataków, posiadają swoje osobliwości geograficzne.


Hosting szkodliwej zawartości

W Europie Zachodniej, Stanach Zjednoczonych i Kanadzie istnieją solidne podstawy prawne do zwalczania szkodliwej treści. Mimo to 69 % całej złośliwej zawartości było w pierwszej połowie 2012 r. hostowane właśnie na tych terenach. Innymi słowy: znacznie więcej niż połowa szkodliwych programów pojawiających się w internecie jest dostarczana z serwerów znajdujących się dokładnie w omawianych regionach.


Rozkład hostingu szkodliwej zawartości, 2010 r. – pierwsza połowa 2012 r.

Istnieją powody takiego stanu rzeczy. Po pierwsze, większość centrów danych zapewniających bezproblemowy hosting znajduje się na Zachodzie. Wielu poważnych graczy wybiera te centra hostingowe dla swoich projektów. Cyberprzestępcy włamują się do takich serwerów w celu uzyskania hostingu o wysokiej jakości. Kolejną ważną zaletą tych serwerów – z punktu widzenia cyberprzestępców – jest to, że mogą one prowadzić ataki z legalnych stron, co sprawia, że ochrona w takim przypadku staje się o wiele trudniejsza. Po drugie, dla usługodawcy wcale nie jest prostą sprawą odróżnić serwer cyberprzestępczy od serwera legalnego. Dlatego hakerzy nie mają zbyt wielkiej trudności z korzystaniem z usług świadczonych przez legalnych usługodawców. Chociaż usługi hostingowe zachodnich dostawców nie są tanie, to biorąc pod uwagę ogromne przychody cyberprzestępców, mogą sobie oni pozwolić na hosting o bardzo wysokiej jakości.


Strefy domenowe

Oprócz serwerów fizycznych, do rozpowszechniania złośliwego oprogramowania cyberprzestępcy potrzebują również domen do podłączania własnych stron internetowych. Najbardziej popularne są witryny internetowe w strefach domenowych .net, .com, .info i .org. Strefy te stanowiły platformy dla 44,5 % odpartych ataków, które zostały skierowane z zainfekowanych stron na użytkowników w Ameryce Północnej i Europie Zachodniej. Jednakże, istnieje również wiele krajowych stref domenowych, z których cyberprzestępcy notorycznie rozsyłają złośliwe oprogramowanie.


15 najpopularniejszych krajowych stref domenowych dla szkodliwych witryn, z których pochodziły ataki na użytkowników w Ameryce Północnej i Europie Zachodniej.

Użytkownicy ze Stanów Zjednoczonych, Kanady i Europy Zachodniej są zazwyczaj przekierowywani do witryn znajdujących się w strefach domenowych w Indiach (.in), Rosji (.ru) i na Wyspach Kokosowych (.co.cc). Domeny można zarejestrować bezpłatnie w strefie .co.cc; jest ona eksploatowana tak intensywnie, że w 2011 r. firma Google postanowiła nie indeksować witryn znajdujących się w strefie .co.cc. Jednakże, darmowe domeny nieustannie przyciągają cyberprzestępców.

Pozycje numer cztery i pięć zajmują witryny w strefach domenowych w Hiszpanii (.com.es) i we Włoszech (.it). Strefa domenowa Czarnogóry – .me – wywołuje oczywiste skojarzenia wśród osób posługujących się językiem angielskim i zawiera wiele witryn w tym języku, takich jak np. love.me. Włoska strefa domenowa (.it) jest używana w podobny sposób: wiele firm używa nazwy domeny jako angielskiego słówka „it” (np. „do.it”, „get.it” itd.). Dlatego też witryny internetowe, które zostały utworzone lub przejęte przez cyberprzestępców w tych strefach domenowych, biorą za cel zarówno użytkowników lokalnych, jak i wszystkich użytkowników angielskojęzycznych. Strefy domenowe Unii Europejskiej (.eu), Niemiec (.de) i Stanów Zjednoczonych (.us) znajdują się na spodzie listy dziesięciu stref krajowych domen najczęściej wykorzystywanych przez cyberprzestępców do ataków na użytkowników w Europie Zachodniej i w Ameryce Północnej.


Botnety

Botnety działające w połączeniu z programami partnerskimi są kolejną ważną częścią cyberprzestępczej infrastruktury w omawianym regionie. Program partnerski jest schematem rozwijanym i wykorzystywanym przez cyberprzestępców, opierającym się na precyzyjnym podziale pracy: istnieją twórcy szkodliwych programów i klienci gotowi zapłacić za rozpowszechnianie złośliwego oprogramowania; są wykonawcy, którzy za pieniądze rozpowszechniają złośliwe oprogramowanie i są organizatorzy programów partnerskich, którzy tworzą witryny, na których przedstawiciele powyższych grup mogą się komunikować.

Wiele botnetów to ogromna baza instalacji dla innych szkodliwych programów. Boty są opracowywane specjalnie do infekowania komputerów i pobierania na tych komputerach specyficznych szkodliwych programów, zgodnie z życzeniami „klientów”. Boty mogą maskować w systemie obecność pobranych szkodliwych programów i wykonywać dużo różnych dodatkowych zadań. Przykładem takiego bota jest niesławny TDSS, który do komputerów ofiar rozsyłał trojany bankowe, programy podmieniające DNS i fałszywe oprogramowanie antywirusowe. W 2011 r. 41,5 % wszystkich komputerów zainfekowanych przez TDSS było zlokalizowanych w Ameryce Północnej i Europie Zachodniej.

