Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Internetowi drapieżcy

Tagi:

Każdy, kto korzysta z internetu, jest w jakimś stopniu narażony na ryzyko, niezależnie od wieku czy ulubionych aktywności online. Cyberprzestępcy mogą stosować imponujący arsenał broni, uderzając we wszystkich, od uczniów po emerytów, i śledząc ich, niezależnie od tego, czy są zalogowani na portalach społecznościowych, sprawdzają najświeższe wiadomości czy oglądają swoje ulubione filmy. Oszuści internetowi chcą uzyskać dostęp do naszych pieniędzy, naszych danych osobistych oraz zasobów naszych systemów komputerowych. Krótko mówiąc, chcą wszystkiego, z czego mogą czerpać zyski.

W sieci czyha na as wiele różnych zagrożeń: użytkownicy mogą wpaść w pułapkę oprogramowania ransomware, takiego jak Gimeno czy Foreign, stać się częścią botnetu Andromeda, stracić pieniądze z konta bankowego na skutek działania oprogramowania ZeuS/Zbot lub ich hasła mogą zostać złamane przez oprogramowanie szpiegujące Fareit. Zwykle, celem ataków sieciowych jest pobieranie i instalowanie plików wykonywalnych na atakowanym komputerze, są jednak pewne wyjątki, np. XSS czy CSRF, które wykonują osadzony kod HTML.      

Mechanizm ataków

Aby atak był skuteczny, najpierw użytkownicy muszą połączyć się ze szkodliwą stroną, która pobierze na ich komputer plik wykonywalny. Aby zwabić użytkowników na dany zasób, oszuści mogą wysłać im odsyłacz przy użyciu poczty e-mail, SMS-a lub portalu społecznościowego. Mogą również próbować promować swoją stronę za pośrednictwem wyszukiwarek. Inną techniką jest włamanie się do popularnego, legalnego zasobu i „przekształcenie” go w instrument atakowania odwiedzających go osób.

Pobieranie i instalowanie szkodliwego oprogramowania może odbywać się na jeden z dwóch sposobów. Pierwszy, tzw. ukryty atak drive-by download, polega na wykorzystaniu luki w zabezpieczeniach oprogramowania użytkownika. Użytkownik zainfekowanej strony jest często zupełnie nieświadomy, że jego komputer instaluje szkodliwe oprogramowanie, ponieważ zwykle nic nie wskazuje na to, że tak się dzieje. 

Druga metoda polega na wykorzystywaniu socjotechniki, za pomocą której użytkownicy zostają podstępnie nakłonieni, aby sami pobrali i zainstalowali szkodliwe oprogramowanie, sądząc, że jest to uaktualniony flash player lub podobne popularne oprogramowanie. 

Threat_landscape_1_en_auto.jpg

Schemat ataków internetowych, pokazujący, w jaki sposób mogą być pobierane pliki wykonywalne szkodliwego oprogramowania

Szkodliwe odsyłacze i banery

Najprostszym sposobem zwabienia potencjalnych ofiar na szkodliwe strony jest po prostu wyświetlenie atrakcyjnego banera zawierającego odsyłacz. Jako hosty wykorzystuje się zwykle strony zawierające nielegalne treści, pornografię, nielicencjonowane oprogramowanie, filmy itd. Takie strony mogą przez długi czas działać „na uczciwych zasadach”, zwiększając liczbę swoich użytkowników, by następnie przechowywać banery zawierające odsyłacze do szkodliwych zasobów.   

Jedną z popularnych metod infekcji jest szkodliwa reklama (tzw. malvertising), czyli przekierowywanie użytkownika na szkodliwą stronę z pomocą ukrytych banerów. Podejrzane sieci banerów przyciągają uwagę administratorów strony wysokimi opłatami za „kliknięcia” znajdujących się na nich reklam i często zarabiają pieniądze „poprzez stronę” rozprzestrzeniając szkodliwe oprogramowanie.

