Przegl膮d cyberzagro偶e艅 finansowych w okresie 艣wi膮tecznym 2016

Wprowadzenie

W listopadzie zesz艂ego roku przeprowadzili艣my kr贸tk膮 analiz臋 krajobrazu zagro偶e艅 w okresie 艣wi膮tecznym - od pa藕dziernika do grudnia w 2014 i 2015 roku - aby stwierdzi膰, czy liczba cyberatak贸w finansowych w tym czasie r贸偶ni si臋 od tej, jak膮 zwykle odnotowujemy w ci膮gu roku. Z analizy retrospektywnej wynika, 偶e odsetek atak贸w phishingowych w tym okresie by艂 wy偶szy ni偶 艣rednia roczna. Dynamika atak贸w przy u偶yciu szkodliwego oprogramowania finansowego r贸wnie偶 wyra藕nie wskazywa艂a, 偶e w 2014 i 2015 roku przest臋pcy zorganizowali swoje kampanie w taki spos贸b, aby mia艂y miejsce mniej wi臋cej w okresie od Black Friday do Cybernetycznego Poniedzia艂ku jak r贸wnie偶 艢wi膮t Bo偶ego Narodzenia i Nowego Roku.     

Na podstawie tych danych sformu艂owali艣my nast臋puj膮c膮 prognoz臋: w analogicznym okresie 艣wi膮tecznym w 2016 roku nast膮pi wzrost liczby cyberatak贸w. Teraz, gdy okres 艣wi膮teczny ju偶 za nami, pora sprawdzi膰, jak trafna by艂a ta prognoza.   

Phishing finansowy

Liczby

Jak wida膰 w tabeli poni偶ej, w przeciwie艅stwie do poprzednich lat, r贸偶nica mi臋dzy 艂膮cznymi wynikami rocznymi a wynikami dotycz膮cymi IV kwarta艂u nie jest znacz膮ca. Jednak odsetek finansowych atak贸w phishingowych zablokowanych przez produkty Kaspersky Lab w IV kwartale 2016 r. by艂 wy偶szy ni偶 艣rednia dla ca艂ego roku.

2013

Pe艂ny rok

IV kwarta艂

Finansowe ataki phishingowe 艂膮cznie 

31,45%

32,02%

Sklepy internetowe

6,51%

7,80%

Banki online

22,20%

18,76%

P艂atno艣ci elektroniczne

2,74%

5,46%

2014

Pe艂ny rok

IV kwarta艂

Finansowe ataki phishingowe 艂膮cznie 

28,73%

38,49%

Sklepy internetowe

7,32%

12,63%

Banki online

16,27%

17,94%

P艂atno艣ci elektroniczne

5,14%

7,92%

2015

Pe艂ny rok

IV kwarta艂

Finansowe ataki phishingowe 艂膮cznie 

34,33%

43,38%

Sklepy internetowe

9,08%

12,29%

Banki online

17,45%

18,90%

P艂atno艣ci elektroniczne

7,08%

12,19%

2016

Pe艂ny rok

IV kwarta艂

Finansowe ataki phishingowe 艂膮cznie 

47,48%

48,13%

Sklepy internetowe

10,17%

10,41%

Banki online

25,76%

26,35%

P艂atno艣ci elektroniczne

11,55%

11,37%

Co wi臋cej, wyniki dla IV kwarta艂u 2016 r. s膮 najwy偶sze spo艣r贸d dotychczas zarejestrowanych. 48.13% wszystkich atak贸w phishingowych zidentyfikowanych przez produkty firmy Kaspersky Lab mia艂o na celu g艂贸wnie gromadzenie danych finansowych u偶ytkownik贸w - o 0.65% wi臋cej ni偶 艣redni udzia艂 finansowych atak贸w phishingowych w 2016 roku i o 4.75% wi臋cej w por贸wnaniu z tym samym okresem w 2015 roku. Jednak okres 艣wi膮teczny nie jest jedynym powodem tak wysokiego odsetka atak贸w finansowych. Oszustwa phishngowe to najprostszy spos贸b zarobienia pieni臋dzy, nawet dla przest臋pc贸w reprezentuj膮cych niski poziom. Etap przygotowania i obs艂ugi tego rodzaju oszustw nie wymaga wielu specjalistycznych narz臋dzi czy wiedzy, za to przynosi wysokie przychody. Innymi s艂owy, ataki phishingowe wydaj膮 si臋 cyberprzest臋pcom atrakcyjniejsze ze wzgl臋du na ich 艂atwo艣膰 i niewielkie koszty w por贸wnaniu z przeprowadzeniem ataku przy u偶yciu finansowego szkodliwego oprogramowania. To spowodowa艂o wzrost popularno艣ci phishingu.        

