Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia dla użytkowników stron dla dorosłych w 2018 roku

Tagi:

Wprowadzenie

Rok 2018 obfitował w kampanie na rzecz ograniczenia treści pornograficznych online oraz związanego z nimi ruchu. Przykładem może być Tumblr – jedna z najbardziej przyjaznych platform pod względem treści dla dorosłych – która ogłosiła zakaz treści erotycznych (mimo że treści te konsumuje niemal jedna czwarta jej użytkowników). Ponadto, Wielka Brytania zyskała sobie miano „Drugiego najbardziej spragnionego pornografii państwa na świecie” i wprowadza obecnie ustawę dotyczącą weryfikacji wieku miłośników pornografii, która zakazuje oglądania tego rodzaju treści osobom poniżej 18 roku życia. Potencjalnie otwiera to nowe możliwości oszustom i cyberprzestępcom, jeżeli chodzi o wykorzystywanie użytkowników. „Świętą wojnę” wypowiedział pornografii nawet taki gigant komercyjny jak Starbucks, kiedy okazało się, że wielu klientów woli wypić swoją kawkę, konsumując przy tym treści dla dorosłych, niż słuchać muzyki czy czytać najnowsze nagłówki na portalach informacyjnych.  

Takie kroki mogą przynieść efekty, przynajmniej z perspektywy cyberbezpieczeństwa, o czym świadczą przytoczone dalej przykłady. Według doniesień prasowych z zeszłego roku, niezwykle aktywny użytkownik stron dla dorosłych, który okazał się pracownikiem rządowym, nie potrafił utrzymać swojego hobby poza miejsce pracy. Odwiedzając ponad 9 000 stron internetowych z treściami dla dorosłych, naruszył bezpieczeństwo swojego komputera, a następnie zainfekował całą sieć szkodliwym oprogramowaniem, w wyniku czego, stała się podatna na ataki spyware. Ten, i inne incydenty, potwierdzają, że treści dla dorosłych nadal stanowią kontrowersyjny temat zarówno ze społecznego punktu widzenia jak i z perspektywy cyberbezpieczeństwa.          

Nie jest tajemnicą, że od dawna istnieją związki pomiędzy pornografią cyfrową a szkodliwym oprogramowaniem i cyberzagrożeniami. O ile niektóre ze znanych historii okazały się wyssane z palca, inne są jak najbardziej prawdziwe. Rok temu przeprowadziliśmy badanie dotyczące szkodliwego oprogramowania maskowanego za pośrednictwem pornografii i okazało się, że takie zagrożenia są o tyle realne co skuteczne. Jednym z wniosków wynikających z poprzedniego raportu, było to, że cyberprzestępcy nie tylko wykorzystują na różne sposoby treści dla dorosłych – od lukratywnej przynęty mającej skłonić potencjalne ofiary do zainstalowania szkodliwych aplikacji na swoich urządzeniach po oszustwa tematyczne, stosowane w celu kradzieży danych uwierzytelniających dostęp do kont bankowych ofiar oraz innych prywatnych danych – ale również zarabiają na nich pieniądze, kradnąc dostęp do stron pornograficznych i odsprzedając go następnie po niższej cenie niż koszt bezpośredniej subskrypcji.     

W zeszłym roku wykryliśmy wiele próbek szkodliwego oprogramowania, które polowały w szczególności na dane uwierzytelniające dostęp do kilku najpopularniejszych stron pornograficznych. Zaciekawieni tym, po co komu dane uwierzytelniające dostęp do stron pornograficznych, postanowiliśmy zbadać rynki „podziemia” (zarówno w tzw. dark webie jak i otwartej części internetu). Okazało się, że dane uwierzytelniające dostęp do kont na stronach pornograficznych stanowią dość cenny towar w handlu internetowym. Na sprzedaż wystawiono tysiące takich kont.  

Cóż, wyniki poprzedniego badania dotyczącego związków między cyberzagrożeniami a treściami dla dorosłych z pewnością nie stanowiły dla nas niespodzianki. W końcu pornografia zawsze była i nadal pozostaje jedną z najbardziej pożądanych kategorii treści online. Jednocześnie cyberprzestępcy zawsze dążyli do zwiększenia swoich zysków przy użyciu najbardziej skutecznego i najtańszego sposobu dostarczania ofiarom szkodliwych funkcji. To, że treści dla dorosłych staną się dla nich istotnym narzędziem, było niemal nieuniknione.    

Nasze badanie szerszego krajobrazu cyberzagrożeń wykazało, że cyberprzestępcy z czasem zmieniają swoje zwyczaje, taktyki oraz techniki. To oznacza, że zmiany są możliwe nawet w tak niszowym obszarze, jakim są treści i strony pornograficzne. Z tego powodu w tym roku postanowiliśmy zbadać ten temat ponownie. I niektóre rzeczy rzeczywiście się zmieniły.

