Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Cyberzagrożenia finansowe w 2013: Część 2 - szkodliwe oprogramowanie

Tagi:


  1. Cyberzagrożenia finansowe w 2013: Część 1 - phishing
  2. Cyberzagrożenia finansowe w 2013: Część 2 - szkodliwe programy

Główne ustalenia

Według informacji zgromadzonych przy użyciu podsystemów ochrony zawartych w produktach firmy Kaspersky Lab, w 2013 roku nastąpił gwałtowny wzrost liczby ataków finansowych, zarówno phishingowych jak i wykorzystujących szkodliwe oprogramowanie. 

Poniżej przedstawiamy główne wyniki badania:

Szkodliwe oprogramowanie dla komputerów PC

  • W 2013 roku spośród wszystkich użytkowników internetu, którzy zostali dotknięci jakimś rodzajem szkodliwego ataku, 6,2% padło ofiarą ataków finansowych z wykorzystaniem szkodliwego oprogramowania. Jest to wzrost o 1,3 punktu procentowego w porównaniu z 2012 rokiem.  
  • W 2013 roku liczba cyberataków wykorzystujących szkodliwe oprogramowanie w celu kradzieży danych finansowych wzrosła o 27,6% do 28 400 000. Liczba użytkowników zaatakowanych przez takie finansowe szkodliwe oprogramowanie wyniosła 3 800 000, co stanowi wzrost o 18,6% w porównaniu z poprzednim rokiem.   
  • Spośród wszystkich szkodliwych programów, których celem są finanse, najbardziej dynamiczny wzrost odnotowały narzędzia związane z walutą i infrastrukturą Bitcoin. Jednak czołową rolę nadal odgrywa szkodliwe oprogramowanie tworzone w celu kradzieży pieniędzy z kont bankowych, takie jak ZeuS. 

Mobilne szkodliwe oprogramowanie  

  • W kolekcji Kaspersky Lab zawierającej próbki szkodliwego oprogramowania liczba złośliwych aplikacji dla Androida, których celem jest kradzież danych finansowych, zwiększyła się niemal pięciokrotnie w drugiej połowie 2013 r. – z 265 próbek w czerwcu do 1321 w grudniu.   
  • W 2013 r. eksperci z Kaspersky Lab po raz pierwszy wykryli trojany dla systemu Android potrafiące kraść pieniądze z kont bankowych zaatakowanych użytkowników.

W dalszej części tekstu przedstawimy bardziej szczegółowo rozwój ataków, przyjrzymy się ich rozkładowi geograficznemu oraz liście ich celów.

Finansowe szkodliwe oprogramowanie

Programy, których celem jest kradzież e-pieniędzy i danych finansowych, stanowią obecnie jedne z najbardziej skomplikowanych typów szkodliwego oprogramowania. Tworzenie takich szkodników to szansa na szybki zarobek, dlatego szkodliwi użytkownicy nie szczędzą środków ani wysiłku na rozwijanie trojanów i backdoorów finansowych. Eksperci z Kaspersky Lab zauważyli, że twórcy szkodliwego oprogramowania gotowi są nawet zapłacić dziesiątki tysięcy dolarów za informacje o nowych lukach w zabezpieczeniach – pierwszy koder, który obejdzie systemy bezpieczeństwa produktu, zostawi całą konkurencję przestępczą daleko w tyle.       

Szkodliwe oprogramowanie wykorzystywane do kradzieży danych i popełniania oszustw miało udział w stosunkowo niewielkim odsetku ataków (0,44% w 2013 r.). Trzeba jednak podkreślić, że w porównaniu z poprzednim rokiem odsetek ten wzrósł o 0,12 punktu procentowego. Jeżeli chodzi o liczbę użytkowników dotkniętych cyberzagrożeniami finansowymi, ich odsetek jest znacznie wyższy. 6,2% wszystkich rodzajów ataków wykorzystujących szkodliwe oprogramowanie stanowiły ataki oparte na zagrożeniu finansowym – to o 1,3 punktu procentowego więcej niż w 2012 roku.        

Użytkownicy zaatakowani w 2013 roku

fin-threats-2013-p2-en-19.png 

W 2013 r. finansowe szkodliwe oprogramowanie dotknęło 6,2% wszystkich użytkowników będących celem ataków z wykorzystaniem szkodliwego oprogramowania

Nie ma istotnego związku pomiędzy liczbą ataków a liczbą atakowanych użytkowników. W latach 2012-2013 miesięczna liczba ataków różniła się o kilka dziesiętnych procenta. Wiosną 2012 roku liczba ta gwałtownie spadła i aż do jesieni 2013 r. nie wzrosła już do swojego poprzedniego poziomu, mimo że liczba zaatakowanych użytkowników nie odnotowała żadnych znacznych wahań i w mniejszym lub większym stopniu zwiększała się miesięcznie.  

Finansowe szkodliwe oprogramowanie: ataki i zaatakowani użytkownicy w latach 2012-2013

fin-threats-2013-p2-en-20_auto.png 

Liczba użytkowników będących celem ataków wykorzystujących finansowe szkodliwe oprogramowanie rosła na przestrzeni 2013 r.

