Przypomnijmy: na początku tygodnia Microsoft oficjalnie potwierdził, że w Internecie pojawiły się tysiące nazw użytkownika oraz haseł dostępu do systemu poczty elektronicznej Hotmail. Przedstawiciele koncernu twierdzą, że nie doszło jednak do naruszenia zabezpieczeń usługi - ich zdaniem dane użytkowników zostały ukradzione najprawdopodobniej przez phisherów. Niezależni specjaliści komentowali, że jeśli informacje te się potwierdzą, to mamy do czynienia z największą akcją phishingową w historii. Szerzej pisaliśmy o tym w tekstach "Wyciekły tysiące haseł do Hotmaila" oraz "Gmail i Yahoo dołączają do Hotmaila. Kolejne tysiące haseł wyciekło do Sieci!".

Ta teoria nie pasuje jednak Mary Landesman, znanej specjalistce ds. bezpieczeństwa z amerykańskiej firmy ScanSafe. Jej zdaniem, loginów i haseł, które ostatnio pojawiły się w Sieci, jest zbyt dużo, by mogło być to efektem akcji phisherów (czyli przestępców specjalizujących się w tworzeniu serwisów do wyłudzania danych - zwykle są to kopie e-banków czy właśnie systemów poczty elektronicznej). Dodajmy, że choć większość tych loginów (w sumie opublikowano ok. 30 tys.) należy do użytkowników Hotmaila, to w Internecie pojawiły się również dane internautów korzystających z innych usług pocztowych - m.in. Gmaila oraz Yahoo Mail.

Landesman powołuje się m.in. na swoje wcześniejsze odkrycie - w sierpniu trafiła w Sieci na zestaw haseł i loginów do usługi Windows Live ID (to system autoryzacyjny Microsoftu - z utworzonych w nim profili można korzystać w różnych usługach koncernu - m.in. Hotmail, Messenger itd.). Był to prawdopodobnie fragment tej samej bazy danych, która teraz pojawiła się w Internecie. "Znalazłam tam dane ok. 5 tys. użytkowników Windows Live ID - trafiłam na te informacje przy okazji badania pewnego złośliwego programu. Były one zapisane i skategoryzowane w pewien specyficzny sposób - moim zdaniem świadczy to o tym, że nie zostały zdobyte w ramach operacji phishingowej. To raczej efekt pracy jakiegoś botnetu - przestępcy wykorzystali keyloggery do przechwycenia haseł, z których korzystali użytkownicy zarażonych komputerów" - mówi Landesman.

"Tę teorię zdaje się potwierdzać ogromna liczba przejętych przez przestępców haseł i loginów. Akcje phishingowe zwykle nie są aż tak skuteczne - szczególnie ostatnio. Ludzie już się zorientowali, jak działa ten przekręt i nie są tak podatni na działania oszustów" - dodaje specjalistka.

Jej zdaniem teoria zakładająca, że za kradzież danych odpowiadają operatorzy jednego czy kilku botnetów, jest dużo bardziej sensowna. "Niezależnie od tego, jakie jest główne zadanie danego botnetu (wysyłanie spamu, rozsiewanie wirusów czy przeprowadzanie ataków DDoS), jego operator ma dodatkowo możliwość instalowania w zarażonym systemie dowolnego złośliwego oprogramowania. Moim zdaniem tak właśnie się stało - ktoś zainfekował wszystkie kontrolowane przez siebie zombiePC keyloggerem, którego wykorzystał do masowego wykradania loginów i haseł do poczty elektronicznej. To najrozsądniejsza teoria. Jeśli coś wygląda jak koń, to najprawdopodobniej jest koniem - a nie np. zebrą" - podsumowała rezolutnie Mary Landesman.

Finalnym argumentem specjalistki jest fakt, iż ukradziono dane klientów więcej niż jednej firmy. Dla phisherów rozszerzenie "działalności" na kolejny serwis jest dość problematyczne - muszą stworzyć nową fałszywą stronę, zdobyć w jakiś sposób namiary na użytkowników danej usługi i zwabić ich na ową witrynę. To wszystko jest dość kłopotliwe i pochłania sporo czasu. A dla operatora botnetu to żaden problem - skoro w komputerach-zombie jest już zainstalowany keylogger, to wykradać można dowolne dane.

Warto jednak przypomnieć, że te wnioski są sprzeczne zarówno z wyjaśnieniami głównych poszkodowanych - czyli Microsoftu, Google oraz Yahoo, ale także z ustaleniami organizacji Anti-Phishing Working Group (APWG). Wszyscy oni konsekwentnie twierdzą, że pojawienie się w Sieci tysięcy haseł i loginów to efekt działań phisherów.