Metodologia i główne ustalenia

W celu zmierzenia poziomu ryzyka związanego z treściami dla dorosłych online zbadaliśmy kilka różnych wskaźników. Przyjrzeliśmy się szkodliwemu oprogramowaniu podszywającemu się pod treści pornograficzne oraz szkodliwemu oprogramowaniu, które poluje na dane uwierzytelniające dostęp do stron pornograficznych. Przeanalizowaliśmy zagrożenia, które atakują użytkowników w internecie, żeby dowiedzieć się, które popularne strony internetowe mogą być niebezpieczne. Ponadto sprawdziliśmy naszą bazę phishingową oraz spamową, aby przekonać się, czy znajduje się tam dużo treści pornograficznych i w jaki sposób są one wykorzystywane w rzeczywistych atakach. Przy użyciu zagregowanych statystyk dot. zagrożeń uzyskanych z systemu Kaspersky Security Network – infrastruktury służącej do przetwarzania strumieni danych związanych z cyberbezpieczeństwem pochodzących od milionów dobrowolnych uczestników na całym świecie – zmierzyliśmy, jak często i jak wielu użytkowników naszych produktów zetknęło się z zagrożeniami z kategorii treści dla dorosłych.        

Ponadto sprawdziliśmy około dwudziestu internetowych rynków podziemia i policzyliśmy, jak dużo kont jest tam oferowanych na sprzedaż, które są najpopularniejsze, i za ile są sprzedawane. 

Ustaliliśmy następujące fakty:

  • Szukanie treści pornograficznych online stało się bezpieczniejsze: w 2018 r. 650 000 użytkowników stanowiło cel ataków przeprowadzonych z zasobów online. Jest to o 36% mniej niż w 2017 r., gdy wykryto ponad milion takich ataków.
  • Cyberprzestępcy aktywnie wykorzystują popularne kategorie związane z pornografią w celu promowania szkodliwego oprogramowania w wynikach wyszukiwania. Za 80% wszystkich szkodliwych programów podszywających się pod treści pornograficzne odpowiada 20 najpopularniejszych. Łącznie, w 2018 r. 87 227 unikatowych użytkowników pobrało szkodliwe oprogramowanie podszywające się pod treści dla dorosłych, przy czym 8% z nich wykorzystywało w tym celu sieć firmową, a nie prywatną.  
  • W 2018 r. liczba ataków przy użyciu szkodliwego oprogramowania, których celem było zdobycie danych uwierzytelniających dostęp do stron pornograficznych, zwiększyła się niemal trzykrotnie w porównaniu z 2017 r. – odnotowano ponad 850 000 prób zainstalowania tego rodzaju szkodliwego oprogramowania. Liczba zaatakowanych użytkowników zwiększyła się dwukrotnie – na całym świecie odnotowano 110 000 zaatakowanych komputerów PC. 
  • Liczba unikatowych ofert sprzedaży danych uwierzytelniających dostęp do kont premium na stronach internetowych dla dorosłych zwiększyła się ponad dwukrotnie, do ponad 10 000.
  • Zagrożenia związane z tematem pornografii zwiększyły się pod względem liczby próbek,  zmniejszyła się natomiast ich różnorodność: w 2018 r. Kaspersky Lab zidentyfikował co najmniej 642 rodziny zagrożeń dla komputerów PC podszywających się pod jedną popularną kategorię pornografii. Pod względem szkodliwej funkcji rodziny te dzieliły się na 57 typów (w zeszłym roku aż 76). W większości przypadków są to trojany downloadery, trojany oraz oprogramowanie adware.        
  • 89% zainfekowanych plików podszywających się pod treści pornograficzne na urządzeniach z systemem Android należało do kategorii adware.
  • W IV kwartale 2018 r. liczba ataków pochodzących ze stron phishingowych podszywających się pod popularne zasoby treści dla dorosłych była 10-krotnie większa niż w IV kwartale 2017 r., gdy łączna liczba takich ataków wynosiła 21 902.   

Część 1 – Szkodliwe oprogramowanie

Jak już wspomniano wcześniej, cyberprzestępcy wkładają mnóstwo wysiłku w dostarczanie szkodliwego oprogramowania na urządzenia użytkowników, a pornografia stanowi doskonały nośnik. Większość szkodliwych programów, które trafiają na komputery użytkowników ze szkodliwych stron internetowych, zwykle ukrywa się pod postacią filmów. Użytkownicy, którzy pobierają i otwierają plik bez sprawdzenia jego rozszerzenia, lądują na stronie, która wyłudza pieniądze. Dzieje się tak, ponieważ film online zostanie odtworzony za darmo dopiero po tym, jak użytkownik zgodzi się zainstalować szkodliwy plik podszywający się pod aktualizację oprogramowania lub coś podobnego. Jednak, aby w ogóle coś pobrać z takiej strony, użytkownik musi najpierw ją znaleźć. To dlatego najpowszechniejsze scenariusze pierwszego etapu infekcji szkodliwym oprogramowaniem, przeznaczonym zarówno dla komputerów PC jak i urządzeń przenośnych, podszywającym się pod treści pornograficzne obejmują manipulowanie wynikami wyszukiwania.       

W tym celu cyberprzestępcy sprawdzają najpierw, które żądania wyszukiwania są najpopularniejsze wśród użytkowników szukających treści pornograficznych. Następnie stosują tzw. techniki „black SEO”. Polegają one na zmienianiu zawartości i opisu szkodliwych stron internetowych, tak aby pojawiły się na wyższych pozycjach w wynikach wyszukiwania. Takie strony znajdują się na trzecim lub czwartym miejscu na liście wyników wyszukiwania.

