Komputery, sieci i kradzie偶: cz臋艣膰 2

  • Stanislav Shevchenko
    Analityk wirus贸w, Kaspersky Lab
  • Yury Mashevsky
    Analityk wirus贸w, Kaspersky Lab

Wst臋p

W pierwszej cz臋艣ci artyku艂u analizowali艣my ataki na indywidualnych u偶ytkownik贸w oraz zastanawiali艣my si臋, co motywuje cyberprzest臋pc贸w, jaki rodzaj danych kradn膮 i dlaczego. Artyku艂 zawiera艂 zar贸wno materia艂 opisowy jak i statystyki dotycz膮ce takich atak贸w. 

Druga cz臋艣膰 artyku艂u zawiera przegl膮d atak贸w przest臋pczych na organizacje, firmy i instytucje. Ataki te mo偶na podzieli膰 na dwie kategorie: ataki na zasoby organizacji oraz ataki na klient贸w organizacji. Prezentuje r贸wnie偶 dane statystyczne, kt贸re dadz膮 czytelnikowi og贸lne poj臋cie o skali tego problemu.

Ataki na klient贸w organizacji

Atak na klient贸w danej organizacji, firmy czy instytucji powoduje utrat臋 zaufania do niej. Naturalnie klienci chc膮 niezawodnego systemu, kt贸ry wykona wszystkie ich zadania, a nie takiego, kt贸ry przyprawi ich o b贸l g艂owy i potencjalnie narazi ich dane na niebezpiecze艅stwo.

Od d艂u偶szego czasu atakowanie klient贸w w celu kradzie偶y ich danych stanowi najpopularniejszy typ ataku na organizacje. W jaki spos贸b przeprowadzane s膮 takie ataki, jakie z艂o艣liwe programy s膮 wykorzystywane w tym celu, w jaki spos贸b u偶ytkownicy mog膮 zosta膰 zainfekowani - wszystkie te problemy zosta艂y szczeg贸艂owo zanalizowane w pierwszej po艂owie tego artyku艂u. W drugiej cz臋艣ci przedstawimy w skr贸cie ci膮g zdarze艅, kt贸re maj膮 miejsce podczas kradzie偶y danych u偶ytkownika lub innej wirtualnej w艂asno艣ci.

Obecnie ten rodzaj przest臋pstwa przeprowadzany jest zgodnie ze 艣ci艣le okre艣lonym scenariuszem. Na pierwszym etapie zdalny szkodliwy u偶ytkownik zdobywa dane dotycz膮ce konta klienta w celu uzyskania do niego dost臋pu. Aby zebra膰 tego typu dane, mo偶na przeprowadzi膰 masowe wysy艂ki wiadomo艣ci e-mail, kt贸re sk艂aniaj膮 u偶ytkownik贸w do odwiedzenia strony internetowej szkodliwego u偶ytkownika, lub zainfekowa膰 komputer u偶ytkownika z艂o艣liwym programem, kt贸ry bez wiedzy ofiary wy艣le jego dane szkodliwemu u偶ytkownikowi. Po uzyskaniu danych dotycz膮cych konta szkodliwy u偶ytkownik zdob臋dzie dost臋p do konta i ukradnie jego zawarto艣膰 - pieni膮dze lub co艣 innego, co mo偶e zainteresowa膰 cyberprzest臋pc臋.

W przewa偶aj膮cej wi臋kszo艣ci przypadk贸w, cel atak贸w stanowi konto, kt贸re w jaki艣 spos贸b zwi膮zane jest z finansami. Poni偶szy diagram pokazuje wzrost liczby organizacji finansowych, kt贸rych klienci stanowili cel atak贸w z艂o艣liwego oprogramowania w latach 2003-2006 (rys. 1).


Rys. 1: Wzrost liczby instytucji finansowych, kt贸rych klienci stali si臋 celem atak贸w z wykorzystaniem z艂o艣liwych program贸w przeznaczonych do kradzie偶y danych 
殴r贸d艂o: Kaspersky Lab

Jak wynika z diagramu, liczba ofiar wzrasta z roku na rok. Ponadto, liczb atak贸w b臋dzie ros艂a proporcjonalnie do wzrostu popularno艣ci danego banku, elektronicznego systemu p艂atno艣ci lub innego systemu finansowego online.

Wiele organizacji i instytucji (przede wszystkim banki) przej臋艂o si臋 nieustaj膮cymi atakami na swoich klient贸w w po艂owie 2005 roku i zacz臋艂o podejmowa膰 kroki w celu zapobiegania wykorzystywaniu skradzionych danych. Przyk艂adem takiego dzia艂ania by艂o wprowadzenie dwustopniowego uwierzytelniania. Niekt贸re firmy posun臋艂y si臋 nawet do nak艂adania ogranicze艅 na wielko艣膰 i liczb臋 transakcji, kt贸re mog膮 by膰 przeprowadzane w okre艣lonym okresie. Na g艂贸wnych stronach wielu bank贸w i instytucji, kt贸rych dzia艂alno艣膰 zwi膮zana jest z finansami, cz臋sto zamieszczane s膮 ostrze偶enia o cyberprzest臋pczo艣ci (zobacz rys. 2).


Rys 2: Ostrze偶enie na stronie zwi膮zanej z instytucjami finansowymi

Czas poka偶e, jak d艂ugo tego typu dzia艂ania b臋d膮 skutecznie chroni艂y u偶ytkownik贸w. Wygl膮da na to, 偶e w pocz膮tkowym okresie przynios艂y pozytywne rezultaty: w pierwszej po艂owie 2006 roku po raz pierwszy od trzech lat odnotowali艣my spadek udzia艂u procentowego z艂o艣liwych program贸w wykorzystywanych do osi膮gania zysk贸w finansowych (zobacz rys. 3).


Rys. 3 Spadek udzia艂u procentowego z艂o艣liwych program贸w wykorzystywanych do kradzie偶y danych finansowych (udzia艂 procentowy w og贸lnej liczbie z艂o艣liwych program贸w)
殴r贸d艂o: Kaspersky Lab

Cyberprzest臋pcy nieustannie poszukuj膮 nowych sposob贸w na pokonanie przeszk贸d, jakie napotykaj膮 na swej drodze. Mimo nieznacznego spadku udzia艂u procentowego z艂o艣liwych program贸w atakuj膮cych u偶ytkownik贸w internetowych serwis贸w finansowych ich ca艂kowita liczba nieustannie wzrasta, podobnie jak og贸lna liczba z艂o艣liwych program贸w.

Ponadto, w minionym roku wzros艂a liczba z艂o艣liwych program贸w zdolnych do jednoczesnego atakowania u偶ytkownik贸w kilku system贸w p艂atno艣ci (zobacz rys. 4). Przyk艂adem mo偶e by膰 Trojan-Spy.Win32.Banker.asq, kt贸ry atakuje prawie 50 system贸w i instytucji finansowych jednocze艣nie, w tym paypal, caixabank, Postbank (Niemcy) i wiele innych instytucji na ca艂ym 艣wiecie.


Rys. 4: Wzrost udzia艂u procentowego z艂o艣liwych program贸w, kt贸re atakuj膮 jednocze艣nie kilka instytucji finansowych/system贸w p艂atno艣ci (udzia艂 procentowy z艂o艣liwych program贸w, kt贸rych celem s膮 dane finansowe)
殴r贸d艂o: Kaspersky Lab

Taktyka polegaj膮ca na atakowaniu kilku system贸w p艂atno艣ci i instytucji jednocze艣nie zwi臋ksza prawdopodobie艅stwo skutecznego znalezienia ofiar.

Zdecydowali艣my si臋 po艣wi臋ci膰 t臋 cze艣膰 artyku艂u na om贸wienie atak贸w na klient贸w instytucji finansowych i internetowych serwis贸w finansowych, poniewa偶 ataki te s膮 powszechniejsze ni偶 ataki na klient贸w innych firm czy organizacji. Jednak, cyberprzest臋pcy zarzucaj膮 swoj膮 sie膰 daleko. Istniej膮 firmy i instytucje nie zwi膮zane z finansami, kt贸re akceptuj膮 p艂atno艣ci dokonywane online. Oczywi艣cie organizacje takie b臋d膮 r贸wnie偶 interesowa艂y cyberprzest臋pc贸w. Analitycy wirus贸w z firmy Kaspersky Lab wykryli z艂o艣liwe programy atakuj膮ce klient贸w firm turystycznych i transportowych, lombard贸w i stron zwieraj膮cych sklepy internetowe, jak r贸wnie偶 szeregu innych firm.

Niestety, nic nie wskazuje na to, 偶e nast膮pi spadek liczby z艂o艣liwych program贸w wykorzystywanych do pope艂niania takich przest臋pstw. Pierwsza cz臋艣膰 tego artyku艂u zawiera wskaz贸wki dotycz膮ce tego, w jaki spos贸b u偶ytkownicy mog膮 si臋 zabezpieczy膰. Wskaz贸wki te maj膮 r贸wnie偶 zastosowanie do klient贸w i u偶ytkownik贸w bank贸w internetowych, system贸w p艂atno艣ci online oraz innych firm i organizacji.

Ataki na firmy i instytucje

Cyberprzest臋pcy stosunkowo cz臋sto stosuj膮 scam, szanta偶 i 偶膮danie okupu. Jednak najpowszechniejszym rodzajem przest臋pstwa cybernetycznego, kt贸rego ofiar膮 padaj膮 instytucje, jest kradzie偶 poufnych danych.

Kradzie偶

Ostatnio scammerzy wykazuj膮 coraz wi臋ksze zainteresowanie osobistymi danymi u偶ytkownika, takimi jak: adresy e-mail, numery ubezpieczenia spo艂ecznego, konta gier internetowych, a nawet kody PIN, kt贸re przechowywane s膮 w wewn臋trznych bazach danych wielu instytucji. Na skradzionych bazach danych mo偶na 艂atwo zarobi膰. Poniewa偶 istnieje na nie zapotrzebowanie, szkodliwi u偶ytkownicy mog膮 osi膮gn膮膰 spore zyski, kt贸re motywuj膮 ich do pope艂niania kolejnych podobnych przest臋pstw.

Przyk艂ad Rosji pokazuje skal臋 rozpowszechnienia si臋 kradzie偶y danych. Na przyk艂adzie tego pa艅stwa widzimy r贸wnie偶, 偶e dane mo偶na ukra艣膰 nawet z organizacji, do kt贸rych trudno jest uzyska膰 dost臋p, na przyk艂ad zwi膮zanych z podatkami czy c艂ami. Na rosyjskim czarnym rynku powszechnie dost臋pne s膮 historie kredytowe, bazy danych zawieraj膮ce deklaracje celne, dane dotycz膮ce rejestracji samochod贸w, numery telefon贸w kom贸rkowych z za艂膮czonymi adresami oraz bazy zawieraj膮ce dane paszportowe. W niekt贸rych przypadkach, danych jest tak du偶o, 偶e nie mieszcz膮 si臋 na wymiennym no艣niku danych, dlatego sprzedawane s膮 na dysku twardym. Cena waha si臋 od kilkudziesi臋ciu do kilku tysi臋cy dolar贸w, w zale偶no艣ci od tego, jak cenne oraz aktualne s膮 dane.

Informacje takie nie s膮 dost臋pne tylko w Rosji. R贸wnie偶 w innych pa艅stwach istnieje zapotrzebowanie na tego rodzaju dane, o czym 艣wiadcz膮 skandale ze skradzionymi numerami kart kredytowych i numerami ubezpieczenia spo艂ecznego, jakie mia艂y miejsce w wielu krajach w 2006 roku. Jeden z takich incydent贸w mia艂 miejsce w Wielkiej Brytanii, gdy z艂o艣liwi u偶ytkownicy zdo艂ali ukra艣膰 dane dotycz膮ce kart Mastercard 2 tys. klient贸w sklepu internetowego.

Naturalnie, osoby kupuj膮ce kradzione dane tak偶e pope艂niaj膮 przest臋pstwo: wykorzystuj膮 skradzione informacje w celu osi膮gni臋cia zysku finansowego w realnym 艣wiecie.

