Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Przegląd cyberzagrożeń finansowych w okresie świątecznym 2016


Wprowadzenie

W listopadzie zeszłego roku przeprowadziliśmy krótką analizę krajobrazu zagrożeń w okresie świątecznym – od października do grudnia w 2014 i 2015 roku – aby stwierdzić, czy liczba cyberataków finansowych w tym czasie różni się od tej, jaką zwykle odnotowujemy w ciągu roku. Z analizy retrospektywnej wynika, że odsetek ataków phishingowych w tym okresie był wyższy niż średnia roczna. Dynamika ataków przy użyciu szkodliwego oprogramowania finansowego również wyraźnie wskazywała, że w 2014 i 2015 roku przestępcy zorganizowali swoje kampanie w taki sposób, aby miały miejsce mniej więcej w okresie od Black Friday do Cybernetycznego Poniedziałku jak również Świąt Bożego Narodzenia i Nowego Roku.     

Na podstawie tych danych sformułowaliśmy następującą prognozę: w analogicznym okresie świątecznym w 2016 roku nastąpi wzrost liczby cyberataków. Teraz, gdy okres świąteczny już za nami, pora sprawdzić, jak trafna była ta prognoza.   

Phishing finansowy

Liczby

Jak widać w tabeli poniżej, w przeciwieństwie do poprzednich lat, różnica między łącznymi wynikami rocznymi a wynikami dotyczącymi IV kwartału nie jest znacząca. Jednak odsetek finansowych ataków phishingowych zablokowanych przez produkty Kaspersky Lab w IV kwartale 2016 r. był wyższy niż średnia dla całego roku.

2013

Pełny rok

IV kwartał

Finansowe ataki phishingowe łącznie 

31,45%

32,02%

Sklepy internetowe

6,51%

7,80%

Banki online

22,20%

18,76%

Płatności elektroniczne

2,74%

5,46%

2014

Pełny rok

IV kwartał

Finansowe ataki phishingowe łącznie 

28,73%

38,49%

Sklepy internetowe

7,32%

12,63%

Banki online

16,27%

17,94%

Płatności elektroniczne

5,14%

7,92%

2015

Pełny rok

IV kwartał

Finansowe ataki phishingowe łącznie 

34,33%

43,38%

Sklepy internetowe

9,08%

12,29%

Banki online

17,45%

18,90%

Płatności elektroniczne

7,08%

12,19%

2016

Pełny rok

IV kwartał

Finansowe ataki phishingowe łącznie 

47,48%

48,13%

Sklepy internetowe

10,17%

10,41%

Banki online

25,76%

26,35%

Płatności elektroniczne

11,55%

11,37%

Co więcej, wyniki dla IV kwartału 2016 r. są najwyższe spośród dotychczas zarejestrowanych. 48.13% wszystkich ataków phishingowych zidentyfikowanych przez produkty firmy Kaspersky Lab miało na celu głównie gromadzenie danych finansowych użytkowników – o 0.65% więcej niż średni udział finansowych ataków phishingowych w 2016 roku i o 4.75% więcej w porównaniu z tym samym okresem w 2015 roku. Jednak okres świąteczny nie jest jedynym powodem tak wysokiego odsetka ataków finansowych. Oszustwa phishngowe to najprostszy sposób zarobienia pieniędzy, nawet dla przestępców reprezentujących niski poziom. Etap przygotowania i obsługi tego rodzaju oszustw nie wymaga wielu specjalistycznych narzędzi czy wiedzy, za to przynosi wysokie przychody. Innymi słowy, ataki phishingowe wydają się cyberprzestępcom atrakcyjniejsze ze względu na ich łatwość i niewielkie koszty w porównaniu z przeprowadzeniem ataku przy użyciu finansowego szkodliwego oprogramowania. To spowodowało wzrost popularności phishingu.        

