Wirusy, robaki, phishing I-VI 2007
2020-06-20 07:00:00

Reklama:

Wirusy, robaki, phishing I-VI 2007Wirusy, robaki, phishing I-VI 2007 Najważniejsze fakty pierwszego półrocza 2007 roku według zespołu badawczego F-Secure to między innymi zagadnienie bezpieczeństwa domen .bank, cyberwojny przy użyciu ataków DDoS, , służące do rozsyłania spamu oraz nowe kanały ataków robaka Wazerov. Bankowe trojany – pomysł na biznes? W miarę, jak doskonalone są metody obrony przed phishingiem, napastnicy zwiększają liczbę i poziom zaawansowania bankowych koni trojańskich, wyposażonych w filtry treści, potrafiące wykryć, kiedy ludzie korzystają z usług bankowych przez Internet. Gdy tylko odkryta zostanie aktywność związana z operacjami finansowymi, złośliwe oprogramowanie zaczyna przechwytywać dane konta. Korzysta przy tym z metod takich jak przechwytywanie formularzy, zrzuty ekranowe, zapis wideo, przechwytywanie wciskanych klawiszy, wstrzykiwanie pól do formularzy i fałszywych stron, mających przyciągnąć więcej użytkowników. Wspomniane konie trojańskie nie tylko zapisują dane, ale także przechwytują lokalne sesje i zmieniają szczegóły transakcji – oczywiście bez wiedzy użytkowników, którzy chcą tylko wykonać konkretne zadania i zarządzać własnymi finansami. Finanse godne zaufania dzięki domenom .bank? Od pewnego czasu rozgorzała dyskusja, której źródłem jest sugestia zespołu badawczego F-Secure, żeby wprowadzić nową domenę najwyższego poziomu, dostępną wyłącznie dla autoryzowanych instytucji finansowych. Przedmiotem dyskusji jest pytanie, czy taka nowa domena, np. o postaci .bank, mogłaby rozwiązać powszechny problem phishingu, dotykający coraz więcej ludzi, padających ofiarą oszustw. Dziś każdy może zarejestrować domenę za równowartość zaledwie około 5 USD. Większość banków w Internecie działa pod typowymi domenami .com lub domenami właściwymi dla poszczególnych krajów, np. .pl, .fi, .de, .co.uk itd. Trudno się zatem dziwić, że domeny, wyglądające na autentyczne i zbliżone do istniejących domen bankowych, są łatwym celem dla oszustów. Posługują się oni phishingiem i próbują uzyskać informacje finansowe od niczego niepodejrzewających klientów, korzystających z bankowości online. Zdaniem F-Secure można się zastanawiać, dlaczego właściwie banki i inne instytucje finansowe działają pod typowymi domenami komercyjnymi. Czy nie byłoby sensowne, gdyby Internet Corporation for Assigned Names and Numbers, czyli organ mający prawo do tworzenia domen najwyższego poziomu, wprowadził nowe, bezpieczne domeny tylko w tym celu, np. .bank? Nowe domeny z takim rozszerzeniem mogłyby być rejestrowane wyłącznie przez autentyczne organizacje finansowe. Rejestracja kosztowałaby nie pięć dolarów, a np. 50 tys. USD. Większość oszustów, przyczyniających się do rozwoju phishingu, zastanowiłoby się (przynajmniej) dwa razy, widząc takie opłaty. $ - pieniądze w wiadomości Zgodnie z szacunkami zespołu badawczego F-Secure zwiększyła się aktywność cyberprzestępców w zakresie tworzenia narzędzi szpiegujących i nowych form wyłudzania pieniędzy poprzez SMSy. W maju do Laboratorium F-Secure dotarły dwie próbki oprogramowania typu spyware dla urządzeń z systemami Windows Mobile oraz Symbian S60 3rd Edition. W przypadku złośliwych aplikacji atakujących telefony sytuacja jest podobna jak w rozwoju tradycyjnych wirusów komputerowych, które na początku tworzone były przez hobbystów a następnie przez zorganizowane grupy posiadające zaplecze sprzętowe i odpowiednie zasoby ludzkie. Ostatnie wydarzenia na arenie mobilnej mogą być kolejną wskazówką, że na naszych oczach złośliwa ekonomia przybiera nieoczekiwane rozmiary, wykorzystując wyrafinowane przestępstwa. Wirusy, robaki, phishing I-VI 2007 W ostatnim półroczu pojawiły się pierwsze smsy służące do przeprowadzania ataków typu