Trend Micro: nowe metody działania cyberprzestępców

Firma opublikowała raport na temat zagrożeń w pierwszej połowie br., z którego wynika, że cyberprzestępcy wykorzystują do swych działań nowe technologie jak również opracowują nowe techniki inżynierii społecznej, służące do zastawiania wymyślnych pułapek na użytkowników.

Raport podaje, że w ciągu ostatnich sześciu miesięcy można było zauważyć znaczny wzrost liczby zagrożeń internetowych, przy jednoczesnym spadku liczby programów szpiegujących, tworzonych przy użyciu przestarzałych metod, które nie są w stanie pokonać nowoczesnych zabezpieczeń.

Metody socjotechniki są wykorzystywane przez cybeprzestepców od wielu lat i ciągle są modernizowane i udoskonalane. Wykorzystywane są np. narzędzia i technologie używane do tworzenia interaktywnego charakteru serwisów społecznościowych. Firma podaje, iż w marcu wykryła ponad 400 pakietów, stworzonych w celu generowania stron do wyłudzania danych osobowych, imitujących najpopularniejsze serwisy Web 2.0 (portale społecznościowe, portale wymiany plików wideo), bezpłatne serwisy poczty elektronicznej, banki i popularne serwisy handlu elektronicznego.

Niedawno pojawiła nowa forma phishingu polegająca na ostrzeganiu potencjalnych ofiar przed wiadomościami mającymi na celu wyłudzenie danych osobowych i jednocześnie zachęcająca do kliknięcia łącznika prowadzącego do niebezpiecznej strony internetowej.

Zagrożenia internetowe mające na celu uzyskanie korzyści finansowej, łączą w sobie często różnorodne elementy złośliwego oprogramowania. W rezultacie powstaje hybrydowy model zagrożenia. Cyberprzestępca wysyła np. wiadomość (spam) z łącznikiem w treści wiadomości. Użytkownik klika na łączniku i jest kierowany na stronę internetową, z której automatycznie pobierany jest plik trojana. Trojan, z kolei, pobiera dodatkowy plik zawierający program szpiegujący, który rejestruje poufne informacje (numery kont bankowych, dane osobowe itp.). Zagrożenia hybrydowe mają zazwyczaj charakter pojedynczego ataku, ale są trudniejsze do zwalczania i o wiele niebezpieczniejsze dla użytkownika.

Kolejny przykład niebezpiecznej technologii opracowanej przez cyberprzestępców to technika fast-flux DNS, która umożliwiała właścicielom botnetu tworzenie fałszywych stron, które są niewrażliwe na tradycyjne metody usuwania stron z sieci. Fast flux nieustannie zmienia adres, z którego pobierana jest strona, wykorzystując kolejne komputery botnetu w charakterze serwerów. Technika wykorzystuje sieć równorzędną, rozproszone sterowanie, internetowe równoważenie obciążenia oraz przekierowywanie proxy w celu ukrycia stron, na które przesyłane są wyłudzone dane wrażliwe.

W pierwszej połowie 2008 roku firma odnotowała duży wzrost liczby działań będących źródłem zagrożeń internetowych. Liczba źródeł zagrożeń pochodzących z sieci zwiększyła się z 15 milionów w grudniu 2007 r. do około 50 milionów w marcu br.

W raporcie stwierdza się też, że programy typu adware, trackware, keylogger i freeloader powoli odchodzą do lamusa. W marcu 2007 około 45 proc. komputerów zostało zainfekowanych przez adware, a w kwietniu 2008 r. ich liczba spadła do 35 proc. W maju 2007 roku około 20 proc. komputerów było zainfekowanych przez oprogramowanie typu trackware; w kwietniu 2008 już tylko poniżej 5 proc. Liczba komputerów zainfekowanych oprogramowaniem typu keylogger również powoli spada i wynosi obecnie poniżej 5 proc.

Raport zawiera też prognozy na kolejne sześć miesięcy. Według tych prognoz socjotechnika pozostanie najpopularniejszą metodą ataku, opracowane zostaną jednak jej bardziej zaawansowane formy. Cyberprzestępcy będą wykorzystywać takie wydarzenia, jak letnia Olimpiada, kampania wyborcza w Stanach Zjednoczonych czy okres świąt Bożego Narodzenia. Nadal wykorzystywane będą nowo wykryte luki oprogramowania aplikacyjnego (np. QuickTime, RealPlayer, Adobe Flash itp.). Szacuje się też, że przeciętna liczba wiadomości typu spam wysłanych w ciągu jednego dnia wzrośnie o 30-50 miliardów. Działania związane z wysyłaniem spamu i wyłudzaniem danych osobowych będą prowadzone intensywniej w sierpniu, w związku z rozpoczęciem nowego roku szkolnego i z Olimpiadą. Istotną rolę w rozsyłaniu spamu będą odgrywały botnety, które będą także wykorzystywane do wyłudzaniu informacji, ataków ukierunkowanych i ataków na dużą skalę.