Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Cyberzagrożenia finansowe w 2018 r.


Wprowadzenie i kluczowe ustalenia

Świat finansów stanowi ogromne źródło dochodów cyberprzestępców na całym świecie, przy czym powód jest dość oczywisty – pieniądze. Podczas gdy rządy i organizacje inwestują w nowe metody ochrony serwisów finansowych, cyberprzestępcy inwestują w sposoby ich obejścia. To dało początek wielu zmianom dotyczącym sposobu korzystania z serwisów finansowych online oraz systemów płatności, dużych banków oraz terminali POS.  

Zeszły rok cechował szereg zmian w krajobrazie cyberzagrożeń finansowych, obejmujących nowe techniki infiltracji, wektory ataków oraz rozszerzenie ich zasięgu geograficznego. Jednak być może najbardziej interesująca zmiana, jaka miała miejsce, dotyczyła sposobu wykorzystywania użytkowników. Wraz z rozpowszechnianiem się łańcucha bloków oraz kryptowaluty pojawiło się wiele nowych sposobów płatności, zarówno na legalnym jak i nielegalnym rynku, które zwróciły również uwagę przestępców.    

Kryptowaluta stała się najgorętszym tematem w 2018 r. Skradła miejsce w nagłówkach oprogramowaniu ransomware, kierując uwagę społeczności związanej z cyberbezpieczeństwem na nowe zagrożenie. Tam, gdzie użytkownicy byli skłonni zapłacić za coś przy użyciu kryptowaluty, pojawiali się również cyberprzestępcy. Zagrożenia były dostarczane na dwa sposoby – poprzez wzbogacanie szkodliwego oprogramowania o możliwości kopania kryptowaluty w celu uzyskania korzyści finansowych bez rozgłosu oraz ataki na infrastrukturę kryptowaluty (portfele, giełdy waluty itd.). Próbowali zarobić na tym nawet największe cyberugrupowania APT takie jak Roaming Mantis, nie wspominając już o szkodliwym oprogramowaniu takim jak PowerGhost, które zasadniczo stanowiło wielofunkcyjne narzędzie do kopania kryptowaluty. Jak już wspomniano wcześniej, Lazarus, jedno z najaktywniejszych cyberugrupowań finansowych w 2018 r., stopniowo rozszerzało swoją listę celów. Obecnie obejmuje ona banki, firmy fin-tech, terminale PoS, bankomaty oraz giełdy wymiany kryptowaluty.

Latem opisywaliśmy interesujący przypadek, który dowodzi tego, o czym była mowa wcześniej – wykryliśmy, że ugrupowanie cyberprzestępcze Lazarus atakowało giełdy kryptowaluty przy użyciu fałszywego instalatora oraz szkodliwego oprogramowania dla systemu macOS. W tym przypadku, przestępcy stworzyli specjalne oprogramowanie, które wyglądało na legalne i posiadało legalne funkcje. Jednak program pobierał również szkodliwą aktualizację, która okazała się backdoorem. Jest to nowy rodzaj ataku polegający na infekowaniu celów za pośrednictwem łańcucha dostaw. Był to jeden z najbardziej kreatywnych ataków w 2018 roku.       

Jednak kilka miesięcy później krajobraz cyberzagrożeń zgotował jeszcze większą niespodziankę społeczności związanej z bezpieczeństwem, po raz kolejny udowodniając, że zagrożone są nawet tradycyjne, doświadczone przedsiębiorstwa finansowe. W grudniu Kaspersky Lab wykrył operację DarkVishnya: nową serię bezprecedensowych cyberkradzieży, których celem były organizacje finansowe w Europie Wschodniej. Podczas reagowania na incydenty przeprowadzonego przez naszych ekspertów okazało się, że w każdym przypadku do sieci firmowej włamano się przy użyciu nieznanego urządzenia, kontrolowanego przez osoby atakujące, które zostało przemycone do budynku firmy i podłączone do sieci. W ten sposób zaatakowanych zostało co najmniej osiem banków w regionie, a szacowane straty sięgały dziesiątek milionów dolarów. Wniosek jest prosty – nawet jeśli zainwestujesz w cyberbezpieczeństwo, nigdy nie przewidzisz, w jaki sposób zostaniesz zaatakowany przez cyberprzestępców. Trzeba zachować szczególną ostrożność.      

To niepokojący trend. O ile banki posiadają doświadczenie w tej materii i wiedzą, jak wzmocnić swoją ochronę, firmy fin-tech oraz giełdy kryptowaluty, których systemy bezpieczeństwa znajdują się w powijakach, są narażone na większe ryzyko. Poza tym, nowe, bezprecedensowe metody ataków powinny stanowić ostrzeżenie dla tradycyjnych organizacji finansowych, że powinny mieć się na baczności. 

Innym powodem do niepokoju jest fakt, że cyberprzestępcy postanowili nie tylko skoncentrować swoje wysiłki na serwisach finansowych, ale również na działach finansowych firm przemysłowych, w których przelewy w wysokości setek tysięcy dolarów nie wzbudziłyby wielkich podejrzeń. Latem 2018 r. eksperci z Kaspersky Lab zidentyfikowali nową falę wiadomości w ramach ukierunkowanego phishingu (spear-phishing) finansowego, podszywających się pod legalne pisma związane z księgowością i zakupami, za pomocą których zaatakowano co najmniej 400 organizacji przemysłowych w celu uzyskania korzyści finansowych.     

Należy również wspomnieć o bankomatach, których bezpieczeństwo nie należy ignorować. W zeszłym roku specjaliści z Kaspersky Lab wykryli sześć nowych rodzin szkodników dla tych maszyn, co oznacza, że obecnie istnieje ich pond 20. Największe szkody związane z atakami na bankomaty były spowodowane przez infekcje, których źródłem były wewnętrzne sieci bankowe, np. FASTCash oraz ATMJackPot, które pozwoliły osobom atakującym zaatakować tysiące bankomatów. Poza tym, w 2018 r. powstał nowy zestaw narzędzi do kradzieży pieniędzy bezpośrednio z takich maszyn – nazwaliśmy go KoffeyMaker.

Jeśli chodzi o duże firmy, nie zabrakło pozytywnym wiadomości dla branży – w 2018 r. policja aresztowała wielu członków znanych ugrupowań cyberprzestępczych odpowiedzialnych, między innymi, za takie zagrożenia, jak Carbanak/Cobalt oraz Fin7. Ugrupowania te brały udział w atakach na dziesiątki, jeśli nie setki firm oraz instytucji finansowych na całym świecie.      

Schodząc poziom niżej – z dużych organizacji do małych i średnich – należy wspomnieć, że miało miejsce również wiele ataków na organizacje wykorzystujące systemy bankowe. Oparty na uczeniu maszynowym system analizy behawioralnej firmy Kaspersky Lab wykrył kilka fal szkodliwej aktywności związanej z rozprzestrzenianiem trojana bankowego Buhtrap, po tym jak osoby atakujące osadziły swój kod w popularnych stronach informacyjnych oraz forach. 

Schodząc na jeszcze niższy poziom – z małych i średnich przedsiębiorstw do użytkowników indywidualnych – można stwierdzić, że 2018 r. z pewnością nie był dla tych ostatnich okresem wytchnienia od zagrożeń finansowych. Niesławne bankery mobilne nadal istnieją i polują na ich pieniądze. Biorąc pod uwagę wspomniane wyżej zmiany w krajobrazie, nie dziwi fakt, że programy te rozszerzają swoje możliwości, często łącząc różne funkcje – tak jak trojan Rotexy, który z czasem ewoluował, stając się jednocześnie bankerem i oprogramowaniem ransomware. Niektóre z nich zostają również wzbogacone o funkcje kopania kryptowaluty, aby mogły zapewniać zyski. Inne cyberugrupowania inwestowały w nowe sposoby infekowania urządzeń użytkowników – np. w 2018 r. eksperci z Kaspersky lab wykryli dość rzadkie rozszerzenie dla przeglądarki Chrome, którego celem była kradzież danych uwierzytelniających.       

Przedstawiany raport to kolejny w serii raportów firmy Kaspersky Lab zawierających przegląd ewolucji krajobrazu zagrożeń finansowych na przestrzeni kilku lat. Obejmuje powszechne zagrożenia phishingowe, z jakimi stykają się użytkownicy, jak również szkodliwe oprogramowanie finansowe dla systemów Windows oraz Android. 

Kluczowe ustalenia raportu:

Phishing:

  • W 2018 r. udział finansowych ataków phishingowych zmniejszył się z 53,8% do 44,7% wszystkich wykryć ataków phishingowych, nadal stanowiąc niemal połowę wykryć.  
  • Mniej więcej jedna na pięć prób załadowania strony phishingiwej zablokowana przez produkty firmy Kaspersky Lab miała związek z phishingiem bankowym.
  • Udział ataków phishingowych na systemy płatności oraz sklepy online wynosił odpowiednio prawie 14% i 8,9% w 2018 r. Jest to nieco mniej (o jeden punkt procentowy) niż w 2017 r.   
  • Udział phishingu finansowego, z jakim zetknęli się użytkownicy komputerów Mac nieznacznie wzrósł, wynosząc 57,6%.

Szkodliwe oprogramowanie bankowe:

  • W 2018 r. liczba użytkowników zaatakowanych przy użyciu trojanów bankowych wynosiła 889 452 – o 15,9% więcej w stosunku do 767 072 w 2017 r.
  • 24,1% użytkowników zaatakowanych przy użyciu szkodliwego oprogramowana bankowego stanowiło użytkowników korporacyjnych.
  • Najczęstszym celem ataków przy użyciu szkodliwego oprogramowania bankowego byli użytkownicy w Rosji, Niemczech, Indiach, Wietnamie, we Włoszech, Stanach Zjednoczonych oraz Chinach.
  • Zbot i Gozi nadal dominują jeśli chodzi o najbardziej rozpowszechnioną rodzinę szkodliwego oprogramowania bankowego (ponad 26% i 20% zaatakowanych użytkowników). Tuż za nimi znajduje się SpyEye (15,6%). 

Szkodliwe oprogramowanie bankowe dla systemu Android:

  • W 2018 r. liczba użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem bankowym dla systemu Android, wzrosła ponad trzykrotnie do 1 799 891 na całym świecie.    
  • Zaledwie trzy rodziny szkodliwego oprogramowania bankowego odpowiadały za ataki na ogromną większość użytkowników (około 85%).
  • W Rosji, Afryce Południowej oraz Stanach Zjednoczonych znajdował się najwyższy odsetek użytkowników zaatakowanych przez szkodliwe oprogramowanie bankowe dla systemu Android.

Phishing finansowy

Phishing finansowy, jeden z najpopularniejszych sposobów zarabiania pieniędzy przez przestępców, nie wymaga znaczących inwestycji, aby przynieść potencjalne zyski. Jeśli będzie skuteczny, przestępcy uzyskają dane uwierzytelniające, które mogą wykorzystać do kradzieży środków lub sprzedać za dobrą cenę.   

Dzięki połączeniu technicznej prostoty i skuteczności tego rodzaju szkodliwa aktywność jest atrakcyjna dla przestępców. Jak pokazują systemy telemetryczne firmy Kaspersky Lab, ten rodzaj aktywności odpowiada za połowę wszystkich ataków phishingowych, jakie miały miejsce w ciągu kilku ostatnich lat.

1_auto.png

Rys. 1 Odsetek ataków w ramach phishingu finansowego (w stosunku do łącznej liczby ataków phishingowych) wykrytych przez firmę Kaspersky Lab w latach 2015-2018

W 2018 r. technologie antyphishingowe firmy Kaspersky Lab wykryły 482 465 211 prób odwiedzenia różnego rodzaju stron phishingowych. Spośród nich 44,7% wykryć dokonanych na podstawie metod heurystycznych dotyczyło prób odwiedzenia strony stworzonej w ramach phishingu finansowego – niemal o 10% mniej niż udział wykrytych ataków phishingowych zarejestrowanych w 2017 r. (gdy wynosił 53,8%, co stanowiło najwyższy odsetek finansowego phishingu zarejestrowanego przez firmę Kaspersky Lab).      

Wynikało to głównie ze wzrostu udziału innych kategorii phishingu. Przyjrzyjmy się jednak bliżej kategoriom finansowym.

Według klasyfikacji firmy Kaspersky Lab, istnieje kilka rodzajów stron phishingowych określanych jako „finansowe”. Dotyczą one banków, znanych systemów płatności, takich jak PayPal, Visa, MasterCard, American Express oraz innych, sklepów internetowych oraz stron aukcyjnych, takich jak Amazon, Apple store, Steam, E-bay oraz inne. W 2018 r. wszystkie z nich zostały w pewnym stopniu oszczędzone: udział ataków phishingowych na banki, systemy płatności oraz sklepy online zmniejszył się odpowiednio o 5,3, 1,8 i około 2 punktów procentowych.  

Ataki w ramach phishingu finansowego zajęły 2, 3 i 4 miejsca w ogólnym rankingu:

 

2_auto.png

Rys. 2: Rozkład różnych rodzajów ataków w ramach phishinu finansowego wykrytych przez Kaspersky Lab w 2018 roku

O ile w 2017 r. po raz pierwszy od początku naszych obserwacji systemy płatności oraz sklepy internetowe znalazły się w pierwszej trójce we wszystkich kategoriach wykrytych ataków phishingowych, w 2018 r. sytuacja wróciła do normy i na pierwszym miejscu uplasowały się globalne portale internetowe. Jednak, z przedstawionego wykresu wynika, że niemal co drugi atak phishngowy był powiązany z finansami.

Uważamy, że zmiana ta miała związek z dużym zainteresowaniem Facebookiem ze strony mediów na tle licznych skandali, jakie miały miejsce w tym roku. Jeśli przyjrzymy się globalnej kategorii Portal internetowy, wyraźnie widać, że spadła ona z drugiego miejsca (z udziałem 24,1%) w 2016 r na czwarte w 2017 r. (10,9%). W 2018 r. odzyskała swoją pozycję, będąc celem ponad 24% ataków phishingowych.  

3_auto.png

Rys. 3: Odsetek phishingu związanego z kategorią portal internetowy wykrytego przez Kaspersky Lab w latach 2016-2018 

Jednocześnie nie odnotowano żadnych zmian pod względem ofiar – główne banki, popularne systemy płatności, sklepy internetowe oraz portale aukcyjne nadal stanowią najatrakcyjniejsze cele cyberprzestępców.  

Phishing finansowy atakujący użytkowników komputerów Mac

System MacOS jest nadal uważany za stosunkowo bezpieczną platformę jeśli chodzi o cyberbezpieczeństwo ze względu na niewielką liczbę rodzin szkodliwego oprogramowania, które go atakują. Jednak phishing to aktywność przestępcza, które nie zważa na to, z jakim systemem operacyjnym ma do czynienia – tutaj chodzi o socjotechnikę. Co więcej, według statystyk firmy Kaspersky Lab – użytkownicy systemu MacOS często stykają się z phishingiem – być może nawet tak często jak inni użytkownicy.     

W 2016 r. 31,4% ataków phishingowych na użytkowników komputerów Mac miało na celu kradzież danych finansowych. Jest to prawie połowa liczby takich ataków odnotowanych w 2017 r. , kiedy 55,6% ataków finansowych zablokowanych przez firmę Kaspersky Lab miało związek z finansami. 

W 2017 r. rozkład ataków phishingowych przedstawiał się:

4_auto.png

Rys. 4: Rozkład różnych rodzajów phishingu finansowego wykrytego przez firmę Kaspersky Lab na komputerach Mac w 2017 r.

Rok później udział kategorii „Inne” odnotował niewielki spadek, przyczyniając się do ogólnego wzrostu liczby ataków związanych z finansami.

5_auto.png

Rys. 5: Rozkład różnych rodzajów ataków w ramach phishingu finansowego wykrytych przez firmę Kaspersky Lab na komputerach Mac w 2018 r. 

Z naszych danych wynika, że udział phishingu finansowego w łącznej liczbie ataków phishingowych na komputery Mac również jest dość spory – tak jak w przypadku systemu Windows. Przyjrzyjmy się bliżej obu kategoriom.

Mac vs Windows

W 2017 r. miał miejsce interesujący zwrot wydarzeń - Apple stał się najczęściej wykorzystywaną marką w kategorii sklep internetowy zarówno w statystykach dotyczących systemu MacOS jak i Windows. Tym samym zepchnął markę Amazon na drugie miejsce w przypadku tej drugiej platformy. Jeszcze bardziej interesujące jest to, że w 2018 r. Apple utrzymał swoją pozycję w statystykach dotyczących systemu Windows, ale Amazon po raz pierwszy odzyskał wiodącą pozycję w statystykach dotyczących systemu MacOS, odkąd zaczęliśmy śledzić jego aktywność.   

Mac

Windows

Amazon.com: Online Shopping

Apple

Apple

eBay

Alibaba Group

Amazon.com: Online Shopping

eBay

MercadoLibre

Americanas

Steam

groupon

Alibaba Group

Bell Canada

Americanas

Shopify

Netflix Inc

Hostway

Wal-Mart Stores, Inc.

Rys. 6: Najczęściej wykorzystywane marki w phishingu finansowym dotyczącym sklepów internetowych

Jeśli chodzi o ataki na użytkowników systemów płatności, sytuacja przedstawia się następująco:

Mac

Windows

PayPal

Visa Inc.

Visa Inc.

PayPal

MasterCard International

American Express

American Express

MasterCard International

Skrill Ltd.

Cielo S.A.

adyen payment system

qiwi.ru

Authorize.Net

alipay

qiwi.ru

Skrill Ltd.

Perfect Money

Ripple

Rys. 7: Najczęściej wykorzystywane marki w phishingu finansowym związanym z „systemami płatności”

Ogólnie sytuacja wygląda mniej więcej tak samo z wyjątkiem tego, że Paypal prześcignął Mastercard i zajął pierwsze miejsce w statystykach dotyczących MacOS.  

Powyższe tabele mogą posłużyć jako swego rodzaju drogowskaz dla użytkowników odpowiednich systemów: pokazują, że przestępcy wykorzystają te znane marki w celu nielegalnego uzyskania danych dotyczących kart płatniczych użytkowników oraz danych uwierzytelniających systemy bankowości online oraz płatnicze.   

Tematy kampanii phishingowych

Oprócz tradycyjnych kampanii, które zostaną omówione poniżej, tematem wykorzystywanym w  oszustwach phishingowych, który były nietypowy w stosunku do lat 2016-2017, była rozrywka. Chociaż nie ma on bezpośredniego związku z finansami, przestępcy mogliby kraść dane uwierzytelniające lub konta użytkowników w celu sprzedaży lub prywatnego użytku. Lista tematów nie ogranicza się już do kopii stron internetowych bankowości online, systemów płatności czy sklepów internetowych.     

Tutaj wyraźnie widać, że najbardziej atakowanym sektorem były usługi przesyłania strumieniowego filmów. 

6_auto.png

Rys. 8: Strona phishingowa podszywająca się pod usługę przesyłania strumieniowego

Cyfrowe platformy gier.

7_auto.png

Rys. 9: Strona phishingowe podszywająca się pod platformę gier

Cel phishingu stanowiły również typowe marki branży handlu i płatności – cyberprzestępcy zwykle próbowali nakłonić ofiarę do jak najszybszego podania swoich danych uwierzytelniających.    

8_auto.png

Rys. 10. Wiadomość phishingowa podszywająca się pod markę związaną z płatnościami

9_auto.png

Rys. 11: Wiadomość phishingowa w imieniu marki związanej z płatnościami

 

Naturalnie, klikając odsyłacz lub podając dane uwierzytelniające, użytkownik nie uzyskałby dostępu do swojego konta – zamiast tego przekazałby swoje istotne dane osobiste oszustom.

To jedna z najpowszechniejszych sztuczek stosowanych w celu zastraszenia ofiary – groźba zablokowania lub włamania się do konta („twoje konto zostało zawieszone”). 

Nie pokazuj swoich danych dotyczących karty kredytowej obcym osobom

Ze względu na naturę ludzką jak i socjotechnikę phishing od wielu lat znajduje się w arsenale cyberprzestępców, stanowiąc główne narzędzie nie tylko zarabiania na użytkownikach, ale również metodę stosowaną przez ugrupowania APT w pierwszym etapie naruszenia bezpieczeństwa atakowanego komputera. 

Z tego powodu należy stale mieć się na baczności. Dokładnie sprawdzać autentyczność strony internetowej podczas dokonywania płatności online. Starannie sprawdzać autentyczność wiadomości e-mail, szczególnie jeśli ich nadawca próbuje nas do czegoś nakłonić – np. do zmiany swojego hasła.

Jeśli nie masz pewności, czy strona lub wiadomość jest autentyczna – nie klikaj odsyłacza.

Nie zapominaj też o stosowaniu sprawdzonego rozwiązania zabezpieczającego zawierającego technologie antyphishingowe oparte na zachowaniu. To pozwoli zidentyfikować nawet nowe oszustwa phishingowe, które nie zostały jeszcze uwzględnione w antyphishingowych bazach danych.

Szkodliwe oprogramowanie bankowe

Warto zaznaczyć, że mówiąc o finansowym szkodliwym oprogramowaniu w tym artykule, mamy na myśli typowe trojany bankowe stworzone w celu kradzieży danych uwierzytelniających umożliwiających dostęp do kont bankowości online lub systemów płatności oraz w celu przechwytywania kodów jednorazowych.

W 2016 r. – po spadku odnotowanym w 2014 i 2015 r. – obserwowaliśmy stały wzrost liczby użytkowników zaatakowanych dowolnym rodzajem finansowego szkodliwego oprogramowania. Z kolei w 2017 r. i w pierwszej połowie 2018 roku ponownie odnotowaliśmy spadek liczby takich użytkowników. W 2017 r. liczba zaatakowanych użytkowników spadła do 767 072 z 1 088 933 użytkowników na całym świecie w 2016 r. – co stanowi spadek o niemal 30%.   

Jednak gwałtowny wzrost, jaki miał miejsce w okresie od maja do listopada 2018 r. zmienił krajobraz zagrożeń, wyrównując spadek. Liczba zaatakowanych użytkowników wzrosła do 889 452, czyli o 15,95% w porównaniu z poprzednim rokiem. Jest to pierwszy przypadek wzrostu z roku na rok odnotowanego od 2016 r. Przyczyną był gwałtowny wzrost aktywności bankera RTM, który zostanie wyjaśniony w dalszej części raportu.   

10_auto.png

Rys. 12: Dynamiczna zmiana liczby użytkowników zaatakowanych przy użyciu szkodliwego oprogramowania bankowego

Rozkład geograficzny zaatakowanych użytkowników

Jak wynika z poniższych wykresów, ponad połowa wszystkich użytkowników zaatakowanych przy użyciu szkodliwego oprogramowania bankowego w 2017 r. i 2018 r. znajdowała się w zaledwie dziesięciu krajach. W 2017 r. liderem były Niemcy, podczas gdy na kolejnych miejscach uplasowała się Rosja i Chiny.  

11_auto.png

Rys. 13: Rozkład geograficzny użytkowników zaatakowanych przy użyciu szkodliwego oprogramowania bankowego w 2017 r.

A oto, co się wydarzyło w 2018 r.:

12_auto.png

 

Rys. 14: Rozkład geograficzny użytkowników zaatakowanych przy użyciu szkodliwego oprogramowania bankowego w 2018 r.

 

W ostatnim roku Rosja wyprzedziła Niemcy. Indie zrobiły to samo w stosunku do Chin, plasując się na trzecim miejscu rankingu. Z kolei Chiny spadły na siedemnaste miejsce. Ogólnie, wyłania się bardziej lub mniej stabilny obraz, w którym w państwie zajmującym pierwsze miejsce znajduje się mniej więcej jeden na pięciu zaatakowanych użytkowników, a udział kategorii „Inne” wynosi około 40%.    

Rodzaj zaatakowanych użytkowników

2017 r. odnotował niewielki wzrost w tym sektorze, potwierdzając naszą hipotezę, zgodnie z którą przestępcy koncentrują się na atakach ukierunkowanych wymierzonych w firmy – mimo ogólnego spadku liczby wykrytych szkodliwych programów bankowych udział zaatakowanych użytkowników korporacyjnych nadal wykazuje stały wzrost.

13_auto.png

Rys. 15: Rozkład zaatakowanych użytkowników według rodzaju w 2017 r.

Jest to niepokojące, ponieważ przez ostatnie trzy lata z rzędu niemal co piąty atak przy użyciu szkodliwego oprogramowania bankowego był wymierzony w sektor korporacyjny. Co więcej, udział takich ataków rośnie. Przyczyna jest jasna – podczas gdy ataki na klientów indywidualnych zapewnią przestępcom jedynie dostęp do kont w bankowości lub systemach płatniczych, skuteczne ataki na pracowników podważają również bezpieczeństwo zasobów finansowych firmy.  

W roku 2018 po raz kolejny odznaczał się następującym rozkładem udziału zaatakowanych użytkowników indywidualnych i korporacyjnych:

14_auto.png

Rys. 16: Rozkład zaatakowanych użytkowników według rodzaju w 2018 r.

 

Udział zaatakowanych użytkowników korporacyjnych wzrósł o ponad 4 punkty procentowe.

Główne ugrupowania cyberprzestępcze i wydarzenia

Krajobraz szkodliwego oprogramowania bankowego był stale zdominowany prze kilku głównych graczy. W 2017 r. liderem było ugrupowanie Zbot, z którym aktywnie rywalizował Gozi. 

15_auto.png

Rys. 17: Rozkład najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania bankowego w 2017 r.

To ostanie ugrupowanie zwiększyło swój udział w atakach o ponad 10 punktów procentowych, podczas gdy Zbot zmniejszył swój z ponad 44% do 32,9%. 

Innym szczególnie interesującym aspektem 2017 r. był ponad dwukrotny wzrost udziału kategorii „Inne”, co świadczy o tym, że krajobraz zagrożeń finansowych staje się coraz bardziej zróżnicowany. Wraz ze spadkiem udziału liderów w atakach, aktywniejsi stawali się mniejsi gracze.  

16_auto.png

Rys. 18: Rozkład najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania bankowego w 2018 r.

 

W 2018 r. odnotowaliśmy spadek liczby ataków przeprowadzanych przez głównych graczy – udział ataków cyberugrupowania Zbot zmniejszył się do 26,4%, podczas gdy cyberugrupowania Gozi stopniał do nieco ponad 20%. Jednocześnie zmniejszył się udział kategorii „Inne”. Wygląda na to, że krajobraz zagrożeń osiąga stabilizację, a swoje pozycje wzmacniają rodziny szkodliwego oprogramowania „klasy średniej”.   

Nie jest to korzystny obrót sprawy dla społeczności badaczy bezpieczeństwa, ponieważ znacznie łatwiej jest śledzić kilku większych graczy niż wiele ugrupowań cyberprzestępczych, które są niewielkie i elastyczne w swoich taktykach.   

Na szczególną wzmiankę zasługuje gwałtowny wzrost udziału trojana bankowego RTM, który przyczynił się do wzrostu statystyk dotyczących 2018 r. Kaspersky Lab ostrzegał przed tą rodzina, gdy zaobserwował skok jego aktywności, który przełożył się na ponad 130 000 zaatakowanych użytkowników w 2018 r. – wzrost z zaledwie 2 376 użytkowników zaatakowanych w 2017 r.    

Tempo ataków tego szkodnika utrzymało się w 2019 r. W ciągu pierwszego półtora miesiąca zaatakowanych zostało ponad 30 000 użytkowników, a tym samym RTM stał się jednym z najaktywniejszych trojanów bankowych  w krajobrazie zagrożeń.

Co ciekawe, trojan atakuje nie same organizacje finansowe, ale konkretnie osoby odpowiedzialne za księgowość finansową w małych i średnich firmach, ze szczególnym uwzględnieniem sektora IT i prawnego. Tym samym ataki RTM wpisują się w ogólny trend, zgodnie z którym cyberprzestępcy rozprzestrzeniają swoje działania z organizacji finansowych, kierując uwagę w stronę sektora prywatnego, w którym podmioty na ogół w mniejszym zakresie inwestują w rozwiązania zabezpieczające. Jak dotąd trojan ten atakował głównie firmy zlokalizowane w Rosji. Jednak w branży znanych jest wiele przypadków, gdy skuteczne cyberzagrożenia zostały najpierw wykorzystane w Rosji, a następnie na całym świecie. Trojan bankowy RTM może stać się kolejnym przykładem tego samego cyklu rozwoju.

Kaspersky Lab szacuje, że w ciągu dwóch lat osoby atakujące mogły przeprowadzić wiele nielegalnych transakcji na kwotę nawet miliona rubli (równowartość 15 104 dolarów) każda.

Dlatego zalecamy organizacjom, które mogą stać się potencjalnymi celami tego szkodliwego oprogramowania, aby podjęły działania zapobiegawcze i dopilnowały, aby ich produkty zabezpieczające wykrywały i blokowały  to zagrożenie.

Zalecamy również użytkownikom, aby ogólnie zachowali ostrożność podczas przeprowadzania operacji finansowych online ze swoich komputerów osobistych. Przestrzegamy przed popełnieniem błędu polegającego na niedocenieniu profesjonalizmu współczesnych cyberprzestępców poprzez pozostawienie swojego komputera bez ochrony.  

Mobilne szkodliwe oprogramowanie bankowe

Zmodyfikowaliśmy metodologię, na której opiera się sekcja tegorocznego raportu dotycząca mobilnego szkodliwego oprogramowania. Tradycyjnie statystyki dotyczące szkodliwego oprogramowania bankowego dla systemu Android były analizowane przy użyciu danych KSN uzyskanych od użytkowników rozwiązań Kaspersky Internet Security. Jednak w związku z tym, że Kaspersky Lab opracowuje nowe rozwiązania zabezpieczające oraz funkcje dla urządzeń mobilnych, statystyki gromadzone z jednego tylko produktu stają się niewystarczające. Dlatego w tym roku postanowiliśmy wykorzystywać szerszy zakres danych gromadzonych z wielu rozwiązań przenośnych.     

A oto wynik:

17_auto.png

Rys. 19: Zmiana liczby użytkowników zaatakowanych przy użyciu szkodliwego oprogramowania bankowego dla systemu Android w latach 2016-2018

Na przestrzeni ostatnich kilku lat szkodliwe oprogramowanie bankowe dla systemu Android ewoluowało – przy czym kilka jego szczytowych osiągnięć miało miejsce w 2016 r. Łączna liczba zaatakowanych użytkowników wynosiła 786 325.   

Rok 2017 okazał się bardziej stabilny, a liczba użytkowników, którzy zetknęli się z mobilnym szkodliwym oprogramowaniem wyniosła 515 816. I wtedy nastąpił przełom.

W kwietniu 2018 r. liczba zaatakowanych użytkowników zaczęła gwałtownie wzrastać, wynosząc ostatecznie 1 799 891 – co oznacza ponad trzykrotny wzrost w ciągu zaledwie jednego roku. Jak widać, przyczyniły się do tego głównie dwie fale wzrostów w okresie od kwietnia do czerwca i od lipca do września.   

Eksperci z Kaspersky Lab przyjrzeli się bliżej możliwym przyczynom tego stanu rzeczy.

W tym celu przeanalizowali najszerzej rozpowszechnione rodziny szkodliwego oprogramowania w 2018 r.

W 2017 r. rozkład głównych rodzin szkodliwego oprogramowania kształtował się dość równomiernie.

18_auto.png

Rys. 20: Najszerzej rozpowszechnione mobilne szkodliwe oprogramowanie dla systemu Android w 2017 r.

Pod względem łącznej liczby wykrytych szkodników bezsprzecznymi liderami w 2017 roku były rodziny szkodliwego oprogramowania Asacub, Faketoken oraz Hqwar. Przyjrzyjmy się im nieco dokładniej. 

Asacub, nieustannie ewoluujące szkodliwe oprogramowanie, rozprzestrzenia się za pośrednictwem wiadomości SMS. Rozkład wykryć tego szkodnika jest nierównomierny: w ciągu roku odnotował kilka wartości szczytowych.  

19_auto.png

Rys. 21: Zmiana liczby użytkowników zaatakowanych przez trojany bankowe dla systemu Android z rodziny Asacub

Z kolei Faketoken „wyrównał” swoją aktywność, stopniowo zmniejszając liczbę swoich ataków z 13 563 w styczniu do 3 872 w grudniu. 

20_auto.png

Rys. 22: Zmiana liczby użytkowników zaatakowanych przez szkodliwe oprogramowanie bankowe dla systemu Android z rodziny Faketoken

Niemal tak samo przedstawiała się sytuacja trzeciego gracza – rodziny Hqwar.

21_auto.png

Rys. 23: Zmiana liczby użytkowników zaatakowanych przez szkodliwe oprogramowanie bankowe dla systemu Android z rodziny Hqwar

Rok 2018 był inny.

22_auto.png

Rys. 24 Najszerzej rozpowszechnione szkodliwe oprogramowanie bankowe dla systemu Android w 2018 r.

Asacub odnotował ponad dwukrotny wzrost do niemal 60%, za nim uplasował się Agent (14,28%) oraz Svpeng (13,31%). Wszystkie trzy rodziny odnotowały gwałtowny wzrost w 2018 r., zwłaszcza Asacub – liczba zaatakowanych przez niego użytkowników wzrosła z 146 532 w 2017 r. do 1 125 258.     

Jak pokazują statystyki, wpisuje się to w ogólny trend, ponieważ niemal wszystkie bardziej lub mniej aktywne rodziny szkodliwego oprogramowania zwiększyły swoją aktywność w ciągu 12 miesięcy. Przyjrzyjmy się jednak trzem rodzinom, które w 2018 r. były najbardziej aktywne.    

23_auto.png

Rys. 25: Zmiana liczby użytkowników zaatakowanych przez trojana bankowego dla systemu Android z rodziny Asacub

Jak pokazuje wykres powyżej, Asacub odznaczał się dość stabilną aktywnością na przestrzeni roku, z wyjątkiem dwóch wzrostów aktywności, które pozwoliły mu osiągnąć pozycję lidera – w okresie od maja do lipca oraz od lipca do października.  

24_auto.png

Rys. 26: Zmiana liczby użytkowników zaatakowanych przez trojana bankowego dla systemu Android z rodziny Agent  

Agent odnotował bardziej systematyczne wzrosty – ogólnie rzecz biorąc, wykazał się dużą aktywnością w okresie od lutego do kwietnia oraz od kwietnia do lipca. Rozkład liczby jego ataków był bardziej stabilny – około 20 000 do 30 000 zaatakowanych użytkowników miesięcznie.

25_auto.png

Rys. 27: Zmiana liczby użytkowników zaatakowanych przez trojana bankowego dla systemu Android z rodziny Svpeng

Zupełnie inaczej przedstawiała się sytuacja rodziny Svpeng. Ta rodzina szkodliwego oprogramowania nie była szczególnie aktywna przez niemal pół roku. Aktywizowała się dopiero w maju, odnotowując wzrost trwający aż do czerwca, atakując niemal 100 000 użytkowników. Jednak przez resztę roku jej aktywność charakteryzowała się stopniowym spadkiem.    

Rozkład geograficzny zaatakowanych użytkowników

W poprzednich raportach określaliśmy rozkład użytkowników zaatakowanych przez trojany bankowe dla systemu Android, porównując łączną liczbę poszczególnych użytkowników zaatakowanych przez tego rodzaju szkodliwe oprogramowanie z łączną liczbą użytkowników w danym regionie. Zawsze pojawiał się jeden problem – większość wykryć w Rosji tradycyjne dotyczy tego właśnie szkodliwego oprogramowania. Ma to związek z popularnością bankowości SMS w tym regionie, co pozwala cyberprzestępcom kraść pieniądze przy użyciu prostej wiadomości tekstowej w przypadku skutecznej infekcji. Wcześniej to samo dotyczyło trojanów SMS, jednak wprowadzone środki regulacyjne spowodowały, że przestępcy znaleźli inny sposób zarabiania na ofiarach w Rosji.  

W tym roku postanowiliśmy zmienić metodologię, zastępując łączną liczbę zaatakowanych indywidualnych użytkowników łączną liczbą użytkowników zarejestrowanych w danym regionie.

W 2017 r. krajobraz przedstawiał się następująco:

Australia

1,05%

Turkmenistan

0,82%

Rosja

0,8%

Turcja

0,46%

Kazachstan

0,39%

Uzbekistan

0,37%

Tadżykistan

0,3%

Polska

0,25%

Łotwa

0,22%

Niemcy

0,22%

Rys. 28: 10 państw o największym odsetku użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem bankowym dla systemu Android w 2017 r.

W 2018 r. sytuacja zmieniła się:

Rosja

2,32%

Afryka Południowa

1,27%

Stany Zjednoczone

0,82%

Australia

0,71%

Armenia

0,51%

Polska

0,46%

Mołdawia

0,44%

Kirgistan

0,43%

Azerbejdżan

0,43%

Gruzja

0,42%

Rys. 29: 10 państw z najwyższym odsetkiem użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem bankowym dla systemu Android w 2018 r.

Jak widać, ilość szkodliwego oprogramowania mobilnego zwiększa się – w państwach z pierwszej dziesiątki średni poziomu infekcji odnotował dwucyfrowy wzrost. W 2018 r. Rosja wskoczyła na pierwsze miejsce, za nią uplasowała się Afryka Południowa oraz Stany Zjednoczone. Australia spadła na czwarte miejsce, natomiast Turkmenistan opuścił ranking na dobre.  

Znaczące zmiany w krajobrazie szkodliwego oprogramowania bankowego dla systemu Android

Liczby nie są jedynym sposobem eksplorowania zmian i rozwoju wydarzeń w krajobrazie szkodliwego oprogramowania. Naszą główną metodą jest analiza rzeczywistego szkodliwego oprogramowania zidentyfikowanego w rzeczywistych warunkach.  

Jak pokazuje analiza, w 2018 r. mieliśmy do czynienia z największym jak dotąd natarciem cyberprzestępców, jeśli chodzi o szkodliwe oprogramowanie mobilne. W zeszłym roku początkowo wydawało się, że nastąpiła stabilizacja zarówno pod względem liczby wykrytych unikatowych próbek zagrożeń jak i liczby zaatakowanych użytkowników. 

Jednak sytuacja radykalnie zmieniła się na gorsze. Ustanowione zostały nowe rekordy zarówno pod względem liczby wykrytych mobilnych trojanów bankowych, jak i liczby zaatakowanych użytkowników. Przyczyna tego wzrostu nie jest jasna, ale głównymi winowajcami są twórcy trojanów Asacub oraz Hqwar. Ten pierwszy ma dość długą historię – z naszych danych wynika, że stojące za nim ugrupowanie działa już od ponad trzech lat. Z kolei Asacub ewoluował z trojana SMS, który od samego początku został wyposażony w narzędzia, które pozwalały mu przeciwdziałać próbom usunięcia go z systemu oraz przechwytywać przychodzące połączenia telefoniczne oraz wiadomości SMS. Później twórcy szkodnika udoskonalili jego logikę i zaczęli go rozprzestrzeniać na skalę masową przy użyciu tego samego wektora ataków co wcześniej: socjotechniki SMS. Źródłem numerów telefonów komórkowych stały się fora internetowe, na których ludzie często spodziewają się wiadomości od nieznanych użytkowników. Następnie zastosowano metodę rozprzestrzeniania lawinowego polegającą na tym, że zainfekowane urządzenia zaczęły same rozprzestrzeniać szkodliwe oprogramowanie – Asacub wysyłał się do każdej osoby w książce telefonicznej ofiary.      

Jednak trojany bankowe wyróżniły się w 2018 r. nie tylko ze względu na skalę rozprzestrzenienia, ale również swoje działanie. Jeden z aspektów dotyczy coraz powszechniejszego wykorzystywania Usług Dostępności w zagrożeniach bankowych. Stanowi to częściowo reakcję na nowe wersje Androida, które w coraz większym stopniu utrudniają nakładanie okien phishingowych na aplikacje bankowe, a częściowo wynika z tego, że wykorzystywanie Dostępności pozwala trojanowi zagnieździć się w urządzeniu w taki sposób, aby użytkownicy nie mogli go samodzielnie usunąć. Co więcej, cyberprzestępcy mogą wykorzystać Usługi Dostępności w celu porwania całkowicie legalnej aplikacji i zmuszenia jej np. do uruchomienia aplikacji bankowej, aby dokonała przelewu pieniężnego na urządzeniu ofiary. Stosowane są również techniki zwalczania analizy dynamicznej: np. trojan Rotexy sprawdza, czy został uruchomiony w piaskownicy. To jednak nic nowego – już wcześniej obserwowaliśmy takie zachowanie. Należy zauważyć, że w połączeniu z zaciemnianiem, techniki zapobiegające analizie dynamicznej mogą okazać się skuteczne, jeśli twórcy wirusów zdołają przemycić swojego trojana do popularnego sklepu z aplikacjami. W takim przypadku, może się okazać, że ani statyczne ani dynamiczne przetwarzanie niewiele pomoże. Chociaż wykrywanie piaskownicy z pewnością nie stanowi powszechnej praktyki wśród cyberprzestępców, wyraźnie występuje taki trend i wszystko wskazuje na to, że w najbliższej przyszłości techniki te staną się bardziej wyrafinowane.     

 

Zakończenie i wskazówki

W 2018 roku okazało się, że przestępcy nadal wzbogacają swoje szkodliwe oprogramowanie o nowe funkcje, inwestując zasoby w nowe sposoby rozprzestrzeniania i tworzenia technik umożliwiających uniknięcie wykrycia.  

Rozszerzają również swoją listę ofiar, dodając do niej nowe instytucje i branże.

To wszystko oznacza, że nadal czerpią korzyści finansowe ze swojej aktywności.

Jak pokazują powyższe dane dotyczące zagrożeń, nadal pozostaje mnóstwo miejsca na operacje w ramach oszustw finansowych wykorzystujących phishing oraz określone szkodliwe oprogramowanie bankowe. Jednocześnie znaczenie odzyskało mobilne szkodliwe oprogramowanie, zagrażając użytkownikom na całym świecie.

