Polacy na celowniku cyberprzestępców. 7 niepokojących faktów z raportu CERT

CERT, dział NASK zajmujący się monitorowaniem bezpieczeństwa w internecie, opublikował raport za rok 2013. Okazuje się, że Polacy są coraz intensywniej atakowani przez cyberprzestępców. Główny cel: wykraść pieniądze z banku. Co jeszcze nam zagraża?

Według najnowszego raportu opublikowanego przez CERT polscy internauci mają poważne powody do tego, by zadbać o swoje bezpieczeństwo w sieci. Cyberprzestępcy używają różnych technik, by ukraść nasze pieniądze. Rejestrują w Polsce domeny służące do rozsyłania złośliwego oprogramowania, próbują włączyć jak największą ilość maszyn do swoich botnetów. Codziennie w polskiej sieci loguje się od 170 do 300 tys. zainfekowanych maszyn.

Główny cel: okradać konta

Największym zagrożeniem wydają się jednak intensywne próby wykradania pieniędzy  z internetowych banków. Incydenty te przebiegały najczęściej według różnych scenariuszy:

Najpoważniejsze ataki na polskich użytkowników bankowości internetowej przeprowadzono z wykorzystaniem złośliwego oprogramowania typu ZeuS i Citadel. Pojawiło się kilka nowych scenariuszy ataków. W pierwszym z nich przestępcy sztucznie podwyższali saldo ofiary, informowali ją o błędnym przelewie i konieczności zwrotu środków (oczywiście na konto słupa).W innym scenariuszu złośliwe oprogramowanie w momencie zlecania transakcji przez ofiarę dokonywało zmiany rachunku docelowego (ukrywając ten fakt przed ofiarą)

- czytamy w raporcie CERT.

Równie popularne są ataki typu ransomware (blokują ekran komputera żądając okupu za jego odblokowanie).

Do najpopularniejszych metod ataków zaliczyć można phishing (45%), złośliwe oprogramowanie (20%) oraz spam (12%). Głównym celem ataków cyberprzestępców pozostają firmy komercyjne, głównie zagraniczne.

1. Zagrożenie w liczbach

CERT interweniował w zeszłym roku w sumie 1219 razy. To najwyższy poziom od roku 2009. Z przedstawionego poniżej podsumowania wynika, że do CERT zgłaszano najczęściej problem spamu, ale również włamania na konta bankowe i inne bardzo poważne incydenty. Co wydaje się szczególnie niebezpieczne CERT odnotował aż 560 kradzieży tożsamości.

Incydenty obsłużone przez CERT w roku 2013Incydenty obsłużone przez CERT w roku 2013 Fot. CERT/ koko--studio.com Fot. CERT/ koko--studio.com

2. Botnety mają się dobrze

W Polsce ilość komputerów-zombie, czyli takich, które zdalnie wykonują polecenia innych maszyn, szacuje się na 170 tys. (do 300 tys. wg innych obliczeń). Stanowi to 1,5% wszystkich komputerów znajdujących się w gospodarstwach domowych.

Najaktywniejsze botnety w Polsce to Conficker (27% infekcji), Sality (14%), ZeroAccess (11%), Virut (9%), ZeuS (7%). CERT coraz intensywniej odpiera ataki również mniejszych botnetów, które próbują poprzez domeny zarejestrowane w naszym kraju infekować użytkowników. Zagrożeń jest bardzo dużo. Malware Necurs próbuje na przykład wykradać wirtualne monety Bitcoin, VBKlip wychwytuje numer konta, gdy ten tylko pojawi się w schowku. Coraz popularniejsze stają się też ataki na użytkowników Linuxa oraz łączenie ataków - jednoczesne wykorzystywanie do wykradania danych komputera i smartfona.

3. Strzeż się konia trojańskiego

Jednym z największych zagrożeń dla polskich użytkowników internetu są konie trojańskie, przy pomocy których cyberprzestępcy okradają konta bankowe. Najczęściej przyczyną problemów jest trojan ZeuS lub jego pokrewne formy. Przestępcy mogą zakupić jego specjalną wersję, która pozwoli zbudować botneta "od podstaw". Narzędzie jest na tyle potężne, że pozwala nawet na "zarządzanie kontami słupów" poprzez które transferowane są skradzione pieniądze. Trzeba pamiętać, że tego typu kradzież wymaga pewnej współpracy użytkownika. Najczęściej daje się on po prostu nabrać na to, że komunikat wyświetlony na stronie faktycznie pochodzi od banku. Wystarczy wykonać dowolną interakcję by stać się ofiarą przestępstwa.