phishing. Na razie tylko w Azji użytkownicy stawali się „szczęśliwymi zwycięzcami” w loteriach organizowanych przez lokalne firmy i instytucje. W celu otrzymania wygranej należało jedynie zadzwonić pod wskazany numer. W wiadomości jaką słyszeli dzwoniący podany był wielocyfrowy numer, pod który należało zadzwonić aby otrzymać wygraną o wysokości 3,200$. Zespół badawczy F-Secure wykrył także nowe trojony rozprzestrzeniające się za pomocą smsów, które infekują system operacyjny Symbian. Trojany z rodziny Viver mające swoje źródło pochodzenia w Rosji, ukrywały się w pozornie użytecznych programach dostępnych na popularnych stronach do wymiany plików. Zaraz po zainstalowaniu trojany rozpoczynały wysyłanie SMSów na płatne numery, których koszt wynosił nawet 7 . Były one nadawane z poprawnym kodem narodowym, dlatego wygórowane opłaty trafiały na odpowiednie konto, pomimo że centrum operacyjne stanowiła Rosja. Robaki częściej przerywają rozmowy przez komunikatory Jeden z tradycyjnych robaków internetowych – Warezov – rozszerzył kierunki ataków. Stojącej za nim grupie nie wystarczają już załączniki do rozsyłanego masowo spamu, dlatego opracowano nowy kanał dystrybucji złośliwego kodu. Zastosowano metodę podobną do robaków z poczty elektronicznej, przy czym idealną platformą do rozprzestrzeniania takich treści do niczego nieświadomych odbiorców okazała się funkcja czatu w komunikatorze Skype. Użytkownik programu Skype nie otrzymuje już załącznika do poczty, ale odnośnik w oknie czatu, będący bezpośrednią bramką do złośliwych treści. Według zespołu badawczego F-Secure ostatnia wersja robaka atakującego komunikatory przystosowana jest do wielu ich rodzajów – wystarczy jeden kontakt, żeby zarazić kilka aplikacji do natychmiastowej komunikacji. Robaki te cechują się sprytem – wykorzystują uzyskane podczas infekcji listy „przyjaciół”, żeby wysłać wiadomości przygotowane z zastosowaniem sztuczek inżynierii społecznej, sprawiające wrażenie, jakby faktycznie były wysłane od znajomego. Jak podkreślają specjaliści z F-Secure, w miarę, jak wzmacniane są zabezpieczenia przeglądarek internetowych, przestępcy szukają nowych celów, które atakują za pomocą świeżych, starannie zamaskowanych metod. Żeby wyposażyć użytkowników w narzędzia blokujące takich niepożądanych intruzów włączających się w konwersacje, należy do ich edukacji wprowadzić punkty „nie klikaj na odnośnikach” oraz „nie otwieraj załączników”, jeżeli się ich nie spodziewasz. Wypowiedzenie I Cyberwojny: ataki DDoS w Estonii Od końca kwietnia do połowy maja 2007 r., gdy w Estonii trwały ogólne zamieszki i niepokoje, wiele estońskich stron internetowych (w tym strony rządowe, banków i instytucji medialnych) stało się celem scentralizowanych ataków DDoS. Strony te otrzymywały olbrzymie ilości żądań, pochodzących głównie z Rosji. Takie natężenie ruchu sprawiło, że wiele z nich zaczęło działać bardzo wolno lub wręcz stało się niedostępnych. Magazyn Slate ukuł nowy termin, żeby opisać to zjawisko: „I Cyberwojna rozpoczęta” . Zamieszki w Tallinie trafiły do wiadomości na całym świecie, dzięki czemu cyberprzestępcy mogli znaleźć się w centrum uwagi. CNN donosiło „Policja aresztowała 600 osób, a 96 zostało rannych podczas drugiej nocy starć w estońskiej stolicy, mających związek z usunięciem kontrowersyjnego pomnika Armii Czerwonej z II Wojny Światowej… Rosja zareagowała wściekłością na przeniesienie pomnika… Estonia stwierdziła, że pomnik stał się zagrożeniem dla porządku publicznego, jako punkt skupiający estońskich i rosyjskich nacjonalistów.” Wirusy, robaki, phishing I-VI 2007 Kolejnym etapem rozruchów były przeprowadzone na dużą skalę ataki na serwisy internetowe należące do rządu Estonii. Niektóre z nich stały się zupełnie niedostępne. Inne pozostały w sieci, ale nie akceptowały żadnego