W kradzie偶y danych istotn膮 rol臋 odgrywaj膮 nie maj膮cy skrupu艂贸w pracownicy. Analitycy z Kaspersky Lab coraz cz臋艣ciej spotykaj膮 si臋 z programami szpieguj膮cymi napisanymi z wykorzystaniem informacji dostarczanych przez pracownik贸w danej firmy. Powsta艂y na przyk艂ad z艂o艣liwe programy, kt贸rych tw贸rcy wykorzystali wewn臋trzne loginy i has艂a atakowanych organizacji, jak r贸wnie偶 znajomo艣膰 struktury jej wewn臋trznej bazy danych. Powstrzymanie ataku przeprowadzonego z wykorzystaniem wiedzy dostarczonej przez pracownik贸w organizacji jest niezwykle trudne, o ile w og贸le mo偶liwe.

U偶ytkownikom mo偶na w pewnym stopniu zapewni膰 ochron臋 poprzez zastosowanie kilku prostych 艣rodk贸w ograniczaj膮cych ryzyko kradzie偶y danych. Organizacje powinny zastosowa膰 ca艂o艣ciowe podej艣cie do ochrony, wykorzystuj膮c oprogramowanie antywirusowe, zapory ogniowe, filtry spamu oraz monitorowanie i audytowanie infrastruktury sieci za pomoc膮 odpowiednich narz臋dzi.

Ostatnio wzros艂a liczba u偶ytkownik贸w, kt贸rzy zostali zainfekowani podczas korzystania z Internetu. Tego rodzaju infekcje nie s膮 trudne do przeprowadzenia: zdalny szkodliwy u偶ytkownik w艂amuje si臋 na stron臋 internetow膮 i instaluje na niej z艂o艣liwe oprogramowanie. Osoba, kt贸ra odwiedzi tak膮 stron臋, nie艣wiadomie pobierze szkodnika na sw贸j komputer. Z tego wzgl臋du organizacje i firmy powinny zainstalowa膰 rozwi膮zanie antywirusowe zawieraj膮ce komponent sieciowy lub oddzielny produkt s艂u偶膮cy do monitorowania "zawarto艣ci" internetowej pod k膮tem wyst臋powania z艂o艣liwego kodu.

Podsumowuj膮c, wszystko wskazuje na to, 偶e liczba przypadk贸w kradzie偶y danych b臋dzie wzrasta膰.

Szanta偶, scam i okup

Podczas gdy scammerzy atakuj膮 zazwyczaj zwyk艂ych u偶ytkownik贸w, celem szanta偶yst贸w s膮 najcz臋艣ciej organizacje.

Najpopularniejsz膮 metod膮 wykorzystywan膮 przez cybernetycznych szanta偶yst贸w jest atak DDoS. Szanta偶y艣ci wysuwaj膮 konkretne 偶膮dania i gro偶膮 przeprowadzeniem ataku: zazwyczaj 偶膮daj膮 od ofiar, aby w okre艣lonym terminie zap艂aci艂y podan膮 sum臋, i gro偶膮 zablokowaniem dost臋pu do zasob贸w sieciowych w przypadku niespe艂nienia tych 偶膮da艅. Podczas przeprowadzenie ataku internetowego szkodliwi u偶ytkownicy mog膮 bez trudu zachowa膰 anonimowo艣膰.

Popularnym celem szanta偶yst贸w s膮 sklepy internetowe oraz strony bukmacherskie, jak r贸wnie偶 wszelkie inne organizacje, kt贸re mog艂yby ponie艣膰 znaczne straty, gdyby zablokowano im dost臋p do zasob贸w.

Wzrost liczby takich atak贸w wynika cz臋艣ciowo z tego, 偶e ich ofiary cz臋sto decyduj膮 si臋 spe艂ni膰 偶膮dania szanta偶yst贸w. W takiej sytuacji ludziom wydaje si臋, 偶e lepiej jest zap艂aci膰. Jednak jak wynika z bada艅 IBM, ci, kt贸rzy p艂ac膮, s膮 cz臋艣ciej atakowani ni偶 ci, kt贸rzy odm贸wili spe艂nienia 偶膮da艅 szanta偶yst贸w.