„Klient” może wybrać konkretne kraje, w których ma zostać wydany określony szkodliwy program. Europa i Stany Zjednoczone są najdroższymi (i oczywiście najbardziej wartościowymi dla cyberprzestępców) regionami, jeżeli chodzi o tego typu usługi – zainfekowanie tysiąca komputerów kosztuje tutaj od 100 do 150 dolarów. Dla przykładu, infekowanie komputerów w Azji stanowi około 1/10 tej ceny.


Wnioski

Większość krajów w Ameryce Północnej i Europie Zachodniej znajduje się wśród krajów o najwyższym współczynniku penetracji internetu. Praktycznie każdy użytkownik trzyma swoje pieniądze na kontach bankowych i aktywnie korzysta z kart związanych z rachunkami podczas płacenia za towary i usługi online. W omawianych regionach cyberprzestępcy zarabiają pieniądze na użytkownikach poprzez kradzież ich danych bankowych, a także poprzez oszustwa i wyłudzenia. Statystyki pokazują, że wiele komputerów w tych regionach jest zainfekowanych botami, które zbierają dane bankowe, rozsyłają fałszywe oprogramowanie antywirusowe i zakłócają ruch sieciowy: użytkownicy z tych regionów stanowili ponad 70 % ofiar ataków bota Sinowal, ponad 40 % ofiar ataków bota SpyEyes i około 67 % detekcji fałszywego oprogramowania antywirusowego w pierwszej połowie 2012 r. Jednak, jeśli przyjrzeć się bliżej cyberprzestępczej infrastrukturze, widać wyraźnie, że w omawianych regionach nie ma zbyt wielu botnetów, które wykonywałyby „brudną robotę”, taką jak rozsyłanie spamu, przeprowadzanie ataków DDoS lub ukrywanie cyberprzestępczych witryn internetowych. W naszym następnym artykule omówimy lokalizację większości komputerów wykonujących te działania.

Nowe wersje systemów operacyjnych są w omawianych krajach implementowane szybciej niż wszędzie indziej; programy zabezpieczające są zainstalowane na większości komputerów, a organy ścigania aktywnie zwalczają cyberprzestępczość. Jednak, mimo że penetracja komputerów w tej części świata jest stosunkowo trudna, cyberprzestępcy nie dają za wygraną tworząc coraz bardziej zaawansowane technologie i konsekwentnie wprowadzając je do działania. Najbardziej zaawansowane do tej pory trojany (naturalnie z wyjątkiem tych tworzonych przez tajne służby) operują właśnie w omawianych regionach. Na dodatek, użytkownicy systemu Mac OS X również stali się celem ataku: podczas kampanii wymierzonej w produkty Apple (w której użyty został trojan Flashfake), ponad 80 % infekcji zostało wykrytych w Stanach Zjednoczonych, Kanadzie i Europie Zachodniej. W omawianych regionach cyberprzestępcy do wdrażania serwerów centrów kontroli i dystrybucji szkodliwego oprogramowania używają zainfekowanych witryn internetowych i bezpiecznych usług hostingowych wysokiej jakości. Niemalże 70 % odnotowanych prób pobrania szkodliwych programów pochodziło z serwerów w Stanach Zjednoczonych, Kanadzie i Europie Zachodniej.

Badania firmy Kaspersky Lab wyraźnie pokazały, że internet jest wykorzystywany przez cyberprzestępców jako główny wektor ataku w krajach zachodnich. Odkryliśmy, że ponad 40 % komputerów użytkowników we Włoszech i Hiszpanii było narażone na ryzyko infekcji podczas surfowania w internecie w pierwszej połowie 2011 r. W innych krajach było to odpowiednio: 27 % w Wielkiej Brytanii, 36 % we Francji i 29 % w Niemczech. Po drugiej stronie Atlantyku sytuacja jest w dużej mierze taka sama: 39 % użytkowników KSN w Stanach Zjednoczonych i 37 % użytkowników w Kanadzie zostało przynajmniej raz zaatakowanych przez internet. Jeśli przewidywany kryzys gospodarczy się zmaterializuje, wpłynie to między innymi na sytuację cyberbezpieczeństwa w omawianych krajach. Liczba ataków na komputery i urządzenia mobilne użytkowników niechybnie wzrośnie, a bezpieczeństwo tych urządzeń zapewne ulegnie pogorszeniu, ponieważ ludzie będą oszczędzać na modernizacji sprzętu i zakupie nowych wersji programów.

W prognozowanej przyszłości, bankowość mobilna stanie się głównym celem dla cyberprzestępców. Ten trend będzie wspierany przez rosnącą popularność usług bankowych wśród właścicieli smartfonów i tabletów, i przez to, że liczne urządzenia przenośne nie mają zainstalowanych produktów bezpieczeństwa. Najpopularniejszym celem ataków staną się urządzenia mobilne pracujące pod kontrolą systemu operacyjnego Android.