Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Komputery, sieci i kradzież: część 2

Tagi:

  • Stanislav Shevchenko
    Analityk wirusów, Kaspersky Lab
  • Yury Mashevsky
    Analityk wirusów, Kaspersky Lab

Wstęp

W pierwszej części artykułu analizowaliśmy ataki na indywidualnych użytkowników oraz zastanawialiśmy się, co motywuje cyberprzestępców, jaki rodzaj danych kradną i dlaczego. Artykuł zawierał zarówno materiał opisowy jak i statystyki dotyczące takich ataków. 

Druga część artykułu zawiera przegląd ataków przestępczych na organizacje, firmy i instytucje. Ataki te można podzielić na dwie kategorie: ataki na zasoby organizacji oraz ataki na klientów organizacji. Prezentuje również dane statystyczne, które dadzą czytelnikowi ogólne pojęcie o skali tego problemu.

Ataki na klientów organizacji

Atak na klientów danej organizacji, firmy czy instytucji powoduje utratę zaufania do niej. Naturalnie klienci chcą niezawodnego systemu, który wykona wszystkie ich zadania, a nie takiego, który przyprawi ich o ból głowy i potencjalnie narazi ich dane na niebezpieczeństwo.

Od dłuższego czasu atakowanie klientów w celu kradzieży ich danych stanowi najpopularniejszy typ ataku na organizacje. W jaki sposób przeprowadzane są takie ataki, jakie złośliwe programy są wykorzystywane w tym celu, w jaki sposób użytkownicy mogą zostać zainfekowani - wszystkie te problemy zostały szczegółowo zanalizowane w pierwszej połowie tego artykułu. W drugiej części przedstawimy w skrócie ciąg zdarzeń, które mają miejsce podczas kradzieży danych użytkownika lub innej wirtualnej własności.

Obecnie ten rodzaj przestępstwa przeprowadzany jest zgodnie ze ściśle określonym scenariuszem. Na pierwszym etapie zdalny szkodliwy użytkownik zdobywa dane dotyczące konta klienta w celu uzyskania do niego dostępu. Aby zebrać tego typu dane, można przeprowadzić masowe wysyłki wiadomości e-mail, które skłaniają użytkowników do odwiedzenia strony internetowej szkodliwego użytkownika, lub zainfekować komputer użytkownika złośliwym programem, który bez wiedzy ofiary wyśle jego dane szkodliwemu użytkownikowi. Po uzyskaniu danych dotyczących konta szkodliwy użytkownik zdobędzie dostęp do konta i ukradnie jego zawartość - pieniądze lub coś innego, co może zainteresować cyberprzestępcę.

W przeważającej większości przypadków, cel ataków stanowi konto, które w jakiś sposób związane jest z finansami. Poniższy diagram pokazuje wzrost liczby organizacji finansowych, których klienci stanowili cel ataków złośliwego oprogramowania w latach 2003-2006 (rys. 1).


Rys. 1: Wzrost liczby instytucji finansowych, których klienci stali się celem ataków z wykorzystaniem złośliwych programów przeznaczonych do kradzieży danych 
Źródło: Kaspersky Lab

Jak wynika z diagramu, liczba ofiar wzrasta z roku na rok. Ponadto, liczb ataków będzie rosła proporcjonalnie do wzrostu popularności danego banku, elektronicznego systemu płatności lub innego systemu finansowego online.

Wiele organizacji i instytucji (przede wszystkim banki) przejęło się nieustającymi atakami na swoich klientów w połowie 2005 roku i zaczęło podejmować kroki w celu zapobiegania wykorzystywaniu skradzionych danych. Przykładem takiego działania było wprowadzenie dwustopniowego uwierzytelniania. Niektóre firmy posunęły się nawet do nakładania ograniczeń na wielkość i liczbę transakcji, które mogą być przeprowadzane w określonym okresie. Na głównych stronach wielu banków i instytucji, których działalność związana jest z finansami, często zamieszczane są ostrzeżenia o cyberprzestępczości (zobacz rys. 2).