Z naszych analiz wynika, że metoda ta nadal jest aktywnie stosowana, ale z mniejszą skutecznością. Aby to sprawdzić, wybraliśmy 100 stron pornograficznych najwyżej uplasowanych w wynikach wyszukiwania oraz te, które miały w tytule słowo „porno”. Sprawdziliśmy, czy któraś z nich stanowi jakiekolwiek zagrożenie dla użytkowników. Okazało się, że w 2017 r. nasze produkty ochroniły ponad milion użytkowników przed zainstalowaniem szkodliwego oprogramowania z wymienionych na tej liście stron. Jednak w 2018 r. liczba takich użytkowników spadła do 658 930. Być może jest to wynik stosowania przez wyszukiwarki procesów mających na celu zwalczanie działań w ramach „black SEO” oraz ochronę użytkowników przed szkodliwą zawartością.        

Tagi pornograficzne = tagi szkodliwego oprogramowania

Optymalizacja szkodliwych stron internetowych, tak aby mogły je znaleźć osoby chcące obejrzeć treści dla dorosłych, nie jest jedynym narzędziem stosowanym przez przestępców w celu znalezienia najlepszych sposobów dostarczania zainfekowanych plików na urządzenia ofiar. Podczas naszego badania okazało się, że cyberprzestępcy maskują szkodliwe oprogramowanie lub pliki niebędące wirusami (not-a-virus) pod postacią plików wideo i nadają im nazwy nawiązujące do kategorii pornograficznych. Kategoria pornograficzna (porn tag) to specjalny termin stosowany w celu łatwiejszej identyfikacji treści z określonego gatunku filmów pornograficznych. Tagi są wykorzystywane przez strony pornograficzne w celu organizowania bibliotek filmów i ułatwienia użytkownikom szybkiego i wygodnego znalezienia interesującego ich filmu. Zagrożenia typu „not-a-virus” są reprezentowane w tym przypadku przez kategorię RiskTool, Downloader oraz AdWare. Zwykle żadna z nich nie jest klasyfikowana jako szkodliwe oprogramowanie, niemniej jednak tego rodzaju aplikacje mogą zrobić coś niepożądanego na komputerach użytkowników. Na przykład oprogramowanie adware może wyświetlać użytkownikom niechciane reklamy, zmieniać wyniki wyszukiwania oraz gromadzić dane użytkowników w celu pokazywania im dopasowanych reklam kontekstowych.  

W celu sprawdzenia, jak bardzo rozpowszechniony jest ten trend, przyjrzeliśmy się najpopularniejszym klasyfikacjom i tagom filmów pornograficznych z trzech najpopularniejszych legalnych stron internetowych oferujących treści dla dorosłych. Wyłoniliśmy je na podstawie łącznej liczby filmów znajdujących się w każdej kategorii. W efekcie powstała lista 100 tagów. Następnie przeszukaliśmy naszą bazę danych dot. zagrożeń oraz bazy danych Kaspersky Security Network pod kątem takich tagów i zidentyfikowaliśmy te, które były wykorzystywane w atakach przy użyciu szkodliwego oprogramowania, jak również określiliśmy częstotliwość takich ataków.    

Łączna liczba użytkowników zaatakowanych przy użyciu szkodliwego oprogramowania oraz zagrożeń klasyfikowanych jako „not-a-virus” podszywających się pod pliki związane z pornografią zmniejszyła się o około połowę w porównaniu z 2017 r. Wtedy wynosiła 168 702, natomiast w 2018 roku już tylko 87 227, przy czym 8% takich użytkowników pobierało szkodliwe oprogramowanie podszywające się pod treści pornograficzne z sieci firmowych. Pod tym względem oszuści wpisują się w ogólny trend: według statystyk Pornhuba, udział treści pornograficznych oglądanych na komputerach stacjonarnych zmniejszył się o 18%. Nie byliśmy jednak w stanie potwierdzić, czy zaobserwowany w 2018 r. spadek liczby użytkowników zaatakowanych przez szkodliwe oprogramowanie podszywające się pod treści pornograficzne przekłada się na zmiany w zachowaniu klientów.    

Być może najistotniejszym ustaleniem naszej analizy rozkładu szkodliwego oprogramowania oraz zagrożeń typu „not-a-virus” wśród tagów pornograficznych jest to, że chociaż zidentyfikowaliśmy ich aż 100, większość zaatakowanych użytkowników (około 80%, zarówno w 2017 jak i 2018 r.) trafiło na zagrożenia, które wykorzystują tylko 20 tagów. Najczęściej wykorzystywane tagi odpowiadają najpopularniejszym tagom występującym na legalnych stronach. Chociaż nie zdołaliśmy znaleźć idealnych korelacji między najczęściej oglądanymi rodzajami filmów dla dorosłych na legalnych stronach a najczęściej napotykanymi zagrożeniami związanymi z treściami pornograficznymi, związek pomiędzy szkodliwą pornografią a tą bezpieczną oznacza, że autorzy szkodliwego oprogramowania oraz zagrożeń typu not-a-virus wpisują się w trendy ustanawiane przez konsumentów pornografii.         