ZeuSZeuS Fot. CERT

Komunikat nakłaniający ofiarę do interakcjiKomunikat nakłaniający ofiarę do interakcji Fot. CERT Fot. CERT

Inaczej działa VBKLIP. Często zdarza się, że sprzedający przesyła nam dane do zapłaty: imię, nazwisko, adres i oczywiście numer konta. VBKLIP "wie" o tym, że wszystkie te dane najczęściej przenosimy metodą kopiuj-wklej. I kiedy do pamięci trafia numer konta naszego sprzedawcy złośliwe oprogramowanie podmienia go. Jeśli nie sprawdzimy przed potwierdzeniem przelewu, czy numer konta się zgadza zostajemy okradzeni. Bank przetransferuje bowiem pieniądze nawet jeśli imię i nazwisko oraz adres odbiorcy będą inne.

Cyberprzestępcy muszą jakoś skradzione pieniądze wypłacić. Korzystają z tzw. słupów. To właśnie takich osób szukają autorzy maili oferujących gigantyczne pieniądze "odziedziczone w spadku". Podając nasze dane i numer konta faktycznie dostaniemy przelew, jednak pobierając obiecaną prowizję za przetransferowanie środków (ok. 10%) stajemy się przestępcami.

Użytkownicy smartfonów również nie mogą czuć się bezpiecznie. Na nich czyha oprogramowanie przejmujące jednorazowe kody SMS wysłane przez bank. Następnie ofiarę ataku znów skłania się do współpracy - na przykład wyświetlając jej taki komunikat:

Prosimy o potwierdzenie danej operacji, w tym celu nowy numer konta należy określić jako odbiorca zdefiniowany. Nowy numer konta będzie aktywny po upływie 7 dni, jeżeli dana operacja nie zostanie potwierdzona, to przyjęcie przelewów na twoje konto będzie niemożliwe.

W ten sposób przestępcy zmieniają zaufanego odbiorcę przelewu - taka osoba może od nas otrzymać pieniądze bez pytania kodem SMS. Jeśli więc komuś uda się zmienić dane w przelewie typu "Czynsz" czy "Czesne" może przelać pieniądze drobnymi transzami - tak długo aż opróżni nasze konto. A my nie będziemy mieli nawet szansy zorientować się, że coś się dzieje. Bank natomiast może uznać, że to nie on jest winny kradzieży. Jeśli bank nie uzna naszej reklamacji szanse na odzyskanie pieniędzy spadają niemal do zera.

4. Płać lub płacz

Bardzo popularne w Polsce są ataki typu "Ransomware". Użytkownik widzi nagle planszę informującą go o zablokowaniu komputera (na przykład na wniosek Policji). Ofiarę zmusza się do przelania określonej kwoty pieniędzy - wtedy blokada znika. Podobnie jak w przypadku innych złośliwych kodów narzędzia tego typu są bardzo zaawansowane.

Bronisław Komorowski w ransomwareBronisław Komorowski w ransomware Fot. F-Secure Fot. F-Secure

5. Groźny wyciek

Cyberprzestępcy atakowali też duże polskie firmy by wykradać z nich dane osobowe klientów. Tylko w przypadku jednej firmy skradziono w ten sposób komplet 400 tys. rekordów -  imię i nazwisko, adres, numer PESEL, numery rachunków bankowych, hasła.

Ataki przeprowadzono również w bardziej wyrafinowany sposób - zamiast męczyć się nad opracowaniem metody włamania pozyskiwano pracownika zatrudnionego w danej instytucji. W ten sposób jedna z koreańskich firm ratingowych "przekazała" dane... dwudziestu milionów osób. Do kradzieży danych (a nie kradzieży pieniędzy) wykorzystuje się też złośliwe oprogramowanie. W USA w ten sposób pozyskano numery kart kredytowych 110 milionów klientów sieci Target.  By zdobyć dane przestępcy posuwają się nawet do kradzieży komputerów oraz fizycznej dokumentacji.