Dostawa na czas

Jak pokazuje nasza początkowa analiza krajobrazu zagrożeń w okresie świątecznym w 2014 i 2015 roku, przestępcy próbowali połączyć swoje kampanie phishingowe z określonymi datami, co spowodowało widoczny wzrost liczby ataków w Black Friday, Cybernetyczny Poniedziałek oraz w okresie świątecznym. Dane liczbowe dla 2016 roku nie wykazywały żadnej różnicy, ale odnotowaliśmy wzrost liczby ataków, w których wykorzystywano dobrze znane marki z branży sprzedaży detalicznej online oraz finansowej.   

followup_eng_1_auto.jpg

 

Jak widać na powyższym wykresie, szczytowe wartości liczb wykrytych oszustw phishingowych związanych tematycznie z firmą Amazon niemal idealnie pokrywały się z datami, w których wypadał w 2016 roku Black Friday oraz Cybernetyczny Poniedziałek. Tę samą dynamikę można zaobserwować również w przypadku innych aktualnie popularnych marek, łącznie z systemami płatności. 

followup_eng_2_auto.jpg

 

Co ciekawe, dynamika ataków podczas okresu Świąt Bożego Narodzenia jest inna. Jak widać na wykresie poniżej, liczba ataków zaczęła spadać kilka dni przed Wigilią Bożego Narodzenia, po czym 25 grudnia wzrosła. 

followup_eng_3_auto.jpg

followup_eng_4_auto.jpg

followup_eng_5_auto.jpg

 

Takie synchroniczne zachowanie można być spowodowane wieloma różnymi czynnikami, łącznie z tym, że cyberprzestępcy również świętują Boże Narodzenie, a łączna liczba użytkowników Internetu zmniejsza się 24 grudnia. Jednak 25 grudnia liczba ataków znów wzrasta.   

Oszustwa: tematyka związana z Black Friday i Bożym Narodzeniem

W naszym pierwotnym raporcie analizowaliśmy kilka przykładów tzw. tematycznych oszustw phishingowych poświęconych określonemu tematowi – wyprzedaży z okazji Black Friday. Chociaż raport został opublikowany kilka tygodni, zanim rozpoczęły się właściwe wyprzedaże, zdołaliśmy już zidentyfikować kilka przykładów oszustw phishingowych o tematyce związanej z Black Friday. Bliżej początku wyprzedaży pojawiło się kilka nowych przykładów.   

followup_eng_6_auto.png

 

Przykład oszustwa phishingowego o tematyce związanej z Black Friday oferującego smartphone’a z 65% zniżką. 

followup_eng_7_auto.png

Przykład oszustwa phishingowego o tematyce związanej z Black Friday oferującego telewizor w atrakcyjnej cenie.

W ramach oszustw promowane były w większości urządzenia elektroniki użytkowej, takie jak smartfony i telewizory, po niezwykle niskich cenach, a użytkowników próbowano nakłonić do przekazania informacji płatniczych przestępcom. Wraz ze zbliżającymi się Świętami Bożego Narodzenia zmieniły się odpowiednio tematy oszustw. W grudniu nasi badacze zaczęli wykrywać oszustwa phishingowe związane z Bożym Narodzeniem i Nowym Rokiem.

followup_eng_8_auto.png

 

Przykład oszustwa phishingowego o tematyce związanej z Bożym Narodzeniem opartego na podobieństwie ze stroną sklepu elektronicznego Alibaba.com.  

Prezentowany powyżej przykład na pierwszy rzut oka nie ma nic wspólnego z Bożym Narodzeniem. Jednak ta fałszywa strona internetowa Alibaba.com była dostępna pod adresem christmascartoons.org i miała przyciągnąć potencjalne ofiary kuszącą propozycją uzyskania pożyczki o bardzo niskim oprocentowaniu wraz z możliwością wyszukiwania i nabycia towarów z tej samej strony przy użyciu karty kredytowej.

W innym przykładzie, w którym cel stanowili użytkownicy mobilni, przestępcy próbowali wykorzystać popularność mobilnej gry Clash of Clans.    

followup_eng_9_auto.png

 

Scam obiecuje, że twórcy gry rozdają za darmo cenne wirtualne przedmioty związane z grą jako prezent noworoczny dla fanów.

followup_eng_10_auto.png

 

Użytkownicy mogą wybierać spośród wachlarza przedmiotów. Jednak, aby otrzymać prezent muszą wypełnić formularz rejestracyjny, w którym mają podać szczegóły dotyczące swojego konta Gmail. 

followup_eng_11.png

 

Nie trzeba mówić, że w zamian za te informacje ofiara nie uzyskuje nic poza utratą kontroli nad własnym kontem e-mail oraz e-mailem potwierdzającym.

followup_eng_12_auto.png

 

Jednak ten ostatni jest wysyłany tylko po to, aby przestępcy mieli pewność, że dane uwierzytelniające dostarczone przez ofiarę są prawdziwe.