Zaobserwowany wiosną 2012 r. spadek liczby ataków może mieć związek z rozbiciem kilku grup cyberprzestępczych. Z kolei wzrost liczby ataków zaobserwowany w ciągu ostatnich sześciu miesięcy 2013 r. można wyjaśnić kilkoma czynnikami: szkodliwi użytkownicy odkryli nowe luki w zabezpieczeniach Oracle Java, co pozwoliło im przeprowadzać więcej ataków. Co więcej, po wzroście kursu wymiany waluty bitcoin pod koniec roku pojawiło się więcej programów tworzonych w celu kradzieży tej kryptowaluty z e-portfeli użytkowników.    

Granice zagrożeń: rozkład geograficzny ataków i zaatakowanych użytkowników

Państwem najczęściej atakowanym przez finansowe szkodliwe oprogramowanie w latach 2012-2013 była Rosja, która stanowiła cel 37% wszystkich ataków. W badanym okresie żadne inne państwo nie odnotowało udziału przekraczającego 10%.  

Najczęściej atakowane państwa w latach 2012-2013

fin-threats-2013-p2-en-21.png 

10 najczęściej atakowanych państw było celem 70% wszystkich ataków z wykorzystaniem finansowego szkodliwego oprogramowania w ciągu ostatnich dwóch lat.

Rosja znalazła się również na pierwszym miejscu pod względem liczby ataków w ciągu jednego roku. O ile liczba użytkowników atakowanych w Rosji zmniejszyła się tylko nieznacznie w 2013 roku, większość innych państw z rankingu Top 10 odnotowała wzrost.

Ataki z wykorzystaniem finansowego szkodliwego oprogramowania na całym świecie.

fin-threats-2013-p2-en-22.png 

Użytkownicy będący celem finansowego szkodliwego oprogramowania według państwa

fin-threats-2013-p2-en-23.png 

Liczba użytkowników zaatakowanych przez finansowe szkodliwe oprogramowanie w ciągu jednego roku zwiększyła się w ośmiu na 10 najczęściej atakowanych państw.

Najbardziej narażeni na finansowe szkodliwe oprogramowanie byli użytkownicy z Rosji: w 2013 r. każdy użytkownik będący celem cyberprzestępców specjalizujących się w szkodliwym oprogramowaniu finansowym był atakowany średnio 14,5 razy – dla porównania, średnia dla mieszkańców Stanów Zjednoczonych wynosiła ponad osiem razy w roku.      

Państwo

Liczba ataków wykorzystujących finansowe szkodliwe oprogramowanie

Zmiana w stosunku rocznym

Średnia liczba ataków na użytkownika

Rosja

11 474 000+

55,28%

14,47

Turcja

899 000+

156,41%

9,22

Stany Zjednoczone

1 529 000+

-22,76%

8,08

Wietnam

1 473 000+

65,08%

6,43

Kazachstan

517 000+

-26,88%

6,15

Włochy

593 000+

-32,05%

5,61

Indie

1 600 000+

65,03%

4,47

Ukraina

401 000+

-7,54%

4,07

Niemcy

747 000+

-0,73%

3,9

Brazylia

553 000+

-21,02%

3,87

Średnia liczba ataków na mieszkańca będącego celem finansowego szkodliwego oprogramowania w 2013 r.

Czołowe miejsca w rankingu Top 10 państw będących celem zagrożeń związanych z finansami online zajęła Turcja i Brazylia. Odsetek użytkowników będących celem ataków finansowych w tych państwach wynosił odpowiednio 12% i 10,5% całkowitej liczby użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem w 2013 r. W Rosji liczba ta wynosiła nieco ponad 6%, podczas gdy w Stanach Zjednoczonych celem cyberataku finansowego stał się zaledwie jeden na 30 zaatakowanych użytkowników.    

 

Państwo

Użytkownicy zaatakowani przez finansowe szkodliwe oprogramowanie

Zmiana w stosunku rocznym

% użytkowników zaatakowanych dowolnym rodzajem szkodliwego oprogramowania

Turcja

97 000+

37,05%

12,01%

Brazylia

143 000+

29,28%

10,48%

Kazachstan

84 000+

5,11%

8,46%

Włochy

105 000+

20,49%

8,39%

Wietnam

229 000+

31,77%

7,4%

Indie

358 000+

59,1%

6,79%

Rosja

792 000+

-4,99%

6,16%

Ukraina

98 000+

22,73%

6,08%

Niemcy

191 000+

43,22%

5,52%

Stany Zjednoczone

189 000+

22,30%

3,1%

Użytkownicy zaatakowani przez finansowe szkodliwe oprogramowanie w 2013 r. i poszczególne odsetki mieszkańców państw, którzy padli ofiarą dowolnego rodzaju szkodliwego programu. 