Kontynuując temat, ogólny obraz związany z zagrożeniami wykorzystującymi treści pornograficzne odnotował więcej zmian w 2018 r. w stosunku do 2017 r. W 2018 r. zidentyfikowaliśmy 57 odmian zagrożeń podszywających się pod popularne tagi pornograficzne, które pochodziły z 642 rodzin. Dla porównania, w 2017 roku liczby te wynosiły odpowiednio 76 i 581. To oznacza, że mimo wzrostu liczby próbek szkodliwego oprogramowania pornograficznego zmniejsza się liczba rodzajów szkodliwego oprogramowania oraz oprogramowania typu „not-a-virus” rozprzestrzenianego za pośrednictwem pornografii.  

Wśród trzech najpopularniejszych klas zagrożeń znalazł się trojan downloader (z udziałem wynoszącym 45%), trojan (20%) oraz oprogramowanie adware, które nie jest wirusem (9%). W 2017 r. pierwsza trójka wyglądała inaczej: nadal znajdował się w niej trojan downloader (29%), drugie miejsce zajmowały exploity (23%), natomiast trojany odpowiadały za 19%.   

Rozkład rodzajów zagrożeń związanych

z pornografią w 2017 r.

Rozkład rodzajów zagrożeń związanych

z pornografią w 2018 r.

Trojan-Downloader

29%

Trojan-Downloader

45%

Exploit

23%

Trojan

20%

Trojan

19%

AdWare (not a virus)

9%

AdWare (not a virus)

11%

Robak

8%

Robak

6%

Wirus

2%

Wirus

2%

Downloader (not a virus)

2%

RiskTool (not a virus)

2%

Exploit

2%

Downloader (not a virus)

2%

Trojan-Dropper

2%

Trojan-Dropper

1%

UDS: DangerousObject

2%

Inny

5%

Inny

8%

10 najpopularniejszych typów zagrożeń, które podszywały się pod kategorie związane z pornografią, według liczby zaatakowanych użytkowników w 2017 i 2018 r. Źródło: Kaspersky Security Network

1_auto.png

10 najczęstszych werdyktów dotyczących zagrożeń, które podszywały się pod treści związane z pornografią, według liczby zaatakowanych użytkowników w 2017 i 2018 r. Źródło: Kaspersky Security Network

Najbardziej znacząca zmiana w ogólnym krajobrazie omawianych zagrożeń dotyczy dużej liczby exploitów w 2017 r. W 2017 r. odpowiadały one za niemal jedną czwartą wszystkich zainfekowanych plików, podczas gdy w 2018 r. w ogóle nie znalazły się w dziesiątce najczęściej występujących zagrożeń. Popularność tych zagrożeń można łatwo wytłumaczyć. W 2017 r. odnotowano dużą liczbę wykryć Exploit.Win32.CVE-2010-2568.gen. Jest to generyczna sygnatura (opisująca wiele podobnych szkodliwych programów) dla plików, które wykorzystywały lukę w zabezpieczeniach Powłoki systemu Shell o nazwie CVE-2010-2568. Pod tą samą nazwą wykrywana jest inna luka w zabezpieczeniach LNK - CVE-2017-8464. Luka ta, jak również wykorzystujący ją publicznie dostępny exploit, została ujawniona w 2017 r. i od razu wzbudziła duże zainteresowanie wśród cyberprzestępców – podnosząc tym samym poprzeczkę w zakresie wykrywania exploitów. W ciągu roku liczba ataków wykorzystujących lukę CVE-2017-8464 znacząco spadła, ponieważ większość użytkowników załatała swoje komputery, a twórcy szkodliwego oprogramowania powrócili do wykorzystywania klasycznego szkodliwego oprogramowania atakującego bardziej rozpowszechnione formaty plików (takie jak JS, VBS, PE).            

Przyczyna wzrostu popularności trojana downloadera tkwi w wielozadaniowości tego szkodnika: po zainstalowaniu go na urządzeniu ofiary cyberprzestępca mógłby dodatkowo pobrać praktycznie dowolną szkodliwą funkcję: od botów DDoS oraz szkodliwych programów klikających reklamy po programy kradnące hasła lub trojany bankowe. To oznacza, że przestępca musiałby tylko raz zainfekować urządzenie ofiary, aby móc wykorzystywać je do różnych szkodliwych celów.   

W 2018 roku nastąpiły również zmiany w udziale programów nie będących wirusami. Łącznie programy te stanowiły 15% wszystkich zagrożeń w 2017 r. Jednak w 2018 r. ich liczba zaczęła spadać i obecnie stanowią 11%.

Mobilne szkodliwe oprogramowanie

W związku ze zmianami technicznymi dotyczącymi naszego sposobu wykrywania i analizowania mobilnego szkodliwego oprogramowania zmodyfikowaliśmy metodologię stosowaną na potrzeby tego raportu. Zamiast określać udział treści związanych z pornografią w łącznej liczbie szkodliwych aplikacji, z jakimi zetknęli się nasi użytkownicy, wybraliśmy 100 000 losowych szkodliwych pakietów instalacyjnych podszywających się pod filmy pornograficzne dla systemu Android w 2017 i 2018 r. i porównaliśmy je z bazą danych zawierającą popularne tagi pornograficzne.

Krajobraz rodzajów i rodzin zagrożeń mobilnych różni się również w stosunku do zagrożeń dla komputerów PC. Zarówno w 2017 jak i 2018 r. najbardziej rozpowszechnionym rodzajem zagrożenia  był program adware: 70% w 2017 r. i 89% w 2018 r.

