Trend Micro: Kyberzločinci přepracovávají metody svých útoků

Zprávu „Trend Micro Threat Roundup and Forecast 1H 2008“ uveřejnila společnost Trend Micro. Uvádí v ní, že kyberzločinci nejenže využívají k šíření kyberzločinu nové technologie, ale také vytvářejí stále nové formy sociálního inženýrství, jimiž se snaží přelstít jak spotřebitele, tak podniky. Výsledkem je, že za posledních šest měsíců vzrostl počet webových hrozeb a zároveň stále klesal objem adwaru a spywaru vytvářeného zastaralými technickými metodami, které již nemohou bojovat se špičkovými bezpečnostními řešeními.
Taktiky sociálního inženýrství se zneužívají už desítky let, v současnosti kyberzločinci tyto standardní formy lstí obnovují a modernizují podle aktuálních trendů ve společnosti. Úrodnou půdou pro kyberzločin se například stávají nástroje a technologie používané při vytváření interaktivního prostředí oblíbených webů sociálního networkingu. V březnu Trend Micro odhalila, že na špičkové stránky fungující na principech Web 2.0, na poskytovatele free e-mailů, na banky a oblíbené weby pro e-komerci zaútočilo přes 400 phishingových softwarových kitů určených k automatickému vytváření phishingových stránek.
Nedávno nová forma phishingu varovala potenciální oběti před phishingovými maily, čímž se snažila vzbudit důvěru a pak uživatele navést k tomu, aby klikli na odkaz, který vedl na podvodnou stránku.
Spammeři také obnovují starší techniky. V únoru Trend Micro prošetřovala pokus o „vishing“, tj. voice phishing (hlasový phishing). Hlasová zpráva vypadala věrohodně, protože všechny odkazy vedly na odpovídající, legitimní cílové stránky. Obsahovala ovšem i telefonní číslo, na které měli uživatelé zavolat a reaktivovat svůj účet, který byl údajně dočasně deaktivován. Po vytočení čísla byli uživatelé dotázání na číslo jejich kreditní karty a PIN, což po sdělení těchto údajů otevřelo phisherům cestu k těmto bankovním kontům.

Vývoj malwaru pro kombinované hrozby
Malwarové varianty jsou obvykle považovány za samostatné hrozby. Dnes webové hrozby vytvářené s cílem osobního profitu kombinují různé škodlivé softwarové komponenty do jedinečného business modelu webových hrozeb. Kyberzločinci například zašlou mailingový spam nebo zprávu přes instatnt messaging obsahující odkaz na záludnou URL adresu. Uživatel klikne na odkaz a je přesměrován na webovou stránku, z níž se do jeho počítače automaticky nahraje soubor s trojským koněm. Trojský kůň poté stáhne další soubor (spyware), který sbírá citlivé informace, jako jsou čísla bankovních účtů (spy-phishing). I když jde zdánlivě o jeden incident, s kombinovanými hrozbami se mnohem hůře bojuje a pro uživatele jsou mnohem nebezpečnější.

Zneužívání nových technologií
Technika fast-flux je dalším příkladem jak zločinci zneužívají technologický rozvoj. Fast-flux je přepínací mechanismus, který umožňuje zneužít servery doménových jmen DNS (domain-name-server) kombinací sítí peer-to-peer, distribuovaných příkazů a řízení, webového vyrovnávání zátěže a proxy přesměrování na skryté weby využívající phishingové nástroje. Fast-flux pomáhá phishingovým webům zůstat delší dobu v provozu a přilákat více obětí. Bezpečnostní experti tak mají větší problém s identifikací záludných domén Storm, protože jejich vývojáři využívají techniky fast-flux a ztěžují tak odhalení těchto domén.

Nárůst webových hrozeb
Trend Micro zjistila, že během první poloviny roku 2008 došlo k výraznému nárůstu aktivity v oblasti webových hrozeb. Jen v březnu dosáhl jejich počet 50 miliónů, když v prosinci 2007 jich bylo zaznamenáno zhruba 15 miliónů.
Sestupný trend byl naopak zaznamenán u adwaru, trackwaru, keyloggerů a freeloaderů. V březnu 2007 bylo podle Trend Micro nakaženo adwarem zhruba 45 procent pécéček, zatímco v dubnu 2008 šlo pouze o 35 procent. V dubnu 2007 bylo trackwarem nakaženo zhruba 20 procent pécéček; v květnu tento počet klesl na méně než pět procent. Také keyloggery zaznamenaly sice malý, zato stálý pokles – na jaře 2008 jimi bylo nakaženo méně než pět procent počítačů, zatímco v září 2007 se tento počet vyšplhal na pět procent.
Mezi další podstatná zjištění uvedená ve zprávě patří:
- Hrozby stále více cílí na dobře zavedené webové stránky. Počátkem ledna bylo provedeno několik masivních útoků typu SQL injection na tisíce webových stránek patřících společnostem uváděným v žebříčku Fortune 500, vládních organizací a škol.
- Mobilní hrozby stále hrají mezi nově se rozvíjejícími hrozbami jen malou roli. V lednu Trend Micro objevila malware přestrojený za multimediální soubor, který měl infikovat starší mobilní telefony Nokia.
- Se znalostmi přichází přesnost. Kyberzločinci se stále více zaměřují na movité uživatele, jako jsou špičkoví manažeři, kteří představují malý počet bohatých jedinců, kteří mají přístup k větším bankovním účtům, přihlašovacím údajům nebo dokonce e-mailovým adresám, které se používají v celé organizaci.
- Na počátku roku 2008 objem spamu dočasně poklesl – zřejmě šlo o přestávku po vánočních svátcích. Objem zato výrazně narostl v březnu a opět lehce poklesl v dubnu. Pokles spamové aktivity si odborníci Trend Micro vysvětlují jako buď přeskupování spammerů a přípravu na nový útok nebo jako testování nových technik.
- Počet botů (zneužitých PC) narostl z více než jednoho a půl miliónu v lednu na únorových více než 3,5 mil. Tento vzestup byl následován výrazným březnovým poklesem.