Rys 2: Ostrzeżenie na stronie związanej z instytucjami finansowymi

Czas pokaże, jak długo tego typu działania będą skutecznie chroniły użytkowników. Wygląda na to, że w początkowym okresie przyniosły pozytywne rezultaty: w pierwszej połowie 2006 roku po raz pierwszy od trzech lat odnotowaliśmy spadek udziału procentowego złośliwych programów wykorzystywanych do osiągania zysków finansowych (zobacz rys. 3).


Rys. 3 Spadek udziału procentowego złośliwych programów wykorzystywanych do kradzieży danych finansowych (udział procentowy w ogólnej liczbie złośliwych programów)
Źródło: Kaspersky Lab

Cyberprzestępcy nieustannie poszukują nowych sposobów na pokonanie przeszkód, jakie napotykają na swej drodze. Mimo nieznacznego spadku udziału procentowego złośliwych programów atakujących użytkowników internetowych serwisów finansowych ich całkowita liczba nieustannie wzrasta, podobnie jak ogólna liczba złośliwych programów.

Ponadto, w minionym roku wzrosła liczba złośliwych programów zdolnych do jednoczesnego atakowania użytkowników kilku systemów płatności (zobacz rys. 4). Przykładem może być Trojan-Spy.Win32.Banker.asq, który atakuje prawie 50 systemów i instytucji finansowych jednocześnie, w tym paypal, caixabank, Postbank (Niemcy) i wiele innych instytucji na całym świecie.


Rys. 4: Wzrost udziału procentowego złośliwych programów, które atakują jednocześnie kilka instytucji finansowych/systemów płatności (udział procentowy złośliwych programów, których celem są dane finansowe)
Źródło: Kaspersky Lab

Taktyka polegająca na atakowaniu kilku systemów płatności i instytucji jednocześnie zwiększa prawdopodobieństwo skutecznego znalezienia ofiar.

Zdecydowaliśmy się poświęcić tę cześć artykułu na omówienie ataków na klientów instytucji finansowych i internetowych serwisów finansowych, ponieważ ataki te są powszechniejsze niż ataki na klientów innych firm czy organizacji. Jednak, cyberprzestępcy zarzucają swoją sieć daleko. Istnieją firmy i instytucje nie związane z finansami, które akceptują płatności dokonywane online. Oczywiście organizacje takie będą również interesowały cyberprzestępców. Analitycy wirusów z firmy Kaspersky Lab wykryli złośliwe programy atakujące klientów firm turystycznych i transportowych, lombardów i stron zwierających sklepy internetowe, jak również szeregu innych firm.

Niestety, nic nie wskazuje na to, że nastąpi spadek liczby złośliwych programów wykorzystywanych do popełniania takich przestępstw. Pierwsza część tego artykułu zawiera wskazówki dotyczące tego, w jaki sposób użytkownicy mogą się zabezpieczyć. Wskazówki te mają również zastosowanie do klientów i użytkowników banków internetowych, systemów płatności online oraz innych firm i organizacji.

Ataki na firmy i instytucje

Cyberprzestępcy stosunkowo często stosują scam, szantaż i żądanie okupu. Jednak najpowszechniejszym rodzajem przestępstwa cybernetycznego, którego ofiarą padają instytucje, jest kradzież poufnych danych.

Kradzież

Ostatnio scammerzy wykazują coraz większe zainteresowanie osobistymi danymi użytkownika, takimi jak: adresy e-mail, numery ubezpieczenia społecznego, konta gier internetowych, a nawet kody PIN, które przechowywane są w wewnętrznych bazach danych wielu instytucji. Na skradzionych bazach danych można łatwo zarobić. Ponieważ istnieje na nie zapotrzebowanie, szkodliwi użytkownicy mogą osiągnąć spore zyski, które motywują ich do popełniania kolejnych podobnych przestępstw.