Rzut oka na mapę świata pokazuje, że odsetek ataków finansowych jest stosunkowo niewielki w Chinach, Stanach Zjednoczonych, Kanadzie i wielu państwach europejskich. Czołowe państwa z tej kategorii są zlokalizowane na całym świecie, a wśród nich znajduje się Mongolia, Kamerun, Turcja i Peru.         

Odsetek użytkowników, którzy natrafili na finansowe szkodliwe oprogramowanie, w stosunku do całkowitej liczby użytkowników zaatakowanych przez szkodliwe oprogramowanie w 2013 r.

fin-threats-2013-p2-en-24.png 

Poznaj swojego wroga: przykłady finansowego szkodliwego oprogramowania

Aby zrozumieć, które szkodliwe programy atakowały aktywa finansowe użytkowników i tworzyły krajobraz zagrożeń w zeszłym roku, eksperci z Kaspersky Lab umieścili narzędzia wykorzystywane przez cyberprzestępców w różnych kategoriach. Dla celów związanych z tym badaniem przyjrzano się 30 najbardziej rozpowszechnionym szkodliwym programom wykorzystywanym w atakach finansowych. W zależności od funkcji programu i jego celów zostały one dalej podzielone na cztery grupy: szkodliwe oprogramowanie bankowe, keyloggery, szkodliwe oprogramowanie kradnące walutę bitcoin oraz instalatory oprogramowania kryptowaluty bitcoin.      

Najbardziej zróżnicowaną grupę programów stanowi bankowe szkodliwe oprogramowanie, które obejmuje trojany i backdoory, których celem jest kradzież gotówki z kont online lub przechwytywanie danych niezbędnych do kradzieży gotówki. Niektóre z bardziej znanych programów z tej grupy to: Zbot, Carberp oraz SpyEye. 

Ataki wykorzystujące finansowe szkodliwe oprogramowanie w 2013 r.

fin-threats-2013-p2-en-25.png 

Programy z drugiej kategorii – keyloggery – mają na celu kradzież poufnych informacji, w tym finansowych. Często, tę samą funkcję wykonują trojany bankowe, co może przyczynić się do mniejszego wykorzystywania keyloggerów jako osobnych narzędzi. Najbardziej znane spośród keyloggerów to KeyLogger i Ardamax.

Dwie ostatnie grupy szkodliwego oprogramowania są związane z kryptowalutą bitcoin, która w ostatnich kilu latach jest niezwykle pożądana przez oszustów finansowych. Pogramy te obejmują narzędzia wykorzystywane do kradzieży portfeli bitcoinów oraz programy, które bezpiecznie instalują na zainfekowanych komputerach aplikacje w celu uzyskania tej waluty, zwane również oprogramowaniem wydobywającym.   

W pierwszej kategorii znajduje się szkodliwe oprogramowanie, które kradnie pliki z portfeli bitcoinów zawierające dane o posiadanych przez użytkownika bitcoinach. Druga kategoria jest nieco trudniejsza do zdefiniowania. Aby zainstalować aplikacje generujące bitcoiny (aplikacje wydobywające), można wykorzystać dowolny rodzaj szkodliwego programu, który potrafi pobierać nowe programy na komputer bez wiedzy użytkownika. Dlatego też dla potrzeb tego badania uwzględniliśmy tylko programy, które mają ścisły związek z pobieraniem i uruchamianiem narzędzi do wydobywania.      

Należy podkreślić, że kategoryzacja ta nie jest dokładna w 100%. Na przykład, ten sam keylogger może być wykorzystywany zarówno do zbierania danych finansowych jak i kradzieży informacji dotyczących kont w grach online. Jednak szkodliwe programy posiadają zwykle pewną „specjalizację”, która określa ich główne niezgodne z prawem zastosowanie i funkcję, przez co możemy powiązać każdy program z określoną kategorią cyberprzestępczości – w tym przypadku jest to przestępczość finansowa.    

Bankowe szkodliwe oprogramowanie w natarciu

W 2013 roku bankowe szkodliwe oprogramowanie – szkodliwe programy, które kradną pieniądze z kont użytkowników – odgrywało czołową rolę wśród finansowych cyberataków. W ostatnim roku przeprowadzono co najmniej 19 milionów cyberataków, co stanowi dwie trzecie wszystkich ataków finansowych wykorzystujących szkodliwe oprogramowanie. 

 fin-threats-2013-p2-en-26.png

Pod koniec 2013 r. całkowity odsetek osób atakowanych w poszczególnych miesiącach przez szkodliwych użytkowników, których celem była kradzież bitcoinów oraz instalowanie aplikacji wydobywających bitcoiny, kształtował się niemal na tym samym poziomie co odsetek szkodliwego oprogramowania bankowego   

Najaktywniejszy szkodliwy program bankowy – zarówno pod względem liczby ataków jak i liczby atakowanych użytkowników – to trojan Zbot (znany również jako ZeuS). Liczba ataków przypisywanych modyfikacjom tego trojana wzrosła ponad dwukrotnie w ciągu roku, a liczba użytkowników zaatakowanych w zeszłym roku przez tego szkodnika była wyższa niż łączna liczba ofiar wszystkich szkodliwych programów bankowych z pierwszej 10.