Dostawa na czas

Jak pokazuje nasza pocz膮tkowa analiza krajobrazu zagro偶e艅 w okresie 艣wi膮tecznym w 2014 i 2015 roku, przest臋pcy pr贸bowali po艂膮czy膰 swoje kampanie phishingowe z okre艣lonymi datami, co spowodowa艂o widoczny wzrost liczby atak贸w w Black Friday, Cybernetyczny Poniedzia艂ek oraz w okresie 艣wi膮tecznym. Dane liczbowe dla 2016 roku nie wykazywa艂y 偶adnej r贸偶nicy, ale odnotowali艣my wzrost liczby atak贸w, w kt贸rych wykorzystywano dobrze znane marki z bran偶y sprzeda偶y detalicznej online oraz finansowej.   

followup_eng_1_auto.jpg

 

Jak wida膰 na powy偶szym wykresie, szczytowe warto艣ci liczb wykrytych oszustw phishingowych zwi膮zanych tematycznie z firm膮 Amazon niemal idealnie pokrywa艂y si臋 z datami, w kt贸rych wypada艂 w 2016 roku Black Friday oraz Cybernetyczny Poniedzia艂ek. T臋 sam膮 dynamik臋 mo偶na zaobserwowa膰 r贸wnie偶 w przypadku innych aktualnie popularnych marek, 艂膮cznie z systemami p艂atno艣ci. 

followup_eng_2_auto.jpg

 

Co ciekawe, dynamika atak贸w podczas okresu 艢wi膮t Bo偶ego Narodzenia jest inna. Jak wida膰 na wykresie poni偶ej, liczba atak贸w zacz臋艂a spada膰 kilka dni przed Wigili膮 Bo偶ego Narodzenia, po czym 25 grudnia wzros艂a. 

followup_eng_3_auto.jpg

followup_eng_4_auto.jpg

followup_eng_5_auto.jpg

 

Takie synchroniczne zachowanie mo偶na by膰 spowodowane wieloma r贸偶nymi czynnikami, 艂膮cznie z tym, 偶e cyberprzest臋pcy r贸wnie偶 艣wi臋tuj膮 Bo偶e Narodzenie, a 艂膮czna liczba u偶ytkownik贸w Internetu zmniejsza si臋 24 grudnia. Jednak 25 grudnia liczba atak贸w zn贸w wzrasta.   

Oszustwa: tematyka zwi膮zana z Black Friday i Bo偶ym Narodzeniem

W naszym pierwotnym raporcie analizowali艣my kilka przyk艂ad贸w tzw. tematycznych oszustw phishingowych po艣wi臋conych okre艣lonemu tematowi - wyprzeda偶y z okazji Black Friday. Chocia偶 raport zosta艂 opublikowany kilka tygodni, zanim rozpocz臋艂y si臋 w艂a艣ciwe wyprzeda偶e, zdo艂ali艣my ju偶 zidentyfikowa膰 kilka przyk艂ad贸w oszustw phishingowych o tematyce zwi膮zanej z Black Friday. Bli偶ej pocz膮tku wyprzeda偶y pojawi艂o si臋 kilka nowych przyk艂ad贸w.   

followup_eng_6_auto.png

 

Przyk艂ad oszustwa phishingowego o tematyce zwi膮zanej z Black Friday oferuj膮cego smartphone'a z 65% zni偶k膮. 

followup_eng_7_auto.png

Przyk艂ad oszustwa phishingowego o tematyce zwi膮zanej z Black Friday oferuj膮cego telewizor w atrakcyjnej cenie.