Przykład Rosji pokazuje skalę rozpowszechnienia się kradzieży danych. Na przykładzie tego państwa widzimy również, że dane można ukraść nawet z organizacji, do których trudno jest uzyskać dostęp, na przykład związanych z podatkami czy cłami. Na rosyjskim czarnym rynku powszechnie dostępne są historie kredytowe, bazy danych zawierające deklaracje celne, dane dotyczące rejestracji samochodów, numery telefonów komórkowych z załączonymi adresami oraz bazy zawierające dane paszportowe. W niektórych przypadkach, danych jest tak dużo, że nie mieszczą się na wymiennym nośniku danych, dlatego sprzedawane są na dysku twardym. Cena waha się od kilkudziesięciu do kilku tysięcy dolarów, w zależności od tego, jak cenne oraz aktualne są dane.

Informacje takie nie są dostępne tylko w Rosji. Również w innych państwach istnieje zapotrzebowanie na tego rodzaju dane, o czym świadczą skandale ze skradzionymi numerami kart kredytowych i numerami ubezpieczenia społecznego, jakie miały miejsce w wielu krajach w 2006 roku. Jeden z takich incydentów miał miejsce w Wielkiej Brytanii, gdy złośliwi użytkownicy zdołali ukraść dane dotyczące kart Mastercard 2 tys. klientów sklepu internetowego.

Naturalnie, osoby kupujące kradzione dane także popełniają przestępstwo: wykorzystują skradzione informacje w celu osiągnięcia zysku finansowego w realnym świecie.

W kradzieży danych istotną rolę odgrywają nie mający skrupułów pracownicy. Analitycy z Kaspersky Lab coraz częściej spotykają się z programami szpiegującymi napisanymi z wykorzystaniem informacji dostarczanych przez pracowników danej firmy. Powstały na przykład złośliwe programy, których twórcy wykorzystali wewnętrzne loginy i hasła atakowanych organizacji, jak również znajomość struktury jej wewnętrznej bazy danych. Powstrzymanie ataku przeprowadzonego z wykorzystaniem wiedzy dostarczonej przez pracowników organizacji jest niezwykle trudne, o ile w ogóle możliwe.

Użytkownikom można w pewnym stopniu zapewnić ochronę poprzez zastosowanie kilku prostych środków ograniczających ryzyko kradzieży danych. Organizacje powinny zastosować całościowe podejście do ochrony, wykorzystując oprogramowanie antywirusowe, zapory ogniowe, filtry spamu oraz monitorowanie i audytowanie infrastruktury sieci za pomocą odpowiednich narzędzi.

Ostatnio wzrosła liczba użytkowników, którzy zostali zainfekowani podczas korzystania z Internetu. Tego rodzaju infekcje nie są trudne do przeprowadzenia: zdalny szkodliwy użytkownik włamuje się na stronę internetową i instaluje na niej złośliwe oprogramowanie. Osoba, która odwiedzi taką stronę, nieświadomie pobierze szkodnika na swój komputer. Z tego względu organizacje i firmy powinny zainstalować rozwiązanie antywirusowe zawierające komponent sieciowy lub oddzielny produkt służący do monitorowania "zawartości" internetowej pod kątem występowania złośliwego kodu.

Podsumowując, wszystko wskazuje na to, że liczba przypadków kradzieży danych będzie wzrastać.

Szantaż, scam i okup

Podczas gdy scammerzy atakują zazwyczaj zwykłych użytkowników, celem szantażystów są najczęściej organizacje.

Najpopularniejszą metodą wykorzystywaną przez cybernetycznych szantażystów jest atak DDoS. Szantażyści wysuwają konkretne żądania i grożą przeprowadzeniem ataku: zazwyczaj żądają od ofiar, aby w określonym terminie zapłaciły podaną sumę, i grożą zablokowaniem dostępu do zasobów sieciowych w przypadku niespełnienia tych żądań. Podczas przeprowadzenie ataku internetowego szkodliwi użytkownicy mogą bez trudu zachować anonimowość.