Ataki DDoS nie s膮 jedyn膮 metod膮 stosowan膮 przez cybernetycznych szanta偶yst贸w. W pierwszej cz臋艣ci tego artyku艂u omawiali艣my z艂o艣liwe programy, kt贸re szyfruj膮 dane na komputerze ofiary. Za przywr贸cenie "porwanych" danych tw贸rcy z艂o艣liwego oprogramowania 偶膮daj膮 zap艂acenia okre艣lonej sumy. Ofiarami takich atak贸w mog膮 sta膰 si臋 r贸wnie偶 organizacje. Wi臋kszo艣膰 u偶ytkownik贸w czeka, a偶 firmy antywirusowe dostarcz膮 rozwi膮zanie. Jednak organizacje, kt贸rym cyberprzest臋pcy zaszyfrowali kluczowe dane, nie mog膮 sobie na to pozwoli膰. W tej sytuacji zdarza si臋, 偶e ulegaj膮 偶膮daniom przest臋pc贸w. Powstaje b艂臋dne ko艂o - takie zachowanie powoduje wzrost liczby atak贸w i nowych modyfikacji z艂o艣liwych program贸w.

Inne cele atak贸w

W poprzedniej sekcji skupili艣my si臋 na kwestii utraty danych. Jednak organizacje posiadaj膮 r贸wnie偶 rzeczy, kt贸rych nie da si臋 wyceni膰. Na przyk艂ad, ile warta jest utrata dobrej reputacji firmy?

Znane s膮 przypadki, gdy szkodliwi u偶ytkownicy w艂amali si臋 najpierw na stron臋 internetow膮, a nast臋pnie zainstalowali wyspecjalizowane z艂o艣liwe programy przeznaczone do masowego wysy艂ania spamu. Spam wysy艂any jest "w imieniu" ofiary, kt贸ra oczywi艣cie nie jest tego 艣wiadoma, co powoduje utrat臋 zaufania zar贸wno u偶ytkownik贸w jak i klient贸w. Cierpi na tym r贸wnie偶 reputacja firmy, kt贸rej trudno b臋dzie podnie艣膰 si臋 po takim incydencie.

W ci膮gu ostatnich kilku lat znacznie wzros艂a liczba portali zaatakowanych przez haker贸w oraz liczba z艂o艣liwych program贸w, kt贸re w efekcie takich atak贸w zosta艂y pobrane na komputery ofiary. Nie chodzi tu o ma艂e firmy. Zagro偶one s膮 najwi臋ksze struktury komercyjne i rz膮dowe: z艂o艣liwy kod zosta艂 umieszczony mi臋dzy innymi na stronach Microsoftu, stronach zwi膮zanych z bezpiecze艅stwem i obron膮 oraz na stronach organ贸w 艣cigania. To oznacza, 偶e chocia偶 organizacje i instytucje 艣wiadome s膮 zagro偶e艅, nie zawsze podejmuj膮 odpowiednie dzia艂ania.

Podsumowanie

Dane przedstawione w raporcie jednoznacznie pokazuj膮, 偶e liczba atak贸w i rodzaj贸w z艂o艣liwego kodu, kt贸ry mog膮 wykorzysta膰 cyberprzest臋pcy przez ca艂y czas wzrasta.

Cyberprzest臋pcy nieustannie ulepszaj膮 swoje metody i rekrutuj膮 wysoko wykwalifikowanych ludzi. Liczba atak贸w ro艣nie z roku na rok, a ich ofiarami staj膮 si臋 nowe instytucje finansowe. Nie tylko prowadzi to do strat finansowych: w wyniku takich incydent贸w powa偶nie ucierpie膰 mo偶e reputacja firmy, jak r贸wnie偶 jej infrastruktura IT.

Bezpiecze艅stwo informatyczne wymaga podej艣cia ca艂o艣ciowego. Szczeg贸lny nacisk nale偶y po艂o偶y膰 na wykorzystanie rozwi膮za艅 antywirusowych, filtr贸w spamu, monitorowania sieci i narz臋dzi audytu. Jedynie takie podej艣cie pozwoli firmom, organizacjom i instytucjom skutecznie powstrzyma膰 wzrastaj膮c膮 liczb臋 przest臋pstw cybernetycznych.

殴r贸d艂o:
Kaspersky Lab