W ramach oszustw promowane by艂y w wi臋kszo艣ci urz膮dzenia elektroniki u偶ytkowej, takie jak smartfony i telewizory, po niezwykle niskich cenach, a u偶ytkownik贸w pr贸bowano nak艂oni膰 do przekazania informacji p艂atniczych przest臋pcom. Wraz ze zbli偶aj膮cymi si臋 艢wi臋tami Bo偶ego Narodzenia zmieni艂y si臋 odpowiednio tematy oszustw. W grudniu nasi badacze zacz臋li wykrywa膰 oszustwa phishingowe zwi膮zane z Bo偶ym Narodzeniem i Nowym Rokiem.

followup_eng_8_auto.png

 

Przyk艂ad oszustwa phishingowego o tematyce zwi膮zanej z Bo偶ym Narodzeniem opartego na podobie艅stwie ze stron膮 sklepu elektronicznego Alibaba.com.  

Prezentowany powy偶ej przyk艂ad na pierwszy rzut oka nie ma nic wsp贸lnego z Bo偶ym Narodzeniem. Jednak ta fa艂szywa strona internetowa Alibaba.com by艂a dost臋pna pod adresem christmascartoons.org i mia艂a przyci膮gn膮膰 potencjalne ofiary kusz膮c膮 propozycj膮 uzyskania po偶yczki o bardzo niskim oprocentowaniu wraz z mo偶liwo艣ci膮 wyszukiwania i nabycia towar贸w z tej samej strony przy u偶yciu karty kredytowej.

W innym przyk艂adzie, w kt贸rym cel stanowili u偶ytkownicy mobilni, przest臋pcy pr贸bowali wykorzysta膰 popularno艣膰 mobilnej gry Clash of Clans.    

followup_eng_9_auto.png

 

Scam obiecuje, 偶e tw贸rcy gry rozdaj膮 za darmo cenne wirtualne przedmioty zwi膮zane z gr膮 jako prezent noworoczny dla fan贸w.

followup_eng_10_auto.png

 

U偶ytkownicy mog膮 wybiera膰 spo艣r贸d wachlarza przedmiot贸w. Jednak, aby otrzyma膰 prezent musz膮 wype艂ni膰 formularz rejestracyjny, w kt贸rym maj膮 poda膰 szczeg贸艂y dotycz膮ce swojego konta Gmail. 

followup_eng_11.png

 

Nie trzeba m贸wi膰, 偶e w zamian za te informacje ofiara nie uzyskuje nic poza utrat膮 kontroli nad w艂asnym kontem e-mail oraz e-mailem potwierdzaj膮cym.

followup_eng_12_auto.png

 

Jednak ten ostatni jest wysy艂any tylko po to, aby przest臋pcy mieli pewno艣膰, 偶e dane uwierzytelniaj膮ce dostarczone przez ofiar臋 s膮 prawdziwe.

Og贸lnie, nie mo偶na powiedzie膰, 偶e w okresie 艣wi膮tecznym w 2016 roku mia艂 miejsce szczeg贸lnie du偶y wzrost liczby atak贸w phishingowych, jednak nasza g艂贸wna hipoteza, postawiona we wcze艣niejszych raportach - 偶e przest臋pcy wykorzystaj膮 tematy i daty Black Friday i 艢wi膮t Bo偶ego Narodzenia - zosta艂a potwierdzona.   

I naturalnie phishing finansowy nie by艂 jedynym rodzajem cyberzagro偶enia, kt贸ry wykaza艂 nietypowe zachowanie w ostatnich trzech miesi膮cach 2016 roku. W krajobrazie finansowego szkodliwego oprogramowania r贸wnie偶 mia艂y miejsce interesuj膮ce zmiany.

Ataki przy u偶yciu finansowego szkodliwego oprogramowania

艁膮cznie, w IV kwartale 2016 roku Kaspersky Lab odnotowa艂 ataki przy u偶yciu finansowego szkodliwego oprogramowania na 319 692 u偶ytkownik贸w na ca艂ym 艣wiecie. To o 22,49% wi臋cej ni偶 w analogicznym okresie w 2015 roku, gdy zaatakowanych zosta艂o 261 000 u偶ytkownik贸w, i o 2,7% wi臋cej ni偶 w 2014 roku. Trudno powiedzie膰, czy wzrost ten zosta艂 wywo艂any zainteresowaniem cyberprzest臋pc贸w okresem 艣wi膮tecznym; jednak dane dotycz膮ce dynamiki atak贸w pokazuj膮, 偶e podobnie jak w przypadku phisher贸w, osoby stoj膮ce za finansowym szkodliwym oprogramowaniem pr贸bowa艂y 艂膮czy膰 swoj膮 aktywno艣膰 z konkretnymi danymi.     