ruchu z zagranicznych/zewnętrznych adresów IP. Strony, które zostały zaatakowane w sobotę, 28 kwietnia o 15:00 czasu GMT: www.mkm.ee (Ministry of Economic Affairs and Communications): unreachable www.peaminister.ee (Website of the prime minister): unreachable www.riigikogu.ee (Estonian Parliament): unreachable www.sisemin.gov.ee (Ministry of Internal Affairs): unreachable www.valitsus.ee (Estonian Government): unreachable www.vm.ee (Ministry of Foreign Affairs): unreachable www.agri.ee (Ministry of Agriculture): reachable www.envir.ee (Ministry of the Environment): reachable www.fin.ee (Ministry of Finance): reachable www.just.ee (Ministry of Justice): reachable www.kul.ee (Ministry of Culture): reachable www.mod.gov.ee (Ministry of Defence): reachable www.pol.ee (Estonian Police): reachable www.reform.ee (Party of the prime minister): reachable www.sm.ee (Ministry of Social Affairs): reachable Kilka spośród serwisów rządowych monitorowanych przez F-Secure Labs w ten weekend niedostępnych było także w poniedziałek. Niektóre serwisy działały, ale tylko w trybie uproszczonym. Na przykład serwis estońskiej Policji składał się wyłącznie z jednej strony tekstowej. Rosyjski Dzień Zwycięstwa, obchodzony 9 maja, był kolejną ważną datą w serii zamieszek, zarówno na lądzie, jak i w cyberprzestrzeni. Na wielu rosyjskich forach dyskusyjnych toczyły się dyskusje o rozpoczęciu zmasowanego ataku. Jak zatem można było się spodziewać, po trzech dniach spokoju, tuż po północy 9 maja, byliśmy świadkami dużego ataku przez sieci botnet przeciwko wielu celom w Estonii. Ataki DDoS najczęściej wiązały się z próbami wymuszenia. Na szczęście w ostatnim czasie ich popularność spadła. Wygląda jednak na to, że najnowszą sztuczką jest ich wykorzystanie jako formy politycznego protestu - podkreślają analitycy z F-Secure. Choć z całą pewnością metoda nauki nie była idealna, to jednak efektem ostatnich ataków DDoS w Estonii była dobra lekcja na temat bezpieczeństwa, która dotarła do wielu osób. Dzięki temu inne kraje będą lepiej przygotowane, żeby poradzić sobie z podobnymi napaściami, przygotowując się do nich zawczasu. Jednak z drugiej strony, także przestępcy niestety zmodyfikują swoje metody. Specjaliści z F-Secure podkreślają także, iż nie tylko sieci typu botnet mogą służyć do przeprowadzania ataków DDoS. Obserwuje się coraz więcej dowodów, że luki w aplikacjach P2P także mogą zostać wykorzystane, żeby zalać strony internetowe niewyobrażalną ilością ruchu. Wirusy, robaki, phishing I-VI 2007 Łatki poprawiające bezpieczeństwo Windows Vista - odliczanie czas zacząć Pierwsza łatka usuwająca lukę w zabezpieczeniach Windows Vista pojawiła się w styczniu, poza normalnym cyklem. Rozwiązywała problem związany z tym, jak system operacyjny obsługiwał pliki WMF (Windows Metafile). Kod wykorzystujący podobną lukę pojawił się również w kwietniu – tym razem była ona związana ze zdalnym wykonywaniem kodu za pomocą plików animowanych kursorów (ANI). Choć obydwa exploity dotyczyły Windows Vista, żaden z nich nie umożliwiał poważnego naruszenia bezpieczeństwa takich systemów. Exploit wykorzystujący pliki ANI w rzeczywistości stanowił większe zagrożenie dla użytkowników Windows XP. W miarę jak Windows Vista zwiększa swój udział w rynku, specjaliści z F-Secure prognozują, że przestępcy będą nasilać prace nad stworzeniem bardziej wyrafinowanych metod ataków. Jest niemal pewne, że prędzej czy później odniosą oni sukces. Zdaniem analityków, pamiętać jednak należy, że najbardziej modnym tematem na obecnej scenie technologicznej są aplikacje internetowe, w związku z czym systemy operacyjne wcale nie muszą być podstawowym celem hakerów. Pojawia się wiele prostszych do zaatakowania obiektów.     [

January 4th, 2007 by Author

Posted in Suspendisse iaculis | Edit | 23 Comment »