Chip News

Zaawansowane techniki inżynierii społecznej, nowoczesne technologie stosowane w złośliwym oprogramowaniu oraz zagrożenia hybrydowe napędzają rozwijającą się gospodarkę podziemia cyberprzestępczości.

Firma Trend Micro Incorporated opublikowała raport i prognozę na temat zagrożeń na pierwszą połowę 2008 roku. Z raportu wynika, że cyberprzestępcy nie tylko wykorzystują nowe technologie do propagowania cyberprzestępczości, ale również opracowują nowe techniki inżynierii społecznej, umożliwiające zastawianie sprytnych pułapek na użytkowników indywidualnych i firmy. W rezultacie w ciągu ostatnich sześciu miesięcy można było zauważyć znaczny wzrost liczby zagrożeń internetowych, przy jednoczesnym spadku liczby programów szpiegujących i programów typu adware, tworzonych przy użyciu przestarzałych metod, które nie są w stanie pokonać zabezpieczeń na wysokim poziomie.

Wykorzystywanie natury ludzkiej poprzez techniki inżynierii społecznej i phishingu (wyłudzania danych osobowych)

W marcu firma Trend Micro wykryła, że ponad 400 pakietów, stworzonych w celu generowania stron do wyłudzania danych osobowych, zaatakowało najpopularniejsze serwisy Web 2.0 (np. serwisy społecznościowe, portale do wymiany plików wideo oraz strony VoIP), bezpłatne serwisy poczty elektronicznej, banki i popularne serwisy handlu elektronicznego.

Niedawno powstała nowa forma phishingu polegająca na ostrzeganiu potencjalnych ofiar przed wiadomościami mającymi na celu wyłudzenie danych osobowych. Jest to sprytny sposób na wzbudzenie zaufania i zachęcenie użytkowników do kliknięcia łącza prowadzącego do niebezpiecznej strony internetowej. Spamerzy wykorzystują również ponownie stare techniki. W lutym firma Trend Micro przeanalizowała próbę głosowego wyłudzenia danych osobowych (znaną również jako „vishing”). Treść wiadomości wydawała się przekonująca i zawierała wszystkie łącza do odpowiednich, legalnych stron docelowych. Jednakże zawierała również numer telefonu, na który należało zadzwonić, aby ponownie uaktywnić rzekomo „zablokowane” konto użytkownika. Po nawiązaniu połączenia z podanym numerem użytkownicy byli proszeni o podanie numeru karty kredytowej i kodu PIN, co bez ich wiedzy zapewniało oszustom dostęp do kont bankowych.

Tworzenie złośliwego oprogramowania odpowiedzialnego za zagrożenia hybrydowe

Różne warianty złośliwego oprogramowania generalnie traktowane są jako osobne zagrożenia. Obecnie zagrożenia internetowe mające na celu uzyskanie korzyści finansowej łączą w sobie różnorodne elementy złośliwego oprogramowania. W rezultacie powstaje indywidualny model biznesowy zagrożenia internetowego. Na przykład cyberprzestępca wysyła wiadomość (spam) z łączem (adresem internetowym niebezpiecznej strony) w treści wiadomości e-mail lub komunikatu. Użytkownik klika łącze i jest przekierowywany na stronę internetową, z której plik (koń trojański) jest automatycznie pobierany do komputera użytkownika. Koń trojański następnie pobiera dodatkowy plik (oprogramowanie szpiegujące), który rejestruje poufne informacje, takie jak numery kont bankowych (spy-phishing — wyłudzanie danych osobowych za pomocą oprogramowania szpiegującego). Zagrożenia hybrydowe zazwyczaj mają charakter pojedynczego ataku, ale są o wiele trudniejsze do zwalczania i o wiele niebezpieczniejsze dla użytkownika.

Wykorzystywanie nowych technologii

Technika fast-flux to kolejny przykład niebezpiecznej technologii opracowanej przez przestępców. Fast-flux to mechanizm przełączający serwera DNS, który łączy w sobie sieć równorzędną, rozproszone dowodzenie i kontrolę, internetowe równoważenie obciążenia oraz przekierowywanie proxy w celu ukrycia stron, na które przesyłane są wyłudzone dane osobowe.  Fast-flux przedłuża okres aktywności stron wyłudzających dane osobowe i pozwala oszukać większą liczbę użytkowników. Na przykład zadaniem badaczy jest identyfikowanie złośliwych domen Storma, ponieważ programiści wykorzystują techniki fast-flux w celu uniknięcia wykrycia.

W pierwszej połowie 2008 roku firma Trend Micro zauważyła dramatyczny wzrost liczby działań będących źródłem zagrożeń internetowych. Liczba źródeł zagrożeń pochodzących z sieci zwiększyła się z 15 000 000 w grudniu 2007 r. do około 50 000 000 w marcu 2008 r.

Oprogramowanie typu adware, trackware, keylogger i freeloader powoli odchodzi do historii. W marcu 2007 roku firma Trend Micro odkryła, że około 45 procent komputerów zostało zainfekowanych oprogramowaniem typu adware; do kwietnia 2008 roku ich liczba spadła do 35%. W maju 2007 roku około 20% komputerów było zainfekowanych przez oprogramowanie typu trackware; w kwietniu 2008 ich liczba spadła poniżej 5%. Liczba komputerów zainfekowanych oprogramowaniem typu keylogger również powoli, lecz stale spada i wynosi obecnie poniżej 5% (w porównaniu z ponad 5% we wrześniu 2007 roku).