Nazwa szkodliwego oprogramowania

%

Nazwa szkodliwego oprogramowania

%

not-a-virus:HEUR:AdWare.AndroidOS.Agent.n

59,61%

not-a-virus:HEUR:AdWare.AndroidOS.Agent.f

62.88%

not-a-virus:HEUR:AdWare.AndroidOS.Ewind.h

11,02%

not-a-virus:HEUR:AdWare.AndroidOS.Agent.n

17.09%

HEUR:Trojan-Ransom.AndroidOS.Zebt.a

5,33%

not-a-virus:HEUR:AdWare.AndroidOS.Ewind.h

9.62%

HEUR:Trojan.AndroidOS.Loapi.b

3,76%

HEUR:Trojan-Ransom.AndroidOS.Zebt.a

3.27%

HEUR:Trojan-Ransom.AndroidOS.Small.snt

2,22%

HEUR:Trojan.AndroidOS.Boogr.gsh

0.74%

HEUR:Trojan-Dropper.AndroidOS.Agent.hb

1,93%

HEUR:Trojan-Ransom.AndroidOS.Small.snt

0.74%

not-a-virus:HEUR:AdWare.AndroidOS.Agent.f

1,90%

UDS:DangerousObject.Multi.Generic

0.52%

HEUR:Trojan-Ransom.AndroidOS.Small.as

1,54%

HEUR:Trojan-Ransom.AndroidOS.Small.as

0.41%

HEUR:Trojan-Ransom.AndroidOS.Small.cj

1,29%

not-a-virus:HEUR:AdWare.AndroidOS.Ewind.cx

0.36%

not-a-virus:HEUR:AdWare.AndroidOS.Ewind.cx

1,07%

HEUR:Trojan-Ransom.AndroidOS.Small.cj

0.36%

10 najczęstszych werdyktów reprezentujących kategorie związane z pornografią według liczby zaatakowanych użytkowników urządzeń przenośnych w 2017 i 2018 r. Źródło: Kaspersky Security Network

Zagrożenia te są zwykle rozprzestrzeniane za pośrednictwem programów partnerskich umożliwiających zarabianie pieniędzy w wyniku zainstalowania przez użytkowników aplikacji i kliknięcia reklamy. Oprócz oprogramowania adware pornografia jest również wykorzystywana do rozprzestrzeniania oprogramowania ransomware (4% w 2018 r.), jednak na znacznie mniejszą skalę w porównaniu z 2017 r., gdy ponad 10% użytkowników zetknęło się z takimi szkodliwymi programami. Spadek ten jest najprawdopodobniej odzwierciedleniem ogólnej tendencji spadkowej dotyczącej oprogramowania ransomware, jaką obserwujemy w krajobrazie szkodliwego oprogramowania.   

Ci, którzy polują na dane uwierzytelniające

Szczególny rodzaj szkodliwego oprogramowania związanego z treściami pornograficznymi, który monitorujemy przez cały rok, jest stosowany przez osoby polujące na dane uwierzytelniające. Zagrożenia te monitorujemy przy pomocy naszej technologii śledzenia botnetów, która monitoruje aktywne botnety i uzyskuje dane analityczne dotyczące rodzaju wykonywanych przez nie działań w celu zapobiegania pojawiającym się zagrożeniom.

Monitorujemy w szczególności botnety złożone ze szkodliwego oprogramowania. Taki szkodnik, po zainstalowaniu na komputerze, może monitorować, które strony internetowe są otwierane, lub tworzyć fałszywą stronę, na której użytkownik ma podać swój login oraz hasło. Zwykle tego rodzaju programy są tworzone w celu kradzieży pieniędzy z kont bankowości online, jednak w zeszłym roku ze zdziwieniem odkryliśmy, że w monitorowanych botnetach znajdują się boty, które polują na dane uwierzytelniające do stron pornograficznych. 

Ze zgromadzonych przez nas danych wynika, że w 2017 r. istniało 27 wariantów botów należących do trzech rodzin trojanów bankowych, które próbowały kraść dane uwierzytelniające (Betabot, Neverquest oraz Panda). Trojany te polowały na dane uwierzytelniające do kont na 10 znanych stronach internetowych zawierających treści dla dorosłych (Brazzers, Chaturbate, Pornhub, Myfreecams, Youporn, Wilshing, Motherless, XNXX, X-videos). W 2017 r. boty te próbowały zainfekować ponad 50 000 użytkowników ponad 307 000 razy. 

W 2018 r. liczba zaatakowanych użytkowników wzrosła dwukrotnie: na całym świecie odnotowaliśmy ponad 110 000 zainfekowanych komputerów PC. Liczba ataków zwiększyła się prawie trzykrotnie do 850 000 prób infekcji. Jednocześnie liczba zidentyfikowanych przez nas odmian szkodliwego oprogramowania zmniejszyła się z 27 do 22, ale liczba rodzin wzrosła z trzech do pięciu. To oznacza, że dane uwierzytelniające do stron zawierających treści pornograficzne są postrzegane jako cenne przez coraz większą liczbę cyberprzestępców.   