Popularnym celem szantażystów są sklepy internetowe oraz strony bukmacherskie, jak również wszelkie inne organizacje, które mogłyby ponieść znaczne straty, gdyby zablokowano im dostęp do zasobów.

Wzrost liczby takich ataków wynika częściowo z tego, że ich ofiary często decydują się spełnić żądania szantażystów. W takiej sytuacji ludziom wydaje się, że lepiej jest zapłacić. Jednak jak wynika z badań IBM, ci, którzy płacą, są częściej atakowani niż ci, którzy odmówili spełnienia żądań szantażystów.

Ataki DDoS nie są jedyną metodą stosowaną przez cybernetycznych szantażystów. W pierwszej części tego artykułu omawialiśmy złośliwe programy, które szyfrują dane na komputerze ofiary. Za przywrócenie "porwanych" danych twórcy złośliwego oprogramowania żądają zapłacenia określonej sumy. Ofiarami takich ataków mogą stać się również organizacje. Większość użytkowników czeka, aż firmy antywirusowe dostarczą rozwiązanie. Jednak organizacje, którym cyberprzestępcy zaszyfrowali kluczowe dane, nie mogą sobie na to pozwolić. W tej sytuacji zdarza się, że ulegają żądaniom przestępców. Powstaje błędne koło - takie zachowanie powoduje wzrost liczby ataków i nowych modyfikacji złośliwych programów.

Inne cele ataków

W poprzedniej sekcji skupiliśmy się na kwestii utraty danych. Jednak organizacje posiadają również rzeczy, których nie da się wycenić. Na przykład, ile warta jest utrata dobrej reputacji firmy?

Znane są przypadki, gdy szkodliwi użytkownicy włamali się najpierw na stronę internetową, a następnie zainstalowali wyspecjalizowane złośliwe programy przeznaczone do masowego wysyłania spamu. Spam wysyłany jest "w imieniu" ofiary, która oczywiście nie jest tego świadoma, co powoduje utratę zaufania zarówno użytkowników jak i klientów. Cierpi na tym również reputacja firmy, której trudno będzie podnieść się po takim incydencie.

W ciągu ostatnich kilku lat znacznie wzrosła liczba portali zaatakowanych przez hakerów oraz liczba złośliwych programów, które w efekcie takich ataków zostały pobrane na komputery ofiary. Nie chodzi tu o małe firmy. Zagrożone są największe struktury komercyjne i rządowe: złośliwy kod został umieszczony między innymi na stronach Microsoftu, stronach związanych z bezpieczeństwem i obroną oraz na stronach organów ścigania. To oznacza, że chociaż organizacje i instytucje świadome są zagrożeń, nie zawsze podejmują odpowiednie działania.

Podsumowanie

Dane przedstawione w raporcie jednoznacznie pokazują, że liczba ataków i rodzajów złośliwego kodu, który mogą wykorzystać cyberprzestępcy przez cały czas wzrasta.

Cyberprzestępcy nieustannie ulepszają swoje metody i rekrutują wysoko wykwalifikowanych ludzi. Liczba ataków rośnie z roku na rok, a ich ofiarami stają się nowe instytucje finansowe. Nie tylko prowadzi to do strat finansowych: w wyniku takich incydentów poważnie ucierpieć może reputacja firmy, jak również jej infrastruktura IT.

Bezpieczeństwo informatyczne wymaga podejścia całościowego. Szczególny nacisk należy położyć na wykorzystanie rozwiązań antywirusowych, filtrów spamu, monitorowania sieci i narzędzi audytu. Jedynie takie podejście pozwoli firmom, organizacjom i instytucjom skutecznie powstrzymać wzrastającą liczbę przestępstw cybernetycznych.

Źródło:
Kaspersky Lab