Gdy użytkownicy odwiedzają stronę wyświetlającą takie banery, pojawia się tzw. „pop-under”. Przypomina on okienko „pop-up”, z tą różnicą, że jego treść jest wyświetlana pod oknem głównym strony lub w nieaktywnej sąsiedniej zakładce. Zawartość takich reklam „pop-under” często zależy od lokalizacji osoby odwiedzającej stronę – mieszkańcy różnych państw są przekierowywani do różnych zasobów. Odwiedzający z jednego państwa mogą zobaczyć np. taką reklamę:

Threat_landscape_2_auto.jpg

Strona kieruje amerykańskich odwiedzających do zasobu watchmygf[]net

Threat_landscape_3_auto.jpg

Strona kieruje rosyjskich odwiedzających do zasobu runetki[]tv\

... natomiast odwiedzający z innych państw będą atakowani przy użyciu pakietów exploitów:

Threat_landscape_4_auto.jpg

Mieszkaniec Japonii jest atakowany przez exploita i infekowany trojanem szpiegującym Zbot.

Niekiedy takie szkodliwe banery mogą nawet przeniknąć do „uczciwych” sieci banerów mimo dokładnej kontroli ze strony administratorów. Podobne przypadki dotknęły sieci banerów takich serwisów jak Yahoo, a nawet YouTube.  

Spam

Spam jest jednym z najpopularniejszych sposobów zwabiania ofiar do szkodliwych zasobów. Obejmuje on wiadomości wysyłane za pośrednictwem poczty e-mail, SMS-ów oraz komunikatorów internetowych, portali społecznościowych, wiadomości prywatnych na forach oraz komentarzy na blogach.

Niebezpieczna wiadomość może zawierać szkodliwy plik lub odsyłacz do zainfekowanej strony. Aby zachęcić użytkownika do kliknięcia odsyłacza lub otworzenia pliku, stosuje się socjotechnikę, np.:  

  • jako nazwa nadawcy wykorzystywana jest nazwa prawdziwej organizacji lub osoby,
  • wiadomość podszywa się pod przesyłkę reklamową, a nawet prywatną korespondencję,
  • plik jest prezentowany jako przydatny program lub dokument.

Threat_landscape_5_auto.jpg

Podczas ataków ukierunkowanych, gdy cyberprzestępcy biorą na swój celownik konkretną organizację, szkodliwa wiadomość może podszywać się pod list od zwykłego korespondenta: adres zwrotny, treść i podpis mogą być takie same jak w przypadku prawdziwego listu, np. od partnera firmy. Otwierając załączony dokument o nazwie w rodzaju: „invoice.docx" użytkownicy ryzykują, że ich komputer zostanie zainfekowany.   

„Czarna” optymalizacja wyników wyszukiwania

SEO (ang. Search Engine Optimization) to zestaw technik służących do zwiększenia pozycji strony w wynikach wyświetlanych przez wyszukiwarki. Użytkownicy często korzystają z wyszukiwarek, aby znaleźć niezbędne informacje lub usługi, dlatego im łatwiej można znaleźć daną stronę, tym więcej będzie miała odwiedzających.

Oprócz legalnych metod optymalizacji, czyli tych, które są dozwolone z punktu widzenia wyszukiwarek, istnieją również zakazane techniki, które „oszukują” te serwisy. Strona może „promować się” za pomocą botnetu – tysiące zainfekowanych komputerów wysyłają określone żądania wyszukiwana i wybierają daną szkodliwą stronę, podnosząc jej pozycję. Sama strona może przyjmować różny wygląd w zależności od tego, kto ją odwiedza: jeśli jest to robot wyszukiwania, zostanie wyświetlona strona odpowiednia do zapytania, jeśli natomiast jest to zwykły użytkownik, zostanie przekierowany na szkodliwą stronę.       

Threat_landscape_6_en_auto.jpg

Odsyłacze do strony są również rozprzestrzeniane przy użyciu specjalnych narzędzi na forach oraz innych znanych wyszukiwarkom stronach, co zwiększa rating strony, a w efekcie, jej pozycję w wynikach wyszukiwania.

