Kyberzločinci vylepšují své metody

14. 7. 2008

Sdílet

Propracované techniky sociálního inženýrství, pokročilé malwarové technologie a důmyslně propojené hrozby dále posilují už tak značně rostoucí podzemní kyberzločineckou ekonomiku.

bitcoin_skoleni

Společnost Trend Micro Incorporated vydala pravidelnou zprávu „Trend Micro Threat Roundup and Forecast 1H 2008“. Uvádí v ní, že kyberzločinci nejenže využívají k šíření svého zločinu nové technologie, ale také vytvářejí stále nové formy sociálního inženýrství, jimiž se snaží přelstít jak spotřebitele, tak podniky. Výsledkem je, že za posledních šest měsíců vzrostl počet webových hrozeb a zároveň stále klesal objem adwaru a spywaru vytvářeného zastaralými technickými metodami, které již nemohou bojovat se špičkovými bezpečnostními řešeními.

Taktiky sociálního inženýrství jako „nigerijské dopisy“ nebo „španělští vězni“ se zneužívají už desítky let, v současnosti kyberzločinci tyto standardní formy obnovují a modernizují podle aktuálních trendů ve společnosti. Úrodnou půdou pro internetový zločin se například stávají nástroje a technologie používané při vytváření interaktivního prostředí oblíbených webů sociálního networkingu. V březnu Trend Micro odhalila, že na špičkové stránky fungující na principech Web 2.0 (tj. sociální networking, sdílení videa a stránky pro VoIP), poskytovatele free mailů, banky a oblíbené weby pro e-komerci zaútočilo přes 400 phishingových softwarových kitů určených k automatickému vytváření phishingových stránek.

Nedávno nová forma phishingu varovala potenciální oběti před phishingovými maily, čímž se snažila vzbudit důvěru a pak uživatele navést k tomu, aby klikli na odkaz, který vedl na podvodnou stránku. Spammeři také obnovují starší techniky. V únoru Trend Micro prošetřovala pokus o „vishing“, tj. voice phishing (hlasový phishing). Hlasová zpráva vypadala věrohodně, protože všechny odkazy vedly na odpovídající, legitimní cílové stránky. Obsahovala ovšem i telefonní číslo, na které měli uživatelé zavolat a reaktivovat svůj účet, který byl údajně dočasně deaktivován. Po vytočení čísla byli uživatelé dotázání na číslo jejich kreditní karty a PIN, což po sdělení těchto údajů otevřelo phisherům cestu k těmto bankovním kontům.

Vývoj malwaru pro kombinované hrozby
Malwarové varianty jsou obvykle považovány za samostatné hrozby. Dnes webové hrozby vytvářené s cílem osobního profitu kombinují různé škodlivé softwarové komponenty do jedinečného business modelu webových hrozeb. Kyberzločinci například zašlou mailingový spam nebo zprávu přes instatnt messaging obsahující odkaz na záludnou URL adresu. Uživatel klikne na odkaz a je přesměrován na webovou stránku, z níž se do jeho počítače automaticky nahraje soubor s trojským koněm. Trojský kůň poté stáhne další soubor (spyware), který sbírá citlivé informace, jako jsou čísla bankovních účtů (spy-phishing). I když jde zdánlivě o jeden incident, s kombinovanými hrozbami se mnohem hůře bojuje a pro uživatele jsou mnohem nebezpečnější.


Zneužívání nových technologií
Technika fast-flux je dalším příkladem jak zločinci zneužívají technologický rozvoj. Fast-flux je přepínací mechanismus, který umožňuje zneužít servery doménových jmen DNS (domain-name-server) kombinací sítí peer-to-peer, distribuovaných příkazů a řízení, webového vyrovnávání zátěže a proxy přesměrování na skryté weby využívající phishingové nástroje. Fast-flux pomáhá phishingovým webům zůstat delší dobu v provozu a přilákat více obětí. Bezpečnostní experti tak mají větší problém s identifikací záludných domén Storm, protože jejich vývojáři využívají techniky fast-flux a ztěžují tak odhalení těchto domén.

Nárůst webových hrozeb doprovázený snížením počtu útoků adwaru a keyloggerů
Trend Micro zjistila, že během první poloviny roku 2008 došlo k výraznému nárůstu aktivity v oblasti webových hrozeb. Jen v březnu dosáhl jejich počet 50 miliónů, když v prosinci 2007 jich bylo zaznamenáno zhruba 15 miliónů.