followup_eng_13_auto.jpg

Dynamika atak贸w przy u偶yciu finansowego szkodliwego oprogramowania w IV kwartale 2016 roku (okres 艣wi膮teczny)

25 listopada (Black Friday) mia艂 miejsce niewielki, ale widoczny wzrost liczby atak贸w, a kolejny 28 listopada (Cybernetyczny Poniedzia艂ek). Og贸lnie, listopad stanowi艂 drugi najgor臋tszy miesi膮c w badanym okresie pod wzgl臋dem liczby zaatakowanych u偶ytkownik贸w: ponad 120 000. Najgor臋tszym miesi膮cem by艂 pa藕dziernik: ponad 130 000 zaatakowanych u偶ytkownik贸w.   

followup_eng_14_auto.jpg

Dynamika atak贸w przy u偶yciu finansowego szkodliwego oprogramowania w Black Friday oraz Cybernetyczny Poniedzia艂ek 2016 roku

Aktywno艣膰 os贸b atakuj膮cych w okresie 艣wi膮t Bo偶ego Narodzenia kszta艂towa艂a si臋 inaczej. G艂贸wny wzrost mia艂 miejsce przed (22 grudnia) i po 艣wi臋tach (25-27 grudnia). Mo偶na t艂umaczy膰 to tym, 偶e wi臋kszo艣膰 aktywno艣ci zwi膮zanej z handlem elektronicznym ma miejsce blisko tych dat: ludzie kupuj膮 prezenty i przedmioty na Bo偶e Narodzenie i Nowy Rok, wyje偶d偶aj膮 na zimowe wakacje i wydaj膮 pieni膮dze na rozrywk臋.  

followup_eng_15_auto.jpg

Dynamika atak贸w przy u偶yciu finansowego szkodliwego oprogramowania w okresie 艣wi膮t Bo偶ego Narodzenia w 2016 roku

Nale偶y zauwa偶y膰, 偶e dynamika atak贸w w okresie 艣wi膮t jest bardzo podobna do tej zaobserwowanej w 2015 i 2014 roku. Przest臋pcy poluj膮 na pieni膮dze u偶ytkownik贸w, a okres 艣wi膮teczny jest do tego idealnym czasem.

Aby osi膮gn膮膰 swoje cele, wykorzystuj膮 jedn膮 z 30 rodzin trojan贸w bankowych, spo艣r贸d kt贸rych pi臋膰 nale偶y do najbardziej rozpowszechnionych: Zbot, Nymaim, Shiotob, Gozi oraz Neurevt. Ta pi膮tka odpowiada za ataki na 92,35% u偶ytkownik贸w w badanym okresie.

followup_eng_16_auto.jpg

Zako艅czenie

Wygl膮da na to, 偶e trendy zaobserwowane w ramach analizy krajobrazu zagro偶e艅 w okresie 艣wi膮tecznym w 2014 i 2015 roku powt贸rzy艂y si臋 w 2016 roku, ale na wi臋ksz膮 skal臋, gdy偶 zosta艂o zaatakowanym wi臋cej u偶ytkownik贸w. Na razie jest jeszcze za wcze艣nie, aby wyci膮ga膰 jakiekolwiek wnioski odno艣nie skuteczno艣ci oszuka艅czych kampanii w okresie 艣wi膮tecznym 2016, poniewa偶 przest臋pcy, kt贸rzy zdo艂ali ukra艣膰 dane uwierzytelniaj膮ce dotycz膮ce kart p艂atniczych, zwykle nie wykorzystuj膮 ich od razu. Czekaj膮 kilka miesi臋cy, aby oszuka艅cze transakcje wydawa艂y si臋 mniej podejrzane stosowanym przez organizacje finansowe systemom zapobiegania oszustwom, z ca艂膮 pewno艣ci膮 mo偶na jednak powiedzie膰, 偶e mia艂y miejsce liczne pr贸by wykorzystania okresu wyprzeda偶owego.     

Chocia偶 okres 艣wi膮teczny jest ju偶 za nami, nadal niezwykle istotne jest przestrzeganie prostych zasad umo偶liwiaj膮cych zachowanie bezpiecze艅stwa podczas wykonywania operacji finansowych online.   

殴ród艂o: Kaspersky Lab