Zbot, 2012-2013

fin-threats-2013-p2-en-27.png 

W 2011 roku kod źródłowy Zbota został publicznie udostępniony i wykorzystany do tworzenia nowych wariantów szkodliwych programów, co znajduje odzwierciedlenie w danych statystycznych dotyczących ataków. Zbot znany jest również z tego, że stanowił podstawę rozwoju platformy Citadel – jednej z wielu prób przeniesienia do sfery rozwoju szkodliwych programów zasad, na których opiera się oprogramowanie komercyjne. Użytkownicy platformy Citadel mogli nie tylko zakupić trojana – mogli również otrzymać wsparcie techniczne i zażądać aktualizacji, aby zapobiec wykryciu ich programów przez produkty antywirusowe. Zasoby sieciowe platformy Citadel zapewniały również zorganizowane forum społeczne dla hakerów, którzy mogli złożyć zamówienie na nowe funkcje. Na początku czerwca 2013 r. Microsoft współpracował z FBI i ogłosił zamknięcie kilku dużych botnetów stanowiących część platformy Citadel; było to większe zwycięstwo w walce z cyberprzestępczością. Jednak, jak pokazują statystyki firmy Kaspersky Lab, nie miało to dużego wpływu na rozprzestrzenianie się szkodliwych programów tworzonych w celu kradzieży danych finansowych.              

Gwałtowny spadek liczby ataków przy użyciu Qhost mógł być potencjalnie związany z aresztowaniem jego twórców, którzy w 2011 roku ukradli około 400 000 dolarów klientom dużego rosyjskiego banku. Twórcy programu zostali skazani w 2012 roku, co jednak nie powstrzymało dalszego rozprzestrzeniania się tego zagrożenia. Program ten ma stosunkowo proste ustawienia i jest łatwy w użyciu, dzięki czemu nadal przyciąga nowych szkodliwych użytkowników.      

Qhost, 2012-2013

 fin-threats-2013-p2-en-28.png

Liczba ataków przeprowadzonych przy użyciu trojana Carberp odnotowała spadek w pierwszej połowie 2013 roku po aresztowaniu użytkowników tego trojana – wśród których znajdowali się prawdopodobnie również jego twórcy. Jednak latem liczba ataków z użyciem Carberpa zaczęła znacząco wzrastać, dzięki czemu ich poziom pod koniec 2013 roku dorównał poziomowi z 2012 roku. Miało to związek między innymi z publikacją kodu źródłowego tego szkodliwego oprogramowania, która przyczyniła się do aktywniejszego rozwoju nowych wersji tego trojana. Niezależnie od tego, liczba użytkowników zaatakowanych przez te modyfikacje nadal znacząco spadła w ostatnim roku.          

Carberp, 2012-2013

 fin-threats-2013-p2-en-29.png

Wyraźnie zarysowuje się następujący trend: po niewielkim spadku odnotowanym w ostatnich sześciu miesiącach 2012 r. oszuści odpowiedzialni za cyberataki finansowe w 2013 r. wznowili wzmożoną aktywność – o czym świadczy wzrost liczby ataków oraz liczby atakowanych użytkowników. 

Ataki wykorzystujące bankowe szkodliwe oprogramowanie w latach 2012-2013

fin-threats-2013-p2-en-30.png 

* Trojan-Banker jest ogólnym wpisem w bazie firmy Kaspersky Lab umożliwiającym wykrywanie finansowego szkodliwego oprogramowania

Bitcoin: pieniądze za nic?

Bitcoin to elektroniczna kryptowaluta, która nie jest regulowana przez żaden rząd, ale znajduje się w obiegu dzięki powszechnemu wykorzystywaniu. W 2009 roku uruchomiono wyspecjalizowaną sieć obsługującą system Bitcoin. Początkowo była wykorzystywana przez osoby mające bliskie związki z branżą IT, stopniowo jednak stała się coraz szerzej znana. Zaczęła zyskiwać na popularności jako waluta, gdy stała się opcją płatności na kilku znanych stronach specjalizujących się w handlu na czarnym rynku lub podobnym nielegalnym procederze. Strony te preferują tę kryptowalutę, ponieważ pozwala użytkownikom zachować anonimowość.          

Jeden z wariantów banknotu bitcoina

fin-threats-2013-p2-en-01.png 

Teoretycznie, każdy, kto chce, może zarobić bitcoiny przy użyciu swojego komputera – proces ten nazywa się wydobywaniem (ang. mining). Mining zasadniczo polega na rozwiązaniu serii zadań kryptograficznych, które utrzymują sieć Bitcoin.   