Dane wyciekają też z prozaicznych powodów  - cyberprzestępcy zastają bowiem często "otwarte drzwi". Są nimi ekstremalnie prost hasła. Należy zdecydowanie unikać tych przykładów:

123456 1 2 3 4 5 6 1-6 1do6 654321 wspak 6 cyferek 6 pierwszych liczb cyfry kolejno cyfry od jeden do sześciu

Stosowanie takich "zabezpieczeń" może prowadzić zarówno do kradzieży danych jak i kradzieży tożsamości i innych przestępstw.

6. Zagrożenia mobilne

Najbardziej na baczności powinni się mieć użytkownicy Androida. To "dla nich" cyberprzestępcy przygotowali złośliwe oprogramowanie takie jak "E-Security". Aplikacja ta potrafiła niezwykle skutecznie wykradać jednorazowe kody SMS przesyłane przez banki.  Raport CERT objaśnia sposób działania przestępców:

Infekcja tym oprogramowaniem przebiegała wieloetapowo. Najpierw komputer użytkownika musiał zostać zarażony złośliwym oprogramowaniem, które po wejściu na stronę internetową banku wyświetlało komunikat o potrzebie instalacji aplikacji mobilnej, rzekomo stworzonej przez bank w celu zapewnienia większego bezpieczeństwa. Użytkownik musiał wprowadzić swój numer telefonu oraz wybrać system operacyjny, który jest zainstalowany na jego smartfonie. W analizowanym przypadku istniała wersja tylko na system operacyjny Android. Następnie, pod podany numer telefonu, wysyłana była wiadomość SMS z linkiem do wspomnianej aplikacji. Żeby się upewnić, że użytkownik zainstalował tę aplikację, trzeba było po dać "kod aktywacyjny", który wyświetlał się po jej uruchomieniu. Później przestępcy zaczęli używać bardziej zaawansowanych narzędzi - kolejny złośliwy program, nazwany "Mobile Antivirus" [39], który rozprzestrzeniał się podobnie do E-Security, ale miał bardzo rozbudowane możliwości. Jedną z częściej wykorzystywanych było usunięcie wszystkich danych użytkownika. Utrudnia to analizę zagrożenia, jednak powoduje również, że użytkownik zauważa obecność złośliwego oprogramowania. Wśród innych funkcjonalności było również wysyłanie wiadomości SMS Premium, czyli wiadomości o podwyższonej opłacie.

CERT podkreśla, że uniknięcie zagrożenia ze strony takiego oprogramowania jest dość proste - potrzebny jest zdrowy rozsądek i baczne czytanie komunikatów.

7. Skąd nadchodzą ataki

Jeśli chodzi o ataki typu C&C (command and control) to najwięcej serwerów atakujących polskich użytkowników internetu znajduje się w USA, Niemczech i Rosji. W USA znajduje się ok. 2500 serwerów C&C, dla porównania w Polsce zaledwie 50.

Serwery C&C na świecieSerwery C&C na świecie Fot. CERT Fot. CERT

Przestępcy nieustannie badają podatność serwerów i komputerów na zdalne ataki, do tego celu stosują skanowanie poszczególnych portów. W tym wypadku próby penetracji najczęściej wykonywane są z serwerów pochodzących z Chin. Negatywnie pod tym względem wyróżniają się jeszcze Rosja i Stany Zjednoczone.

Skanowanie sieciSkanowanie sieci Fot. Google Fot. Google

***

Z Raportu CERT wynika kilka ważnych faktów. Po pierwsze działania CERT poprawiają bezpieczeństwo użytkowników polskiego internetu, Polska wydaje się też być nisko w rankingu krajów rozsyłających spam.

Drugi wniosek jest niepokojący: Polacy są na celowniku cyberprzestępców. Kradzieże tożsamości (mogące skutkować np. spłacaniem niezaciągniętych przez siebie kredytów), czyszczenie kont z oszczędności, wykradanie numerów kard kredytowych są realnymi zagrożeniami. Wszyscy, którzy mają więc coś do stracenia powinni szczególnie ostrożnie podchodzić do wszelkich nietypowych komunikatów wyświetlanych przez komputery i smartfony. Wszyscy powinni zadbać o aktualne oprogramowanie antywirusowe. Przede wszystkim jednak w walce z cyberprzestępcami trzeba wykazać się zdrowym rozsądkiem i zdwojoną czujnością.

Pełen raport CERT znajdziecie tutaj.

Więcej o: