Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Portale społecznościowe – bonanza dla cyberprzestępców

Dodany 4 stycznia 2016, 09:06 CET
Tagi:

Co myślisz, gdy otrzymujesz na swoim telefonie komórkowym kolejną wiadomość spamową lub phishingową? Najprawdopodobniej coś w rodzaju: „Kim są ci ludzie i skąd u licha wzięli mój numer telefonu? W pierwszej kolejności podejrzenia padają na pozbawionego skrupułów pracownika jakiejś organizacji, której przekazałeś swój numer. Nierzadko zdarza się jednak, że zamiast bazy abonentów telefonii komórkowej, która „wyciekła” z organizacji, spamerzy i cyberprzestępcy wykorzystują bazę danych przechwyconą z portalu społecznościowego przy użyciu specjalnego oprogramowania.

Eksperci ds. bezpieczeństwa informacji, w tym również my, powtarzają od lat: cyberprzestępcy mogą wykorzystać wszelkie prywatne informacje opublikowane na portalu społecznościowym. Mimo to spora liczba użytkowników nadal udostępnia wiadomości oraz wszelkiego rodzaju informacje osobiste zarówno swoim wirtualnym znajomym jak i przypadkowym osobom. Może to prowadzić do nieprzyjemnych, czasem nieprzewidzianych konsekwencji. Aby pokazać, że moim celem nie jest sianie paniki, podam przykład z niedawnej aktywności naszego zespołu zajmującego się badaniem cyberprzestępczości.      

Szablonowe cyberprzestępstwo

Tej jesieni pomagaliśmy organom ścigania powstrzymać działania niewielkiego rosyjskiego gangu cyberprzestępczego, który specjalizuje się w rozprzestrzenianiu szkodliwego oprogramowania dla Androida i kradzieży pieniędzy z kont bankowości online. Plan działania tego ugrupowania był dość prosty: wykorzystać posiadaną bazę numerów telefonicznych, aby wysyłać krótkie wiadomości zawierające odsyłacze do trojana bankowego. Po skutecznej infekcji urządzenie mobilne stawało się częścią botnetu, a trojan zaczynał szukać informacji dotyczących wykorzystywanych przez ofiarę usług bankowych, gromadząc wszelkie dane niezbędne do uzyskania do nich dostępu. Później cyberprzestępcy mieli już stosunkowo proste zadanie: przelać pieniądze ofiary na własne konta.       

Warto wspomnieć, że żaden z cyberprzestępców nie był profesjonalnym programistą. Na wzmiankę o hakerach i kradzieży pieniędzy ludziom zwykle wyłania się obraz zdeprawowanego programisty, który tworzy szkodliwy kod, a następnie wykorzystuje go do zainfekowania urządzeń niczego niepodejrzewających użytkowników. Tym razem jednak nie chodzi o profesjonalistów posiadających odpowiednie wykształcenie oraz doświadczenie. Sądzimy, że sprawcy spędzili po prostu wystarczająco dużo czasu na publicznych forach dla hakerów, aby zebrać informacje i narzędzia niezbędne do popełnienia cyberprzestępstw.   

Szczególnie interesujące jest jedno ze stosowanych przez nich narzędzi: analizator, który zbiera numery telefonów z publicznych profili na popularnym rosyjskim portalu społecznościowym VKontakte. Z pomocą tego narzędzia cyberprzestępcy stworzyli bazę danych zawierającą numery telefonów, która została później wykorzystana do wysyłania szkodliwych wiadomości. Z tego co nam wiadomo, ten portal społecznościowy stanowił jedyne źródło informacji, z którego cyberprzestępcy gromadzili swoje dane.    

social_private_data_en_1_auto.png

Post na popularnym rosyjskim forum hakerskim reklamujący  aplikację wykorzystywaną do przechwytywania numerów telefonów użytkowników portali społecznościowych

Rosyjskie fora cyberprzestępcze (szczególnie otwarte fora odwiedzane przez oszustów amatorów) zawierają mnóstwo reklam oferujących tego typu oprogramowanie na sprzedaż lub do wypożyczenia. Potrafi ono zbierać i strukturalizować wszystkie cenne informacje dotyczące użytkowników, w tym imiona i nazwiska, wszystkie opublikowane dane kontaktowe oraz ustawienia profili – nie tylko numery telefonów. Dostępność tych informacji zapewnia cyberprzestępcom mnóstwo możliwości popełnienia oszustw. Najbardziej oczywiste sposoby zbierania danych to wysyłanie spamu (zarówno reklamowego jak i szkodliwego), kradzież pieniędzy za pośrednictwem usług premium SMS oraz tworzenie fałszywych kart SIM.  

W ciągu niecałego roku cyberprzestępcy zdołali ukraść 600 000 rubli (około 8 500 dolarów). Jest to stosunkowo niewielka kwota w porównaniu z milionami skradzionymi przez większe, bardziej zaawansowane grupy przestępcze. Jednak w tym przypadku to nie kwota określa rozmiar problemu, ale raczej liczba podobnych nieprofesjonalnych grup cyberprzestępczych, które prowadzą ten sam rodzaj działalności. Sądząc po skargach użytkowników, które są publikowane na forach pomocy technicznej banków internetowych, działają dziesiątki takich grup przestępczych.

Nie tylko Rosja

To, że tego rodzaju oszukańcza działalność ma miejsce głównie w Rosji i krajach sąsiednich, nie oznacza, że mieszkańcy innych państw nie mają się czego obawiać.

Na przykład pierwsze trojany bankowe stworzone dla komputerów PC oraz urządzeń mobilnych atakowały głównie użytkowników mieszkających w Rosji. Z czasem jednak stojący za tymi trojanami rosyjskojęzyczni cyberprzestępcy diametralnie zmienili cele swoich ataków i przerzucili się na mieszkańców innych państw lub rozszerzyli swoją „grupę docelową”, tworząc wersje, które atakowały mieszkańców innych państw

Badana przez nas grupa wykorzystywała aplikację, która gromadzi informacje osobiste użytkowników jednego tylko portalu społecznościowego - VKontakte. Jednak fora hakerskie zawierają podobne narzędzia służące do zbierania danych z innych portali społecznościowych, w tym z Facebooka i Instagramu. A zatem istnieje możliwość, że podobne kampanie wykorzystujące dane zebrane z publicznych źródeł są przeprowadzane w krajach innych niż byłe republiki Związku Radzieckiego lub pojawią się w najbliższej przyszłości.      

social_private_data_en_2_auto.png

Reklama umieszczona na popularnym rosyjskim publicznym forum hakerskim oferująca analizator wykorzystywany do gromadzenia numerów telefonów użytkowników jak również innych informacji z Instagramu

Najbardziej zagrożone państwa to te, w których dominują umowy na telefony pre-paid i w których popularne są różne usługi SMS, w tym te umożliwiające operacje przy użyciu kart bankowych za pośrednictwem wiadomości SMS.

Co robić?

Podsumowując, kolejny raz chcielibyśmy zalecić użytkownikom, aby publikowali jak najmniej prywatnych informacji na portalach społecznościowych. W szczególności, nie należy podawać numerów telefonów, a jeśli zostały już podane, powinny zostać usunięte. Nie wyeliminuje to całkowicie ryzyka przechwycenia przez cyberprzestępców prywatnych informacji użytkowników z portali społecznościowych, ale przynajmniej zapobiegnie najłatwiejszym sposobom kradzieży pieniędzy.

Jeśli Ty lub Twoja rodzina i przyjaciele korzystacie z serwisów bankowości mobilnej, powinniście dodatkowo stosować poniższe podstawowe środki bezpieczeństwa:

  • Zablokuj instalację aplikacji z zewnętrznych źródeł na urządzeniu z systemem Android, na którym korzystasz z bankowości mobilnej;
  • Ustaw dla swojego konta bankowego limity kwot, jakie możesz wypłacić;
  • Ogranicz lub wyłącz wysyłanie wiadomości tekstowych na numery premium;
  • Stosuj niezawodne rozwiązanie bezpieczeństwa, które potrafi ochronić Twoje urządzenie przed infekcją.

Jeśli mimo to padniesz ofiarą ataku i Twoje pieniądze zostaną skradzione, skontaktuj się z odpowiednimi organami ścigania. Jest to istotne, ponieważ obserwujemy niepokojący trend: szeroka dostępność różnych narzędzi, w tym szkodliwych, oraz pozorna anonimowość cyberprzestępczości wzbudzają fałszywe poczucie bezpieczeństwa w cyberprzestępcach, co dodatkowo pogarsza bierna postawa ofiar. To zachęca coraz więcej osób, aby wkroczyły na drogę cyberprzestępczości w celu zdobycia szybkich zysków. Im więcej cyberprzestępców zostanie aresztowanych za nielegalne działania, tym bardziej oczywiste stanie się, że cyberprzestępczość nie popłaca i ci, którzy zastanawiają się, czy wejść na tę drogę, zrezygnują z chęci popełniania przestępstw w sieci. Dzięki temu sieć WWW stanie się bezpieczniejszym miejscem.