Wielu spośród tych, którzy „opływają w bitcoiny”, zdobyło swój majątek bitcoinowy jeszcze w czasie, gdy kryptowaluta ta umacniała się i nie została jeszcze uznana za płynny środek pieniężny. Jednak w miarę rozpowszechniania się tej waluty zarabianie bitcoinów przy pomocy komputera stawało się trudniejsze – jest to jedna z właściwości systemu Bitcoin, poza docelową ilością bitcoinów, które zostaną wprowadzone do obiegu. Obecnie złożoność niezbędnych obliczeń wzrosła do tego stopnia, że wydobywanie bitcoinów na zwykłych komputerach stało się nieopłacalne – działalność ta może przynosić nawet straty, a jeśli uwzględnimy koszty prądu, nie jest łatwo również wyjść na zero.           

 fin-threats-2013-p2-en-31.png

Kurs wymiany bitcoinów na początku 2013 wynosił $13,60, w grudniu natomiast jego wartość osiągnęła rekordową wysokość ponad 1200 dolarów.

Na przestrzeni roku kurs wymiany bitcoinów gwałtownie wzrósł, przekraczając pod koniec grudnia 1200 dolarów. Po tym wzroście nastąpił spadek, wynikający między innymi z tego, że  banki centralne wielu państw przyjęły ostrożne stanowisko wobec tej waluty. Bank Chin zakazał wykorzystywania tej waluty, co zmniejszyło jej wartość o około jedną trzecią. Jednocześnie, inne państwa przyjęły przychylne stanowisko wobec bitcoina. W szczególności, Niemieckie Ministerstwo Finansów oficjalnie uznało tę kryptowalutę jako formę płatności, a w Kanadzie i Stanach Zjednoczonych powstają bankomaty umożliwiające wymianę bitcoinów na gotówkę.         

W skrócie, w ciągu zaledwie kilku lat z niszowego zjawiska internetowego wspieranego przez niewielką grupkę entuzjastów bitcoin stał się niemal pełnoprawną walutą, która posiada rzeczywistą wartość i cieszy się dużym zapotrzebowaniem. Nic zatem dziwnego, że bitcoin zwrócił uwagę szkodliwych użytkowników. Od momentu uruchomienia handlu bitcoinami w zamian za rzeczywiste pieniądze na giełdach internetowych coraz więcej sprzedających zaczęło uznawać tę walutę za środek płatniczy, a tym samym wzrosło zainteresowanie nią wśród cyberprzestępców.   

Bitcoin jest przechowywany na komputerach w specjalnym pliku portfela (wallet.dat lub podobny w zależności od wykorzystywanej aplikacji). Jeżeli plik ten nie jest zaszyfrowany, może zostać skradziony przez szkodliwych użytkowników, którzy przeleją wszystkie przechowywane w nim środki do swoich portfeli. Sieć Bitcoin pozwala każdemu uczestnikowi uzyskać dostęp do historii transakcji każdego użytkownika – to oznacza możliwość zidentyfikowania portfela, na który zostały przelane skradzione środki.    

Oprócz kradzieży bitcoinów cyberprzestępcy mogą również wykorzystywać komputery ofiar do wydobywania bitcoinów, tak samo jak wykorzystują je do rozsyłania spamu i wykonywania innych szkodliwych działań. Znane są również programy szantażujące, które domagają się okupu w bitcoinach w zamian za odszyfrowanie danych użytkownika.   

Wykres poniżej pokazuje dynamikę ataków wykorzystujących szkodliwe narzędzia, których celem jest kradzież portfeli bitcoin, jak również szkodliwego oprogramowania, które potrafi załadować na komputery ofiar oprogramowanie do generowania bitcoinów. Ponadto, znane są również przypadki, gdy oprogramowanie takie zostało wykryte na komputerze, na którym zostało zainstalowane celowo lub znalazło się na nim bez wiedzy jego właściciela. Produkty firmy Kaspersky Lab przydzielają takie aplikacje do kategorii RiskTool – co oznacza, że mogą potencjalnie kryć szkodliwą funkcję i użytkownik zostaje o tym powiadomiony.           

 fin-threats-2013-p2-en-32.png

Jak widać na wykresie, w drugiej połowie 2012 r. liczba programów służących do kradzieży bitcoinów oraz programów, które ładują oprogramowanie do generowania bitcoinów, wykrytych przy użyciu produktów firmy Kaspersky Lab, zaczęła wzrastać. Dynamika ta stała się jeszcze bardziej interesująca w 2013 r. Jeden z dwóch najistotniejszych wzrostów pod względem liczby wykryć związanych z bitcoinami dokonanych za pomocą rozwiązań firmy Kaspersky Lab miał miejsce w kwietniu – mniej więcej w tym samym czasie, gdy kurs wymiany bitcoina wzrósł do ponad 230 dolarów. Najwyraźniej wzrost kursu skłonił szkodliwych użytkowników do aktywniejszego rozprzestrzeniania szkodliwego oprogramowania, którego celem jest kradzież lub generowanie bitcoinów.           

Co ciekawe, w kwietniu cena tej waluty spadła do 83 dolarów, by następnie wzrosnąć do 149 dolarów pod koniec kwietnia i ustabilizować się w maju. Od maja do sierpnia wartość bitcoina utrzymywała się w granicach 90-100 dolarów, a w sierpniu odnotowała stały wzrost. Proces ten był jedynie w niewielkim stopniu związany z sytuacją na „szkodliwym” froncie, chociaż istnieje możliwość, że to właśnie stabilizacja kursu bitcoina spowodowała nowy wzrost liczby ataków w sierpniu. Kolejny gwałtowny wzrost miał miejsce w grudniu, gdy kurs wymiany bitcoina najpierw spadł z 1 000 do 584 dolarów, a następnie, pod koniec miesiąca znów wzrósł do 804 dolarów.               

Od kwietnia liczba dokonanych przy użyciu produktów firmy Kaspersky Lab wykryć oprogramowania wykorzystywanego do generowania bitcoinów odnotowywała stały wzrost. Wzrost ten trwał przez cały październik aż do listopada, gdy liczba wykryć zaczęła spadać.   

 fin-threats-2013-p2-en-33.png

Ogólnie w 2013 r. zarówno liczba wykryć zarejestrowanych przez produkty firmy Kaspersky Lab jak również liczba użytkowników, którzy zetknęli się ze szkodliwym lub potencjalnie szkodliwym oprogramowaniem związanym z systemem Bitcoin gwałtownie wzrosła w porównaniu z 2012 rokiem. Warto również podkreślić, że począwszy od około października 2013 r. liczba wykryć szkodliwych programów ładujących aplikacje do generowania bitcoinów zaczęła spadać, wzrosła z kolei liczba wykryć aplikacji do kradzieży portfeli bitcoin. Przyczyną mogła być wspomniana wyżej specyficzna cecha systemu Bitcoin polegająca na tym, że im więcej „monet” zostało wygenerowanych, tym trudniej wygenerować nowe. Mogło to również skłonić szkodliwych użytkowników do skoncentrowania się na szukaniu i kradzieży portfeli bitcoin zawierających wygenerowaną już kryptowalutę.        

Szkodliwe programy, których celem jest kradzież danych finansowych, stanowią naturalnie jedno z najbardziej niebezpiecznych cyberzagrożeń. Skala tego zagrożenia nieustannie zwiększa się, stąd ogromna liczba potencjalnych ofiar ataków z wykorzystaniem tych rodzajów szkodliwych programów – ofiarą cyberprzestępców może paść niemal każdy, kto posiada kartę bankową i uzyskuje dostęp do internetu ze słabo chronionego komputera. Jednak komputery i notebooki to nie jedyne urządzenia wykorzystywane do przeprowadzania transakcji finansowych. Niemal każda nowoczesna osoba posiada dzisiaj smartfona lub tablet, a dla szkodliwych użytkowników tego rodzaju mobilne urządzenia stanowią kolejny sposób sięgnięcia do kieszeni osób, które korzystają z serwisów finansowych online.       

Mobilne zagrożenia bankowe

Przez długi czas urządzenia mobilne nie stanowiły celu cyberprzestępców. W dużym stopniu wynikało to z tego, że pierwsze generacje urządzeń mobilnych posiadały ograniczoną funkcjonalność i stworzenie dla nich szkodliwego oprogramowania było trudne. Sytuacja ta uległa jednak zmianie wraz z pojawieniem się smartfonów i tabletów – wszechstronnych urządzeń z możliwością połączenia się z internetem oraz publicznie dostępnymi narzędziami do rozwoju aplikacji. Od kilku lat eksperci z Kaspersky Lab odnotowują coroczny wzrost liczby szkodliwych programów atakujących urządzenia mobilne, szczególnie te działające pod kontrolą Androida.      

W 2013 r. Android stanowił główny cel szkodliwych ataków – 98,1% wszystkich mobilnych szkodliwych programów wykrytych w 2013 r. atakowało właśnie tę platformę. Świadczy to zarówno o popularności tego systemu operacyjnego jak i obecności luk w zabezpieczeniach jego architektury.

Mobilne szkodliwe oprogramowanie w 2013 r.

 fin-threats-2013-p2-en-34.png

Celem większości szkodliwych programów przeznaczonych dla urządzeń mobilnych, w tym wielu backdoorów i niektórych szkodliwych programów z kategorii trojany, jest kradzież pieniędzy użytkowników. Jednak jednym z najbardziej niebezpiecznych trendów w zakresie mobilnego szkodliwego oprogramowania była rosnąca liczba programów, których celem jest kradzież danych uwierzytelniających transakcje bankowości online w celu uzyskania dostępu do pieniędzy użytkowników.    

Liczba próbek szkodliwego oprogramowania z kategorii bankowości mobilnej w kolekcji firmy Kaspersky Lab w 2013 r.

fin-threats-2013-p2-en-35.png 

Liczba takich szkodliwych programów zaczęła gwałtownie wzrastać w lipcu, a w grudniu przekroczyła 1 300 unikatowych próbek. Mniej więcej w tym samym czasie Kaspersky Lab zaczął odnotowywać wzrost liczby ataków.