Ogólnie, nie można powiedzieć, że w okresie świątecznym w 2016 roku miał miejsce szczególnie duży wzrost liczby ataków phishingowych, jednak nasza główna hipoteza, postawiona we wcześniejszych raportach – że przestępcy wykorzystają tematy i daty Black Friday i Świąt Bożego Narodzenia – została potwierdzona.   

I naturalnie phishing finansowy nie był jedynym rodzajem cyberzagrożenia, który wykazał nietypowe zachowanie w ostatnich trzech miesiącach 2016 roku. W krajobrazie finansowego szkodliwego oprogramowania również miały miejsce interesujące zmiany.

Ataki przy użyciu finansowego szkodliwego oprogramowania

Łącznie, w IV kwartale 2016 roku Kaspersky Lab odnotował ataki przy użyciu finansowego szkodliwego oprogramowania na 319 692 użytkowników na całym świecie. To o 22,49% więcej niż w analogicznym okresie w 2015 roku, gdy zaatakowanych zostało 261 000 użytkowników, i o 2,7% więcej niż w 2014 roku. Trudno powiedzieć, czy wzrost ten został wywołany zainteresowaniem cyberprzestępców okresem świątecznym; jednak dane dotyczące dynamiki ataków pokazują, że podobnie jak w przypadku phisherów, osoby stojące za finansowym szkodliwym oprogramowaniem próbowały łączyć swoją aktywność z konkretnymi danymi.     

followup_eng_13_auto.jpg

Dynamika ataków przy użyciu finansowego szkodliwego oprogramowania w IV kwartale 2016 roku (okres świąteczny)

25 listopada (Black Friday) miał miejsce niewielki, ale widoczny wzrost liczby ataków, a kolejny 28 listopada (Cybernetyczny Poniedziałek). Ogólnie, listopad stanowił drugi najgorętszy miesiąc w badanym okresie pod względem liczby zaatakowanych użytkowników: ponad 120 000. Najgorętszym miesiącem był październik: ponad 130 000 zaatakowanych użytkowników.   

followup_eng_14_auto.jpg

Dynamika ataków przy użyciu finansowego szkodliwego oprogramowania w Black Friday oraz Cybernetyczny Poniedziałek 2016 roku

Aktywność osób atakujących w okresie świąt Bożego Narodzenia kształtowała się inaczej. Główny wzrost miał miejsce przed (22 grudnia) i po świętach (25-27 grudnia). Można tłumaczyć to tym, że większość aktywności związanej z handlem elektronicznym ma miejsce blisko tych dat: ludzie kupują prezenty i przedmioty na Boże Narodzenie i Nowy Rok, wyjeżdżają na zimowe wakacje i wydają pieniądze na rozrywkę.  

followup_eng_15_auto.jpg

Dynamika ataków przy użyciu finansowego szkodliwego oprogramowania w okresie świąt Bożego Narodzenia w 2016 roku

Należy zauważyć, że dynamika ataków w okresie świąt jest bardzo podobna do tej zaobserwowanej w 2015 i 2014 roku. Przestępcy polują na pieniądze użytkowników, a okres świąteczny jest do tego idealnym czasem.

Aby osiągnąć swoje cele, wykorzystują jedną z 30 rodzin trojanów bankowych, spośród których pięć należy do najbardziej rozpowszechnionych: Zbot, Nymaim, Shiotob, Gozi oraz Neurevt. Ta piątka odpowiada za ataki na 92,35% użytkowników w badanym okresie.

followup_eng_16_auto.jpg

Zakończenie

Wygląda na to, że trendy zaobserwowane w ramach analizy krajobrazu zagrożeń w okresie świątecznym w 2014 i 2015 roku powtórzyły się w 2016 roku, ale na większą skalę, gdyż zostało zaatakowanym więcej użytkowników. Na razie jest jeszcze za wcześnie, aby wyciągać jakiekolwiek wnioski odnośnie skuteczności oszukańczych kampanii w okresie świątecznym 2016, ponieważ przestępcy, którzy zdołali ukraść dane uwierzytelniające dotyczące kart płatniczych, zwykle nie wykorzystują ich od razu. Czekają kilka miesięcy, aby oszukańcze transakcje wydawały się mniej podejrzane stosowanym przez organizacje finansowe systemom zapobiegania oszustwom, z całą pewnością można jednak powiedzieć, że miały miejsce liczne próby wykorzystania okresu wyprzedażowego.     

Chociaż okres świąteczny jest już za nami, nadal niezwykle istotne jest przestrzeganie prostych zasad umożliwiających zachowanie bezpieczeństwa podczas wykonywania operacji finansowych online.