Strony, które wykorzystują „czarną” optymalizację wyników wyszukiwania, są zwykle aktywnie blokowane przez administratorów wyszukiwarek. Z tego powodu tworzy się ich setki przy użyciu automatycznych instrumentów.  

Zainfekowane legalne strony

Czasami w celu rozprzestrzeniania swoich programów cyberprzestępcy infekują popularne legalne strony. Mogą to być często odwiedzane portale informacyjne, sklepy internetowe lub agregatory informacje.

Istnieją dwa popularne sposoby infekowania stron. Jeśli na atakowanej wirtynie została wykryta luka w oprogramowaniu, można wprowadzić do niej szkodliwy kod (na przykład poprzez wstrzykiwanie SQL). W pozostałych przypadkach przestępcy uzyskują dane uwierzytelniania z komputera strony administratora przy użyciu jednego z wielu trojanów szpiegujących lub phishingu i socjotechniki i przejmują kontrolę nad stroną. Będąc pod kontrolą przestępców, strona może zostać zainfekowana w ten czy inny sposób. Najprostszym podejściem jest wykorzystywanie ukrytego znacznika iframe zawierającego odsyłacz do szkodliwego zasobu dodawanego do kodu HTML strony.    

Kaspersky Lab każdego dnia rejestruje tysiące legalnych stron, które pobierają szkodliwy kod na komputery odwiedzających je osób bez ich świadomości. Wśród najbardziej znanych przypadków znajduje się trojan Lurk znaleziony na stronie agencji informacyjnej RIA Novosti i gazeta.ru, jak również zainfekowanie PHP.Net.     

Osoby odwiedzające zainfekowaną stronę są atakowane przy użyciu ukrytych ataków drive-by-download. Infekcja pozostaje niezauważona przez użytkowników i aby mogło do niej dojść ofiary nie muszą niczego pobierać ani aktywować. Ze strony pobierany jest automatycznie exploit, lub zestaw exploitów, i jeśli atakowana maszyna posiada niezałatane oprogramowanie, zostaje uruchomiony szkodliwy plik wykonywalny. 

Pakiety exploitów

Najskuteczniejszym narzędziem infekowania komputerów jest pakiet exploitów, taki jak Blackhole. Pakiety exploitów stanowią gorący towar na czarnym rynku: są rozwijane na zamówienie lub do szerokiej sprzedaży. Ponadto, są wspierane i uaktualniane przez ich twórców. Cena zależy od ilości oraz „świeżości” exploitów w pakiecie, łatwości administrowania, jakości wsparcia, regularności aktualizacji oraz chciwości sprzedającego.

Ponieważ ataki tego typu są przeprowadzane za pośrednictwem przeglądarki, exploity muszą wykorzystywać lukę w zabezpieczeniach samej przeglądarki, dodatków dla niej, albo oprogramowania osób trzecich, które jest ładowane przez przeglądarkę w celu obsługi treści. Jeśli jeden z takich exploitów zostanie skutecznie wykorzystany, na maszynie ofiary zostanie uruchomiony szkodliwy plik.  

Threat_landscape_7_auto.jpg

Typowy zestaw dodatków dla przeglądarki Internet Explorer, któremu zezwolono na domyślne uruchomienie się

Skuteczny pakiet zawiera exploity dla luk w popularnych przeglądarkach i dodatkach do nich jak również dla Adobe Flash Playera i innych popularnych programów. Pakiety exploitów często posiadają narzędzia umożliwiające dostosowanie i gromadzenie danych statystycznych dotyczących infekcji.

Threat_landscape_9_auto.jpg

Panel sterowania pakietu exploitów Styx

Bezpośrednie pobieranie przez użytkowników

Dość często cyberprzestępcy nawet nie potrzebują skomplikowanych i drogich narzędzi służących do wprowadzania ich szkodliwych programów do komputerów użytkowników. Użytkowników można po prostu podstępnie nakłonić, aby sami pobrali i uruchomili szkodliwe oprogramowanie.  