Inna istotna zmiana, jaka miała miejsce w 2018 r., wiąże się z tym, że rodziny szkodliwego oprogramowania nie polują na dane uwierzytelniające do wielu różnych stron internetowych. Zamiast tego koncentrują się na dwóch: Pornhub oraz XNXX, których użytkownicy byli atakowani przez boty należące do rodziny szkodliwego oprogramowania o nazwie Jimmy.    

Najwyraźniej Pornhub nadal cieszy się popularnością, nie tylko wśród zwykłych użytkowników sieci Web, ale również cyberprzestępców poszukujących innego sposobu uzyskania nielegalnych zysków poprzez sprzedaż danych uwierzytelniających użytkowników. 

Część 2 – Phishing oraz spam

Nasze poprzednie badanie sugerowało, że pornografia rzadko stanowi temat wykorzystywany w oszustwach phishingowych. Zamiast tego przestępcy wolą wykorzystywać popularne serwisy umożliwiające znalezienia partnera do seksu. Jednak w 2018 r. nasze technologie antyphishingowe zaczęły blokować strony phishingowe, które przypominały popularne strony pornograficzne. 

Są to najczęściej strony podszywające się pod serwisy pornhub.com, youporn.com, xhamster.com oraz xvideos.com. W IV kwartale 2017 r. łączna liczba prób uzyskania dostępu do stron phishingowych podszywających się pod jeden z takich portali wynosiła 1 608. W ciągu roku, w IV kwartale 2018 r., liczba takich prób (21 902) była ponad dziesięciokrotnie wyższa.      

Łączna liczba prób odwiedzenia stron phishingowych podszywających się pod jeden z popularnych zasobów zawierających treści dla dorosłych wynosiła 38 305. Na liście odwiedzanych stron phishingowych dominowały te, które podszywały się pod portal Pornhub. Odnotowaliśmy 37 144 prób odwiedzenia phishingowej wersji tej strony, podczas gdy tylko 1 161 prób dotyczyło odwiedzenia serwisów youporn.com, xhamster.com oraz xvideos.com. Są to wciąż stosunkowo niewielkie liczby – w innych kategoriach phishingu odnotowujemy miliony wykrytych prób w ciągu roku. Jednak wzrost liczby wykrytych prób odwiedzenia stron pornograficznych w wyniku ataków phishingowych może oznaczać, że przestępcy dopiero zaczynają badać ten temat.              

Warto wspomnieć, że strony phishgowe nie mają żadnego wpływu na oryginalną stronę, a jedynie się pod nią podszywają. Autentyczna strona Pornhub nie jest w żaden sposób powiązana z phishingiem. Ponadto, większość wyszukiwarek zwykle skutecznie blokuje takie strony phishingowe, dlatego dostęp do nich można najlepiej uzyskać za pośrednictwem wiadomości phishingowych lub spamowych, lub w wyniku przekierowania na inną stronę przez szkodliwe oprogramowanie lub szkodliwą ramkę.  

Fałszywe wersje popularnych portali pornograficznych mają na celu zdobycie danych uwierzytelniających oraz danych kontaktowych użytkowników, które można później sprzedać lub wykorzystać w innych oszustwach lub cyberatakach. Generalnie przechwytywanie danych uwierzytelniających to jeden z najpopularniejszych sposobów atakowania użytkowników z wykorzystaniem pornografii jako przynęty w oszustwach phishingowych. W tego rodzaju oszustwach ofiara zostaje zwykle zwabiona na stronę phishingową podszywającą się pod portal społecznościowy, na której zostaje poproszona o uwierzytelnienie swojej tożsamości w celu obejrzenia filmu dla dorosłych, do którego dostęp można uzyskać jedynie po potwierdzeniu, że ukończyło się 18 lat.     

2_auto.png

Gdy ofiara wpisuje swoje hasło, cyberprzestępca przechwytuje dane uwierzytelniające do konta użytkownika na portalu społecznościowym.

Phishing oparty na treściach pornograficznych może być również wykorzystywany w celu zainstalowania szkodliwego oprogramowania. Na przykład, w celu uzyskania dostępu do rzekomego filmu dla dorosłych strona phishingowe wymaga od użytkownika pobrania i aktualizowania odtwarzacza wideo. 

3_auto.png

Nie trzeba mówić, że zamiast odtwarzacza wideo, użytkownik pobiera szkodliwe oprogramowanie.

4_auto.png

Niekiedy celem phisherów są dane uwierzytelniające e-portfele, które zdobywają, stosując jako przynętę treści pornograficzne. Ofiara zostaje zwabiona na stronę pornograficzną, gdzie ma rzekomo obejrzeć film. W celu obejrzenia zawartości musi podać dane uwierzytelniające transakcje płatnicze. 

5_auto.png

Spam

W spamie rzadko obserwujemy, aby treści pornograficzne były wykorzystywane w jakiś specjalny czy specyficzny sposób. Oprócz masowej dystrybucji „standardowych” reklam oferujących treści dla dorosłych na legalnych i nielegalnych stronach nie zauważono, aby tego rodzaju zagrożenie wykorzystywało pornografię w jakikolwiek kreatywny sposób. Jest jednak jeden wyjątek. Na początku 2017 r. pojawiły się oszustwa z kategorii „sextortion”. Użytkownicy zaczęli otrzymywać wiadomości, w których szantażyści żądali przelania im kryptowaluty bitcoin.