Sestupný trend byl naopak zaznamenán u adwaru, trackwaru, keyloggerů a freeloaderů. V březnu 2007 bylo podle Trend Micro nakaženo adwarem zhruba 45 procent pécéček, zatímco v dubnu 2008 šlo pouze o 35 procent. V dubnu 2007 bylo trackwarem nakaženo zhruba 20 procent pécéček; v květnu tento počet klesl na méně než pět procent. Také keyloggery zaznamenaly sice malý, zato stálý pokles – na jaře 2008 jimi bylo nakaženo méně než pět procent počítačů, zatímco v září 2007 se tento počet vyšplhal na pět procent.

„To je dobrý příklad, jak se metody kyberzločinců postupem doby vyvíjejí –místo hrozeb využívajících starších nebo upadajících technologií se nyní zaměřují na lukrativní metody, které přinášejí vyšší zisky,“ řekl Raimund Genes, CTO společnosti Trend Micro.

Mezi další podstatná zjištění uvedená ve zprávě patří:

  • Hrozby stále více cílí na dobře zavedené webové stránky. Počátkem ledna bylo provedeno několik masivních útoků typu SQL injection na tisíce webových stránek patřících společnostem uváděným v žebříčku Fortune 500, vládních organizací a škol.
  • Mobilní hrozby stále hrají mezi nově se rozvíjejícími hrozbami jen malou roli. V lednu Trend Micro objevila malware přestrojený za multimediální soubor, který měl infikovat starší mobilní telefony Nokia.
  • Se znalostmi přichází přesnost. Kyberzločinci se stále více zaměřují na movité uživatele, jako jsou špičkoví manažeři, kteří představují malý počet bohatých jedinců, kteří mají přístup k větším bankovním účtům, přihlašovacím údajům nebo dokonce e-mailovým adresám, které se používají v celé organizaci.
  • Na počátku roku 2008 objem spamu dočasně poklesl – zřejmě šlo o přestávku po vánočních svátcích. Objem zato výrazně narostl v březnu a opět lehce poklesl v dubnu. Pokles spamové aktivity si odborníci Trend Micro vysvětlují jako buď přeskupování spammerů a přípravu na nový útok nebo jako testování nových technik.
  • Počet botů (zneužitých pécéček) narostl z více než jednoho a půl miliónu v lednu na únorových více než 3,5 mil. Tento vzestup byl následován výrazným březnovým poklesem.

Předpověď na následujících šest měsíců
Podle průzkumů a pozorování útoků, které se objevily od počátku tohoto roku, odborníci Trend Micro předpovídají, že v příštích šesti měsících dojde k následujícím trendům:
  • Sociální inženýrství zůstane klíčovou metodou útoků a nastoupí ještě sofistikovanější triky. Trend Micro očekává, že kyberzločinci se budou snažit zneužít takové události, jako jsou letní olympijské hry, nákupy před začátkem školního roku, prezidentská volební kampaň ve Spojených státech, utkání v kopané a americkém fotbalu a zimní prázdniny v prosinci.
  • Kyberzločinci se budou i nadále zaměřovat na nově odhalené zranitelnosti v softwarových aplikacích jiných firem, jako jsou QuickTime, RealPlayer, Adobe Flash atd.
  • Pomalu bude klesat počet útoků pomocí crimewaru, který se spoléhá na zastaralé technické metody, jako jsou dialery a keyloggery. Bude také klesat výskyt graywaru, jako je trackware a malware pro únosy prohlížečů (browser hijackers) – tento malware se v éře miliónových botnetů příliš neuplatní.
  • Objem spamu i nadále exponenciálně poroste a v průměru se zvýší na 30 až 50 miliónů zpráv denně. Spam a phishing se zvýší především v srpnu s aktivitami spojenými s nadcházejícím návratem dětí do škol a olympijskými hrami. Sezónní nárůst spojený se zimními prázdninami se dá očekávat i v listopadu, kdy předpověď objemu spamu dosahuje 170 až 180 miliard zpráv denně.
  • Stejně jako nyní se v příštích měsících budou spam a phishing součástí kombinovaných hrozeb. Okolo 0,2 procenta, tj. jedna z každých 500 webových žádostí, jsou zasílány na webové stránky hostované na infikovaných pécéčkách. Očekává se, že tento trend bude pokračovat.
  • Boty a botnety budou hrát důležitou roli v řetězci šíření hrozeb, jako je spamming, úniky informací, cílené útoky a celoplošné útočné kampaně.

Kopii celé zprávy naleznete na http://us.trendmicro.com/us/threats/enterprise/security-library/threat-reports/index.html.

- - Alexandr Radecký