Na przykład, po wejściu na szkodliwą stronę użytkownik widzi zapowiedź filmu „tylko dla dorosłych”. Po kliknięciu filmu pojawia się wiadomość o aktualizacji Adobe Flash Playera, a jednocześnie strona od razu oferuje użytkownikowi pobranie pliku o autentycznie brzmiącej nazwie. Instalując „aktualizację”, użytkownik infekuje swój komputer trojanem.   

Threat_landscape_10.jpg

Wiadomość, która pojawia się, gdy użytkownik próbuje obejrzeć film “dla dorosłych” na szkodliwej stronie

Może również pojawić się strona internetowa, która imituje okno „Mój komputer” i informuje, że na komputerze wykryto dużą liczbę wirusów. Obok otwiera się okno oferujące darmowy program „antywirusowy” mogący rzekomo usunąć te problemy.

Threat_landscape_11.jpg
Rzekoma oferta zainstalowania darmowego programu antywirusowego, w którym kryje się trojan

Infekcje za pośrednictwem portali społecznościowych

Niedoświadczeni użytkownicy portali społecznościowych są narażeni na ataki ze strony tzw. półautomatycznych robaków. Przyszła ofiara otrzymuje wiadomość wysłaną rzekomo przez wirtualnego znajomego z ofertą jakiejś atrakcyjnej funkcji, której nie oferuje dany portal społecznościowy („nielubienie” postu, uzyskanie poufnych informacji dotyczących innych użytkowników, „zobacz, kto oglądał Twój profil” itd.). Aby zdobyć tę atrakcyjną funkcję, użytkownik musi otworzyć terminal JavaScript i wprowadzić tam określony kod.  

Threat_landscape_12_auto.jpg

Instrukcje dotyczące instalacji półautomatycznego robaka dla Facebooka

Gdy działania te zostaną wykonane, robak aktywuje się i zaczyna zbierać dane dotyczące użytkownika, wysyła do kontaktów ofiary prowadzące do siebie odsyłacze i klika „Lubię to” w różnych postach. Ostatnią opcją jest płatna usługa, którą właściciel robaka oferuje klientom. I tu dochodzimy do powodu, dla którego cyberprzestępcy zadają sobie cały ten trud i łamią prawo.    

Pieniądze, pieniądze, ach te pieniądze

Oczywiście, nikt nie atakuje naszych komputerów dla czystej rozrywki intelektualnej – celem są pieniądze. Jednym z bardzo popularnych sposobów nielegalnego zarabiania pieniędzy na ofiarach jest wykorzystywanie trojana wyłudzającego okup, który uniemożliwia wykorzystywanie komputera, dopóki nie zostanie zapłacona określona kwota (okup). 

Po przeniknięciu do komputera użytkownika trojan określa państwo, w którym znajduje się zainfekowana maszyna, i wyświetla ofierze odpowiedni komunikat, zawierający pogróżki i instrukcje dotyczące tego, jak zapłacić okup. Zarówno język wiadomości jak i sugerowana przez cyberprzestępców metoda płatności zależą od państwa, w którym znajduje się użytkownik.  

Zwykle przestępcy oskarżają użytkownika o przeglądanie pornografii dziecięcej lub jakieś inne nielegalne działanie, a następnie grożą dochodzeniem kryminalnym lub upublicznieniem sprawy. Zakładają, że ofiara poważnie potraktuje te groźby i nie będzie ryzykować zwróceniem się o pomoc do organów ścigania. W niektórych przypadkach trojan wyłudzający pieniądze może grozić zniszczeniem zawartości dysku twardego, w przypadku gdy okup nie zostanie natychmiast zapłacony.    

Threat_landscape_13.jpg

Ekran blokady, który Trojan-Ransom.Win32.Foreign wyświetla użytkownikom ze Stanów Zjednoczonych

Cyberprzestępcy oferują opcję zapłacenia „mandatu” poprzez wysłanie SMS-a na numer premium lub wykonanie przelewu przy użyciu jednego z systemów płatności. W zamian za to użytkownik powinien otrzymać klucz odblokowujący w celu dezaktywacji trojana, w praktyce jednak nie zawsze tak się dzieje.