6_auto.png

Szantażyści utrzymywali, że posiadają prywatne wiadomości i nagrania ofiary, na których widać, jak ogląda filmy pornograficzne. Twierdzili nawet, że mogą połączyć oglądany przez rzekomą ofiarę film z nagraniem dokonanym za pomocą jego kamery internetowej. Szantaż opierał się wyłącznie na groźbach.

7_auto.png

Jednak w 2018 roku nastąpił wzrost liczby takich e-maili. Co więcej, wiadomości nie tylko zawierały śmielsze pogróżki wobec użytkownika, ale również „dostarczały dowód na prawdziwość twierdzeń przestępców”, przedstawiając użytkownikowi prawdziwe informacje o nim samym.  

8_auto.png

W większości przypadków było to hasło, numer telefonu lub kombinacja obu wraz z adresem e-mail. Ponieważ ludzie zwykle stosują te same hasła do różnych stron internetowych, ofiara często była skłonna uwierzyć, że znalezione przez cyberprzestępców w tzw. dark webie pary hasło plus adres e-mail były autentyczne, nawet jeśli w rzeczywistości nie były poprawne dla danego konta na portalu dla dorosłych.     

9_auto.png

Ponadto, wiadomości te rozesłano w większej liczbie języków niż wcześniej.

10_auto.png

W rzeczywistości maile te opierały się na założeniu, że ich odbiorca przekaże swoje dane uwierzytelniające, na których będzie można zarobić. W 2018 r. wzrosła liczba takich oszustw.

Part 3 – Przegląd darknetu

Jednym z palących tematów dotyczących branży pornograficznej jest kontrowersja wokół płatnych subskrypcji dostępu do takich stron. Często użytkownicy mogą zarejestrować się na koncie w portalu pornograficznym w modelu subskrypcji „premium” (który zapewnia brak reklam oraz nieograniczony dostęp do zawartości strony dla dorosłych). W przeciwnym razie, strona, do której chcą uzyskać dostęp, nie pozwala im oglądać żadnych darmowych treści, dopóki nie zapłacą. W najlepszym przypadku, użytkownik może zobaczyć wersję zapoznawczą, ale za obejrzenie pełnej musi zapłacić. Opinie na temat takiej praktyki są podzielone. Niektórzy twierdzą, że płacenie za pornografię „w bezpośredni sposób napędza rozwój tej branży, która wspiera nadużycia, wykorzystywanie oraz przemyt osób na całym świecie”. Inni utrzymują, że pornografia jest jak większość innych towarów handlowych i ludzie są skłonni zapłacić za nią pieniądze, tak jak w przypadku innych rodzajów rozrywki, takich jak seriale telewizyjne czy muzyka. Mimo to niektóre osoby wolą podawać przykłady tego, jak treści dla dorosłych mogą przyczynić się do pozbawienia niektórych osób praw człowieka.      

Abstrahując od tego, czy warto wydawać pieniądze, niektórzy użytkownicy utrzymują, że cena, jaką należy zapłacić za konta premium na popularnych stronach pornograficznych, jest dość wysoka. Na przykład, opłata za miesięczne członkostwo może wahać się między 20 a 30 dolarami, a roczny koszt nielimitowanego dostępu może wynosić od 120 do 150 dolarów. Na tym sporze korzystają cyberprzestępcy.  

Badanie, które przeprowadziliśmy wcześniej odnośnie cyberzagrożeń związanych z pornografią, wykazało, że istnieje bardzo dobrze rozwinięty łańcuch podaży i popytu dla skradzionych danych uwierzytelniających w tzw. dark webie. Zbadaliśmy tę kwestię ponownie w 2018 r., analizując 20 spośród najwyżej ocenianych rynków sieci Tor wymienionych w DeepDotWeb – otwartej stronie sieci Tor, która zawiera dynamiczny ranking „czarnych” rynków ocenianych przez administratorów sieci Tor na podstawie opinii zwrotnych klientów. Wszystkie z nich zawierały od jednej do ponad 3 000 ofert danych uwierzytelniających do stron zawierających treści dla dorosłych. Łącznie, 29 stron internetowych wyświetlało ponad 15 000 ofert sprzedaży jednego lub większej liczby kont na portalach pornograficznych (oczywiście bez żadnej gwarancji prawnej, że obietnica zostanie spełniona).    

11_auto.jpg

Wyniki przeprowadzonego w zeszłym roku badania pokazały, że cztery spośród badanych rynków oferujących najszerszy wachlarz skradzionych danych uwierzytelniających zawierały ponad 5 239 unikatowych ofert. Z danych dotyczących 2018 r. wynika, że ich liczba wzrosła dwukrotnie, wynosząc ponad 10 000. 

Liczba dostępnych kont wynosiła od 1 do 30, z kilkoma wyjątkami, dotyczącymi głównie słabo ocenianych sprzedawców. Jednak większość ofert obiecywała dane uwierzytelniające do tylko jednego konta. Niezależnie od rodzaju konta, ceny wahają się 3 do 9 dolarów za ofertę, bardzo rzadko przekraczając 10 dolarów. Podobnie było w 2017 r. Jednak zdecydowana większość cen wynosi od 6 do 7 dol. lub ich równowartość w kryptowalucie bitcoin, co jest dwudziestokrotnie mniej niż większość przeciętnych rocznych opłat za członkostwo. Nielegalne uzyskanie dostępu do konta po niższej cenie niż wynosi legalna subskrypcja nie jest jedynym argumentem przemawiającym za kupnem takich danych uwierzytelniających w tzw. dark webie. Dodatkową korzyścią jest anonimowość – możliwość oglądania pornografii, ukrywając się za danymi uwierzytelniającymi należącymi do innych osób.    