Ataki wykorzystujące szkodliwe oprogramowanie z kategorii bankowości mobilnej w drugiej połowie 2013 r.

fin-threats-2013-p2-en-36.png 

Mobilne szkodliwe oprogramowanie atakujące klientów bankowości online nie jest niczym nowym. ZitMo (mobilny „brat bliźniak” Zeusa, niesławnego trojana bankowego dla systemów Win32) znany jest od 2010 roku, jednak dopiero od niedawna jest wykorzystywany w atakach masowych. Wynika to częściowo z jego ograniczonej funkcjonalności: ZitMо mógł działać tylko we współpracy z wersją Zeusa przeznaczoną dla komputerów stacjonarnych. Program „partnerski” przechwytuje dane uwierzytelniające transakcje bankowości online ofiary, a następnie pałeczkę przejmuje ZitMo, do którego należy uzyskiwanie jednorazowych haseł wykorzystywanych w systemach bankowości online służących do autoryzacji transakcji i wysyłanie ich cyberprzestępcom, którzy wykorzystają te dane do kradzieży pieniędzy z kont bankowych ofiar.   

Podobne oszustwo zastosowano w 2013 r.: w tym czasie główni konkurenci Zeusa - SpyEye (SpitMo) oraz Carberp (CitMo) również zapewnili sobie „młodszych braciszków”. Nic nie wskazuje jednak na to, że szkodniki te spowodowały ogromną liczbę ataków. Na czarnym rynku cyberzagrożeń pojawiło się więcej „autonomicznych” programów trojańskich, które potrafią współpracować ze swoimi odpowiednikami dla komputerów stacjonarnych.    

Przykładem jest trojan Svpeng, który został wykryty przez ekspertów z Kaspersky Lab w lipcu 2013 r. Trojan ten wykorzystuje sposób działania niektórych rosyjskich systemów bankowości mobilnej w celu kradzieży pieniędzy z kont bankowych swoich ofiar.

Klienci niektórych dużych banków rosyjskich mogą doładować konta telefonów komórkowych, przelewając pieniądze ze swoich kart bankowych. W tym celu mogą wysłać wiadomość tekstową na określony numer obsługiwany przez bank. Svpeng wysyła wiadomości do serwisów SMS dwóch z takich banków. Dzięki temu właściciel Svpenga może ustalić, czy któreś z kart wydanych przez te banki są powiązane z numerem zainfekowanego smartfona, i jeśli istnieje takie konto, uzyskać informacje o saldzie. Następnie przestępca może poinstruować Svpenga, aby przelał pieniądze z konta bankowego ofiary na powiązane z nim konto na telefonie komórkowym.    

 fin-threats-2013-p2-en-02_auto.png

Fałszywy interfejs autoryzacji wykorzystywany przez Svpenga

Pieniądze mogą „wypłynąć” z konta mobilnego na wiele sposobów – np. poprzez przelanie ich do portfela online przy użyciu strony zarządzania kontem użytkownika na stronie operatora telefonii komórkowej lub po prostu poprzez wysłanie wiadomości na numery premium. Svpeng posiada również dodatkową funkcję kradzieży danych uwierzytelniających transakcje bankowości online użytkownika.  

Dwa kolejne przykłady niebezpiecznych trojanów bankowych wykrytych przez ekspertów z Kaspersky Lab to Perkele i Wroba. Ten pierwszy przypomina ZitMo – jego główną funkcją jest przechwytywanie jednorazowych haseł (umożliwiających autoryzację transakcji). Drugi przeszukuje zainfekowane urządzenia mobilne w celu zidentyfikowania aplikacji bankowości online i usuwa wszystkie, które znajdzie, zastępując je fałszywymi kopiami, które są następnie wykorzystywane do gromadzenia danych uwierzytelniających użytkownika i wysyłania ich cyberprzestępcom.        

Chociaż większość ataków wykorzystujących wykryte przez Kaspersky Lab trojany bankowości mobilnej miało miejsce na terenie Rosji i sąsiednich państw, Perkele atakował użytkowników niektórych banków europejskich, a Wroba – użytkowników z Korei Południowej.    

 fin-threats-2013-p2-en-37.png

Rozkład geograficzny ataków wykorzystujących szkodliwe aplikacje bankowości mobilnej przeznaczone dla Androida w 2013 roku

W ujęciu bezwzględnym liczba wykrytych przez produkty firmy Kaspersky Lab ataków, które wykorzystują szkodliwe oprogramowanie finansowe, a ich celem są użytkownicy mobilni, jest jak dotąd stosunkowo niewielka, jednak stale rośnie – jest to wyraźny trend występujący od ponad sześciu miesięcy. To oznacza, że użytkownicy urządzeń mobilnych, szczególnie tych działających na platformie Android, powinni być niezwykle ostrożni, jeśli chodzi o bezpieczeństwo ich danych finansowych.  

Również użytkownicy urządzeń opartych na systemie iOS nie powinni czuć się bezpiecznie. Chociaż jak dotąd nie miał miejsca zalew szkodliwego oprogramowania stworzonego w celu kradzieży poufnych danych właścicieli iPhonów i iPadów, w systemach operacyjnych nieustannie wykrywane są błędy, które umożliwiają pojawienie się takiego szkodliwego oprogramowania. Jednym z najnowszych przykładów jest błąd znaleziony przez badaczy pod koniec lutego 2014 roku, który umożliwia osobom atakującym rejestrowanie znaków wprowadzanych przez użytkownika na klawiaturze dotykowej swojego urządzenia. Cyberprzestępcy mogą wykorzystać tę lukę w celu kradzieży poufnych informacji, w tym danych uwierzytelniających transakcje bakowe online.   

Podsumowanie: uważaj na swój portfel cyfrowy

Badanie wyraźnie pokazuje, że elektroniczne pieniądze użytkowników są stale zagrożone. Za każdym razem, gdy użytkownicy korzystają ze swoich kont za pośrednictwem bankowości online lub płacą za zakupy w sklepach internetowych, ich pieniądze znajdują się na celownikach cyberprzestępców.

W 2013 roku znaczny wzrost odnotowały wszystkie rodzaje zagrożeń finansowych. Odsetek ataków phishingowych wykorzystujących znane banki zwiększył się dwukrotnie, natomiast udział ataków finansowych wykorzystujących szkodliwe oprogramowanie był o jedną trzecią większy niż rok wcześniej. 

W segmencie finansowego szkodliwego oprogramowania nie pojawiły się żadne nowości, których zasięg byłby porównywalny do zasięgu Zbota czy Qhosta. Te dwa i inne niesławne trojany odpowiadały za większość ataków przeprowadzonych w zeszłym roku. Jednak cyberprzestępcy po raz kolejny pokazali, że monitorują wszelkie zmiany warunków rynkowych: gwałtowany wzrost liczby ataków, których celem jest kradzież bitcoinów, zapoczątkowany pod koniec 2012 roku, utrzymał się w kolejnym roku.     

Na zakończenie eksperci z Kaspersky Lab prezentują kilka wskazówek pozwalających zwiększyć ochronę przed cyberzagrożeniami finansowymi. 

Dla firm

  • Sektor korporacyjny ponosi znaczną odpowiedzialność za bezpieczeństwo użytkowników. Firmy finansowe powinny informować użytkowników o zagrożeniach ze strony cyberprzestępców i oferować im wskazówki, jak nie stracić pieniędzy na skutek ataków cybernetycznych. 
  • Banki i systemy płatności powinny zapewnić swoim klientom wszechstronną ochronę przed cyberprzestępcami. Jednym z rozwiązań, jakie można wykorzystać do tego celu, jest platforma Kaspersky Fraud Prevention, która oferuje wielopoziomową ochronę przed oszustwami.   

Dla użytkowników domowych i użytkowników bankowości online

  • Twórcy szkodliwego oprogramowania często wykorzystują luki w zabezpieczeniach popularnego oprogramowania. Z tego powodu należy wykorzystywać tylko najnowsze wersje aplikacji oraz instalować aktualizacje systemów operacyjnych, jak tylko się pojawią.  
  • Przestrzeganie powszechnych reguł bezpieczeństwa online pomaga zminimalizować ryzyko związane z atakami finansowymi. Użytkownicy powinni wybierać mocne hasła, inne dla każdego serwisu, zachować ostrożność podczas korzystania z publicznych sieci Wi-Fi, unikać zapisywania poufnych informacji w przeglądarce itd.
  • Należy wykorzystywać skuteczne produkty do ochrony przed szkodliwym oprogramowaniem, które udowodniły swoją niezawodność w niezależnych testach. Ponadto, niektóre produkty bezpieczeństwa, takie jak Kaspersky Internet Security, mają wbudowane narzędzia pozwalające na bezpieczne korzystanie z serwisów finansowych online.     
  • Jeżeli korzystasz ze smartfona lub tabletu w celu uzyskania dostępu do bankowości online, systemu płatności lub robienia zakupów w sklepach internetowych, dopilnuj, aby twoje urządzenie zostało zabezpieczone przy użyciu niezawodnego rozwiązania do ochrony, takiego jak Kaspersky Internet Security for Android, które zawiera zaawansowane narzędzia zapewniające ochronę przed szkodliwym oprogramowaniem, phishingiem oraz utratą lub kradzieżą urządzenia. 

Dla posiadaczy kryptowaluty

Ponieważ bitcoin oraz podobne kryptowaluty, takie jak litecoin, dogecoin i wiele innych, istnieją od niedawna, wielu użytkowników nie orientuje się w niektórych aspektach związanych z wykorzystywaniem takich systemów. Dlatego też eksperci z Kaspersky Lab przygotowali kilka porad umożliwiających bezpieczne wykorzystywanie kryptowalut:   

  • Nie korzystaj z serwisów online w celu przechowywania swoich oszczędności; zamiast tego używaj wyspecjalizowanych aplikacji portfela.
  • Rozdziel swoje oszczędności na kilka portfeli – pomoże to zminimalizować straty na wypadek, gdyby jeden z portfeli został okradziony. 
  • Przechowuj portfele tam, gdzie trzymasz swoje długoterminowe oszczędności na zaszyfrowanych nośnikach. Możesz również wykorzystać portfele wydrukowane na papierze.