Utrzymywanie kanału komunikacji z ofiarą może doprowadzić organy ścigania do przestępców, dlatego ci drudzy często wolą nie podejmować ryzyka, pozostawiając ofiarę z praktycznie bezużytecznym komputerem. 

Inną popularną metodą nielegalnego zarabiania pieniędzy jest zbieranie i sprzedaż poufnych danych użytkowników. Dane kontaktowe i osobiste stanowią towary zbywalne, które mogą zostać sprzedane na czarnym rynku, chociaż ich cena nie jest bardzo wysoka. Z drugiej strony, może to być dochodowa działalność dodatkowa, zwłaszcza że do zbierania informacji nie jest wymagana infekcja przy użyciu szkodliwego oprogramowania. Często ofiary same dostarczają wszelkie niezbędne informacje – istotne jest, aby strona zawierająca formularz, do którego wprowadzane są dane, wyglądała na autentyczną i wiarygodną.     

Threat_landscape_14_auto.jpg
Fałszywa strona, za pomocą której gromadzone są dane kontaktowe oraz informacje osobiste osób odwiedzających; dane te są następnie wykorzystywane do rejestracji w płatnych serwisach mobilnych

Trojany bankowe przynoszą swoim operatorom spore zyski. Celem tych programów jest kradzież pieniędzy z kont bankowych użytkowników przy pomocy systemów zdalnej bankowości. Tego rodzaju szkodliwe oprogramowanie kradnie dane uwierzytelniające użytkowników do systemów bankowości online. Zwykle to jednak nie wystarcza, ponieważ niemal wszystkie banki i systemy płatności wymagają uwierzytelnienia przy użyciu kilku składników – wpisania kodu SMS, użycia klucza USB itd. W takich przypadkach, trojan czeka, aż użytkownik dokona płatności za pośrednictwem bankowości internetowej, a następnie zmienia szczegóły dotyczące płatności, przekierowując pieniądze na specjalne konta, z których środki są pobierane przez przestępcę. Istnieją również inne sposoby obejścia uwierzytelnienia dwuskładnikowego: trojan może przechwycić wiadomości z hasłami jednorazowymi lub zawiesić system w momencie podłączania klucza USB. W takiej sytuacji użytkownik pozostaje bezbronny, podczas gdy przestępcy „porywają” transakcję i kradną pieniądze.        

Innym dochodowym biznesem jest utrzymywanie botnetów. Zainfekowane komputery wchodzące w skład botnetu mogą zostać w sposób niezauważony wykorzystane przez przestępców do różnych działań mających na celu zarabianie pieniędzy: wydobywanie bitcoinów, wysyłanie spamu, przeprowadzanie ataków DDoS oraz podbijanie ratingów stron poprzez żądania wyszukiwania.   

Zwalczanie zagrożeń

Jak już pokazaliśmy, zagrożenia internetowe są różnorodne, a użytkownicy mogą trafić na nie niemal wszędzie – podczas czytania poczty, korzystania z portali społecznościowych, sprawdzania wiadomości czy po prostu surfowania online. Z drugiej strony, istnieje również wiele sposobów ochrony przed tymi zagrożeniami, które można streścić za pomocą czterech następujących wskazówek:  

  • Zawsze zwracaj uwagę na to, co robisz w internecie: jakie strony odwiedzasz, które pliki pobierasz i co uruchamiasz na komputerze.
  • Nie ufaj wiadomościom od nieznanych użytkowników czy organizacji, nie klikaj odsyłaczy i nie otwieraj załączników 
  • Regularnie aktualizuj często wykorzystywane oprogramowanie, zwłaszcza takie, które współpracuje z Twoją przeglądarką
  • Zainstaluj nowoczesną ochronę i dopilnuj, aby antywirusowe bazy danych były zawsze aktualne.

Wszystko to wydaje się bardzo proste, jednak rosnąca liczba infekcji wyraźnie pokazuje, że zbyt wielu użytkowników nie traktuje poważnie swojego bezpieczeństwa i nie przestrzega tej rady. Mamy nadzieję, że nasz przegląd aktualnych zagrożeń internetowych pomoże poprawić tę sytuację.