Wnioski i rady

Ogólnie ilość pobieranego szkodliwego oprogramowania podszywającego się pod treści pornograficzne, które zostało wykryte na urządzeniach użytkowników, znacznie zmalała w 2018 r. w porównaniu z rekordową aktywnością w 2017 r. Chociaż na pierwszy rzut oka wydaje się, że jest to dobra wiadomość, wyłania się niepokojący trend. Wzrasta liczba użytkowników atakowanych przez szkodliwe oprogramowanie, które poluje na ich dane uwierzytelniające dostęp do treści dla dorosłych, a to oznacza, że subskrypcje premium stanowią obecnie cenny nabytek dla cyberprzestępców. Należy wziąć pod uwagę również to, że wiele współczesnych stron pornograficznych zawiera funkcjonalność społecznościową, dzięki której za pośrednictwem strony ludzie mogą w różny sposób dzielić się swoimi prywatnymi materiałami. Niektóre osoby udostępniają je za darmo dla wszystkich, inne decydują się ograniczyć dostęp do wybranych osób. Znacząco wzrosła również liczba przypadków tzw. seksszantażu (sextortion). Innymi słowy, sfera treści dla dorosłych może wiązać się z wyzwaniami dla cyberbezpieczeństwa wychodzącymi poza zakres „klasycznych” zainfekowanych stron pornograficznych oraz filmów wideo zawierających szkodliwe oprogramowanie. Te wyzwania wymagają podjęcia odpowiednich działań.

Innym, mniej oczywistym, cyberzagrożeniem, jakie niosą ze sobą treści dla dorosłych, jest nadużycie zasobów firmowych. Jak już wspomniano na początku tego raportu, konsumpcja treści pornograficznych w miejscu pracy może w niektórych przypadkach spowodować masową infekcję sieci firmowej. Chociaż większość ataków przy użyciu szkodliwego oprogramowania z wykorzystaniem pornografii jest wymierzonych w klientów indywidualnych, nie zaś korporacje, trzeba pamiętać, że większość klientów przecież gdzieś pracuje, co stanowi pewne ryzyko dla administratorów IT odpowiedzialnych za zabezpieczenie sieci firmowych. 

W celu bezpiecznego oglądania i produkowania treści dla dorosłych Kaspersky Lab daje następujące wskazówki:

Dla klientów indywidualnych:

  • Zanim klikniesz odnośnik, sprawdź wyświetlany adres takiego odnośnika, nawet w wynikach wyszukiwania godnych zaufania wyszukiwarek.
  • Nie klikaj podejrzanych stron internetowych proponowanych w wynikach wyszukiwania i nie instaluj niczego, co pochodzi z takich stron.
  • Jeśli chcesz kupić subskrypcję strony zawierającej treści dla dorosłych – zakup ją wyłącznie na oficjalnej stronie. Sprawdź uważnie adres URL strony internetowej i upewnij się, że jest autentyczna.
  • Sprawdzaj załączniki do wiadomości e-mail przy użyciu rozwiązania zabezpieczającego, zanim je otworzysz – zwłaszcza jeśli pochodzą z dark webu (nawet jeśli można się spodziewać, że będą pochodzić z anonimowego źródła).
  • Załataj oprogramowanie na swoim komputerze PC, jak tylko dostępne będą łaty bezpieczeństwa dla niedawno wykrytych błędów.
  • Nie pobieraj pirackiego oprogramowania ani innej nielegalnej zawartości. Nawet jeśli zostałeś przekierowany na daną stronę internetową z legalnego zasobu.
  • Stosuj niezawodne rozwiązanie zabezpieczające wyposażone w technologie antyphishingowe oparte na zachowaniu – takie jak Kaspersky Total Security – w celu wykrywania i blokowania spamu i ataków phishingowych.
  • Wykorzystuj skuteczne rozwiązanie zabezpieczające, które ochroni cię przed szkodliwym oprogramowaniem oraz jego działaniami – np. Kaspersky Internet Security for Android.

Dla firm:

  • Zapoznaj pracowników z podstawowymi zasadami higieny bezpieczeństwa i wyjaśnij im polityki dotyczące dostępu do stron internetowych, które mogą zawierać treści nielegalne lub o ograniczonym dostępie, jak również, że nie należy otwierać wiadomości e-mail ani klikać odnośniki z nieznanych źródeł.  
  • Firmy mogą również zablokować dostęp do stron internetowych, które naruszają ich politykę firmową, np. strony pornograficzne, poprzez wykorzystywanie wyspecjalizowanego rozwiązania dla punktów końcowych, takiego jak Kaspersky Endpoint Security for Business. Oprócz ochrony przed spamem i phishingiem rozwiązanie to musi zawierać kontrole aplikacji i sieci Web, jak również ochronę przed zagrożeniami WWW, która potrafi wykrywać i blokować dostęp do szkodliwych lub phishingowych adresów WWW.