Aby uniknąć ryzyka utraty pieniędzy w wyniku cyberataku, eksperci z Kaspersky Lab zalecają następujące działania:

Dla użytkowników domowych

  • Nie klikaj podejrzanych odsyłaczy. Ich celem jest w większości skłonienie cię do pobrania szkodliwego oprogramowania na swoje urządzenie lub skierowanie cię na stronę phishingową, która została stworzona w celu kradzieży twoich danych uwierzytelniających.     
  • Nigdy nie otwieraj ani nie przechowuj plików niewiadomego pochodzenia na swoim urządzeniu, ponieważ mogą być szkodliwe.
  • Zachowaj czujność podczas korzystania z publicznych sieci Wi-Fi, ponieważ mogą być niezabezpieczone, a tym samym stanowić główny cel hakerów chcących ukraść informacje użytkowników. Aby chronić swoje poufne informacje, nigdy nie korzystaj z hotspotów w celu dokonywania płatności online lub udostępniania informacji finansowej.   
  • Strony internetowe mogą stanowić pułapkę zastawioną przez cyberprzestępców w celu przechwycenia twoich danych. Jeśli nie chcesz, aby twoje poufne informacje wpadły w niepowołane ręce, nie podawaj danych dotyczących karty płatności ani nie dokonuj zakupu, jeśli strona wydaje ci się podejrzana lub jest nieznana.   
  • Aby zapobiec naruszeniu bezpieczeństwa swoich danych uwierzytelniających za pośrednictwem aplikacji bankowości mobilnej, korzystaj z oficjalnej aplikacji dla swojego serwisu finansowego i upewnij się, że nie złamano jej zabezpieczeń. Pobieraj aplikacje wyłącznie z oficjalnych sklepów z aplikacjami, takich jak Google Play czy iOS App Store.
  • Aby nie wpaść w pułapkę oszustów, zawsze sprawdzaj, czy dana strona jest prawdziwa, dokładnie analizując format adresu URL oraz sprawdzając ewentualne literówki w nazwie firmy, zanim podasz na niej swoje dane uwierzytelniające. Fałszywe strony mogą przypominać te autentyczne, ale pewne rozbieżności pozwolą ci rozróżnić jedne od drugich.   
  • Korzystaj tylko ze stron, których adres rozpoczyna się od HTTPS://, a tym samym zapewniają połączenie szyfrowane. Strony rozpoczynające się od HTTP:// nie oferują tego samego poziomu bezpieczeństwa i dlatego mogą narazić twoje dane na ryzyko.
  • Nigdy nie zdradzaj nikomu swoich haseł ani kodów PIN – nawet swojej najbliższej rodzinie, znajomym czy menadżerowi banku. Udostępnienie ich innym osobom zwiększy tylko poziom zagrożenia twoich kont osobistych. W efekcie, cyberprzestępcy mogą uzyskać dostęp do twoich informacji finansowych oraz ukraść twoje pieniądze.

W celu ochrony przed oszustwami finansowymi zainstalowane na twoim urządzeniu wyspecjalizowane rozwiązanie zabezpieczające, z wbudowanymi odpowiednimi funkcjami, stworzy bezpieczne środowisko dla wszystkich twoich transakcji finansowych. Technologia Bezpieczne pieniądze firmy Kaspersky Lab została zaprojektowana w celu zaoferowania użytkownikom takiego właśnie poziomu ochrony oraz zapewnienia im spokoju umysłu. Korzystaj z niezawodnych rozwiązań zabezpieczających zapewniających wszechstronną ochronę przed szerokim wachlarzem zagrożeń, np. Kaspersky Security Cloud oraz Kaspersky Internet Security.    

  • Aby zapewnić bezpieczeństwo swoim danym uwierzytelniającym, należy stosować ten sam poziom czujności oraz ochrony na wszystkich swoich urządzeniach – zarówno komputerach stacjonarnych, laptopach jak i urządzeniach mobilnych. Przebiegłość cyberprzestępców wydaje się nie mieć granic, dlatego niezbędna jest równie wszechstronna ochrona, która pozwoli zminimalizować ryzyko, że twoje informacje wpadną w niepowołane ręce. Korzystaj z niezawodnego rozwiązania zabezpieczającego służącego do przechowywania cennych danych cyfrowych, takiego jak Kaspersky Password Manager.    

Dla firm

  • Zwracaj szczególną uwagę na punkty końcowe, z których przeprowadzane są operacje finansowe: aktualizuj zainstalowane na nich oprogramowanie w pierwszej kolejności i dopilnuj, aby rozwiązania zabezpieczające były na nich zawsze aktualne.
  • Zainwestuj w regularne szkolenia dla pracowników w zakresie podnoszenia świadomości dotyczącej cyberbezpieczeństwa, podczas których nauczą się, aby nie klikać odsyłaczy ani nie otwierać załączników pochodzących z niezaufanych źródeł. Przeprowadzaj symulowane ataki phishingowe, aby mieć pewność, że twoi pracownicy wiedzą, jak rozpoznać wiadomości phishingowe.   
  • Jeśli korzystasz z usług poczty e-mail w chmurze, koniecznie zainstaluj wyspecjalizowaną ochronę dla swojej poczty – np. Kaspersky Security for Microsoft Office 365 – aby wzmocnić swój poziom ochrony na wypadek gdyby przestępcy próbowali naruszyć bezpieczeństwo poczty e-mail.
  • Dopilnuj, aby zabezpieczone zostały wszystkie poziomy twojej infrastruktury firmowej, od głównych centrów danych po wyspecjalizowane systemy w przypadku infrastruktury bankowej (takiej jak bankomaty). W przypadku bankomatów oraz terminali POS, korzystaj z rozwiązań stworzonych z myślą o tych systemach, takich jak rozwiązanie Kaspersky Embedded Systems Security, które chroni nawet słaby lub przestarzały sprzęt.
  • Zapewnij swojemu zespołowi centrum operacji bezpieczeństwa dostęp do danych Analizy zagrożeń, aby znał najnowsze taktyki i narzędzia stosowane przez cyberprzestępców. 
  • Wykorzystuj zaawansowane technologie wykrywania i reagowania, takie jak Kaspersky Endpoint Detection and Response, które wchodzą w skład rozwiązania Threat Management and Defense. Pozwala ono wykrywać nawet nieznane szkodliwe oprogramowanie bankowe i zapewnia zespołom ds. operacji bezpieczeństwa pełną widoczność sieci oraz automatyzację reagowania.      
  • Aby zapewnić ochronę swoim klientom, instytucje finansowe powinny stosować rozwiązania, które potrafią zapobiegać oszustwom. Na przykład, Kaspersky Fraud Prevention analizuje zdarzenia, które mają miejsce podczas całej sesji i zapobiega oszustwom w czasie rzeczywistym.