Hasło w portfelu
- 17.04.2007
Kradzież tożsamości i wykorzystanie jej do przestępczych celów nie jest nowością związaną z rosnącą popularnością Internetu i technologii IT. Systematycznie jednak rosną obawy, że rozwój i upowszechnienie technologii hakerskich może wkrótce zagrozić popularyzacji handlu internetowego i bankowości online, powodując odwrót od klasycznych metod zawierania transakcji.
Kradzież tożsamości i wykorzystanie jej do przestępczych celów nie jest nowością związaną z rosnącą popularnością Internetu i technologii IT. Systematycznie jednak rosną obawy, że rozwój i upowszechnienie technologii hakerskich może wkrótce zagrozić popularyzacji handlu internetowego i bankowości online, powodując odwrót od klasycznych metod zawierania transakcji.
Więcej fałszywych stron
Tylko w pierwszych dwóch miesiącach tego roku nastąpił 200-proc. wzrost zagrożeń związanych z kradzieżą tożsamości w Internecie - uważa firma Cyveillance, zajmująca się badaniem bezpieczeństwa stron WWW. Według przeprowadzonych przez nią analiz, liczba stron zawierających szkodliwe kody wzrosła w lutym br. do 60 tys. dziennie, a więc była dwa razy większa niż w grudniu 2006 r. Jednocześnie widać wyraźną tendencję do zmiany techniki ataków ze standardowych mechanizmów phishingowych na listy e-mail bezpośrednio zawierające adresy URL do stron WWW ze szkodliwymi kodami. "Choć jest to bardzo prosta metoda, aby nie powiedzieć prymitywna, w praktyce okazuje się bardzo efektywna" - zauważa Todd Bransford, wiceprezes Cyveillance.
Do tej zmiany taktyki hakerów przyczyniła się niewątpliwie rosnąca efektywność oprogramowania antyphishingowego, które w coraz większym stopniu blokuje pocztę zawierającą standardowe teksty służące do wyłudzania prywatnych informacji, w tym szczególnie dotyczących internetowych kont bankomatowych. W przypadku gdy list zawiera tylko link do fałszywej strony, filtrom znacznie trudniej jest sprawdzać na bieżąco, czy jest to strona ze szkodliwymi kodami. Jednocześnie w trakcie analiz kanałów IRC oraz logów rejestrowanych w serwerach zarządzających sieciami botnet, tylko w styczniu i lutym br. Cyveillance wykryła zapisy zawierające ponad 320 tys. numerów kart kredytowych, 1,3 mln danych i haseł logowania oraz 1,4 mln numerów identyfikacyjnych amerykańskiego systemu ubezpieczeń społecznych - odpowiednika polskiego numeru dowodu osobistego lub numeru PESEL.
W 2004 r. ChoicePoint, firma zajmująca się legalnym zbieraniem i sprzedażą baz z informacjami o konsumentach ujawniła, że 163 tys. takich informacji trafiło ewidentnie do hakerów, tzn. zostało sprzedanych nieistniejącym firmom, których przedstawiciele posługiwali się sfałszowanymi danymi. Jednocześnie odnotowano i udowodniono 800 przypadków wykorzystania tych danych do kradzieży tożsamości. Należy podkreślić, że wypadek ten nie wynikał z zaniedbania zabezpieczeń związanych z technologiami informatycznymi, a jedynie nieodpowiedniej dbałości o bezpieczeństwo procedur biznesowych.
Dane spisane z klawiatury
Z kolei McAfee Avert Labs opublikowała raport na temat tendencji w obszarze kradzieży tożsamości, w tym dramatycznego wzrostu liczby kradzieży tożsamości w Internecie. Według raportu liczba keyloggerów - szkodliwych programów zapisujących wpisywane na klawiaturze hasła i inne prywatne informacje - wzrosła pomiędzy styczniem 2004 r. a majem 2006 r. o blisko 250%. W tym samym czasie liczba alarmów sygnalizujących możliwość ataku phishingowego wzrosła aż 100-krotnie!
Przykładowo w marcu 2005 r. w londyńskim biurze japońskiego banku Sumitomo wykryto, że przez kilkanaście miesięcy następowała w nim regularna kradzież haseł i wrażliwych informacji o klientach. Początkowo analizowano system podejrzewając, że zainstalowane w nim muszą być konie trojańskie. Po kilkunastu dniach bezowocnych poszukiwań okazało się jednak, że po prostu klawiatura jednego z komputerów jest podłączona do gniazda w obudowie za pośrednictwem miniaturowego urządzenia służącego do rejestracji uderzeń palców w klawisze.
W Internecie można obecnie bez problemu znaleźć co najmniej kilkanaście ofert sprzedaży tego typu urządzeń. Są to sprzętowe keyloggery wyposażone np. w 2 MB pamięci, przezroczyste dla systemu operacyjnego, niewykrywalne przez oprogramowanie w cenie od 20 USD do 200 USD.
Klasyczne metody fizyczne:
- kradzież komputera,
- bezpośredni dostęp do danych (np. wykorzystywany przez sprzątaczki, pomoc domową itp.),
- przeszukiwanie śmieci (jest to metoda wykorzystywana częściej niż się wydaje),
- klasyczna kradzież portfela i dokumentów (kart kredytowych),
- kradzież listów e-mail z informacjami prywatnymi z niedostatecznie zabezpieczonych skrzynek pocztowych,
- podglądanie haseł wprowadzanych np. do bankomatu,
- fałszywe lub wyposażone w kamery i czytniki kart bankomaty,
- marketingowe telefony — efektywną metodą jest wykonywanie telefonów o charakterze telemarketingu lub żądających np. weryfikacji danych bankowych.
- przechwytywanie informacji przesyłanych w sieci przy wykorzystaniu skanerów lub urządzeń do podsłuchiwania transmisji,
- phishing — oszukańcze listy e-mail kierujące użytkownika na fałszywe strony WWW,
- pharming — zaawansowana metoda phishingu polegająca na modyfikacji adresów zapisanych w serwerach DNS lub komputerze lokalnym i w ten sposób automatyczne przekierowywanie połączeń z legalnych stron na strony utworzone przez hakerów,
- przekierowywanie — metoda podobna do pharmingu, polega na modyfikacji adresu serwera DNS w komputerze PC na serwer fałszywy, zarządzany przez hakera,
- fałszywe formularze — metoda stosowana głównie w Stanach Zjednoczonych, a polegająca na przesyłaniu formularzy wzorowanych na oficjalnych dokumentach urzędowych (najczęściej związanych z podatkami) z żądaniem ich wypełnienia i odesłania na podany numer faksu,
- programy szpiegujące,
- rozwiązania sprzętowe — np. keyloggery do rejestracji uderzeń klawiszy.
Specjaliści z McAfee Avert Labs opracowali kilka rad, które mogą ustrzec nas przed kradzieżą tożsamości:
- Należy uważać na pułapki phisherów — podejrzaną korespondencję e-mail i strony WWW podszywające się pod legalną działalność tylko po to, aby zdobyć dane osobowe.
- Powinno się unikać otwierania linków zawartych w podejrzanych listach e-mail. Jeżeli ktoś chce się dostać na stronę firmową, to należy wpisać jej nazwę do przeglądarki.
- Trzeba korzystać z kompleksowego oprogramowania zabezpieczającego, zawierającego moduł antywirusowy, program antyspamowy i zaporę firewalla, a także systematycznie aktualizować te aplikacje.
- Należy szczególnie rozważnie otwierać załączniki poczty e-mail i to bez względu na źródło ich pochodzenia.
- Warto bardzo rozważnie publikować w Internecie swój adres e-mail.
- Dane ze starego komputera, którego ktoś chce się pozbyć, powinny być dokładnie wykasowane.
- Należy zawsze upewnić się, że strony, na których mają być pozostawione dane osobowe, są skutecznie zabezpieczone.
- Szczególnej ostrożności wymaga korzystanie z komunikatorów.