Доклад Trend Micro: Киберпреступники изобретают новые способы атак

Компания Trend Micro Incorporated (TSE: 4704), мировой лидер в области защиты от веб-угроз, распространила сегодня свое аналитическое исследование развития угроз за первое полугодие 2008 года (Trend Micro Threat Roundup and Forecast 1H 2008). В нем отмечается, что киберпреступники сегодня не только внедряют новые технологии, но и применяют особые формы социальной инженерии, ловко заманивая в ловушку как домашних пользователей, так и целые фирмы. В результате за последние полгода количество веб-угроз резко возросло, в то время как использование рекламного и шпионского ПО постепенно сокращается: эти программы считаются устаревшими и уже не могут противостоять передовым решениям защиты данных.

Социотехники и фишинг – игра на человеческих слабостях

В течение уже более чем десятка лет Интернет наводнен

«нигерийскими» фишинговыми письмами и «посланиями испанского заключенного». Это типичные – и постоянно совершенствующиеся и адаптирующиеся под конкретную ситуацию – социотехники, помогающие киберпреступникам совершать свои мошеннические деяния. Очередной золотой жилой для мошенников стали интерактивные инструменты и технологии, используемые в популярных социальных сетях. По данным Trend Micro, только в марте этого года удалось обнаружить более 400 фишинговых структур, созданных с конкретной целью — имитации ведущих социальных сайтов (созданные для поиска старых знакомых, одноклассников, обмена фотографиями, видео и VoIP), а также сайты популярных бесплатных серверов электронной почты, банков и онлайн-магазинов.

Недавно появились даже фишинговые письма, якобы предупреждающие пользователей об угрозе фишинга – и, обеспечив таким образом их доверие, советующие им перейти по ссылке, ведущей на сайт мошенников. Спамеры также активно пересматривают старые приемы работы. В феврале Trend Micro раскрыла попытку голосового фишинга (известного также как вишинг). Сообщение звучало очень убедительно, и даже ссылки, содержащиеся в нем, вели на настоящие сайты – однако в нем содержался телефонный номер, по которому получателю следовало звонить для повторной активации якобы заблокированного счета. Позвонив на этот номер, пользователь по просьбе оператора сообщал номер и PIN-код своей банковской карты – данными немедленно пользовались мошенники.

Вредоносные программы для смешанных видов атак

Ранее каждый вид вредоносного программного обеспечения рассматривался как отдельная атака мошенников. Сегодня веб-угрозы с целью наживы объединяют в единую комбинацию компоненты самых разных вредоносных программ. Пример: киберпреступник отправляет электронное спам-сообщение со ссылкой на ложный сайт. Жертва атаки переходит по ссылке и попадает на веб-сайт, с которого на ее компьютер автоматически загружается троян. Далее этот троян загружает дополнительный файл (шпионскую программу), собирающий с компьютера конфиденциальную информацию о пользователе (например, номера банковских счетов, пароли) – это уже шпионский фишинг. Подобным смешанным атакам значительно труднее противостоять – и они намного опаснее для пользователя.

Разработка новых технологий

Еще одним примером применения мошенниками новейших технологических разработок может служить fast-flux. Fast-flux – это механизм коммутации сервера доменного имени (DNS), сочетающий в себе одноранговые сетевые подключения, распределенные команды и управление, распределение нагрузки онлайн и перенаправление прокси-серверов для сокрытия ресурсов накопления данных, полученных от фишинга. Fast-flux помогает фишинговым сайтам работать дольше и наносить больше ущерба. Например, специалистам очень сложно обнаруживать вредоносные домены Storm: их разработчики используют технологии fast-flux и затрудняют поиск.

Рекламы стало меньше, а угроз — больше

Компания Trend Micro обнаружила, что за первое полугодие 2008 г. число веб-угроз значительно возросло. В декабре 2007 г. их было порядка 12 млн, а в марте стало уже около 50 млн.

В то же время рекламное, отслеживающее деятельность пользователя он-и оффлайн и загрузочное программное обеспечение используется все реже. Если в марте 2007 года Trend Micro выявила зараженность рекламным ПО у 45% ПК; к апрелю 2008 года этот показатель упал до 35%. В мае 2007 года около 20% компьютеров были заражены программами для отслеживания посещения веб-сайтов – к апрелю 2008 года их было менее 5%. Программы для отслеживания всей деятельности пользователя также показали небольшой спад – в сентябре прошлого года их было более 5%, сейчас - менее 5%.

«Мы видим, как активно развивается индустрия кибермошенничества – они отходят от устаревших или теряющих популярность технологий и сосредотачиваются на перспективных и приносящих максимальный доход», – поясняет Рэймунд Гинес (Raimund Genes), директор Trend Micro по IT.

Другие важные выводы отчета:

Массированной атаке подверглись популярные веб-сайты. В самом начале года тысячи веб-страниц, принадлежащих корпорациям из списка Fortune 500, а также госучреждениям и вузам, подверглись атакам SQL-injection.

Мобильные угрозы в новой ситуации продолжают играть незначительную роль. В январе Trend Micro выявила вредоносную программу, «прикидывающейся» файлом мультимедиа и заражающую старые модели Nokia.

Киберпреступники все чаще нацеливаются на влиятельных пользователей –менеджеров высшего звена, имеющих доступ к крупным банковским счетам, данные для входа на сервер или электронные адреса целой организации.

В начале года на какое-то время упали объемы спама – вероятно, спаммеры ушли на каникулы. В марте объемы достигли пика, в апреле слегка снизились. Каждый раз когда интенсивность спама снижается для экспертов TrendLabs – это повод насторожиться: это обычно означает, что спаммеры либо перегруппировывают свои силы для новой атаки, либо испытывают новые технологии.

Количество зараженных компьютеров возросло с 1,5 миллионов в январе до более чем 3 млн. в феврале. В марте, однако, последовал значительный спад.

Прогноз на второе полугодие

Согласно данным исследований и наблюдений за атаками с начала года, Trend Micro предполагает, что в течение следующих шести месяцев будут иметь место следующие тенденции:

Использование социальной инженерии останется основным составлющим атак. Trend Micro предполагает, что мошенники используют как информационный повод Летние Олимпийские игры, подготовку к новому учебному году, выборы президента США, чемпионаты по футболу (в т.ч. американскому) и новогодние каникулы.

Киберпреступники продолжат атаки на вновь выявляемые уязвимые места таких программ, как QuickTime, RealPlayer, Adobe Flash и др.

Вредоносное ПО, основанное на устаревающих методах (программы-звонилки и мониторящие деятельность пользователя ПК), продолжит постепенно уходить в прошлое. Программы, отслеживающие деятельность пользователя в Интернете, и взломщики браузеров также постепенно будут терять популярность, ведь для нынешнего масштаба деятельности преступников они недостаточно масштабируемы.

Объем спама продолжит расти в геометрической прогрессии, его ежедневный объем, вероятно, увеличится до 30-50 млрд сообщений. Количество спама и фишинга особенно вырастет в августе в связи с началом учебного года и Олимпиадой. Сезонный пик ожидается в ноябре, в связи с началом рождественских каникул. В этот период может быть 170-180 млрд сообщений в день.

Как и сейчас, и спам, и фишинг будут играть важную роль в смешанных атаках. Сегодня около 0,2% (или каждый пятисотый) веб-запрос приводит на зараженный сайт. Эта тенденция продолжится.

Зараженные компьютеры и сети все так же будут играть важную роль в цепи угроз (спам, кража информации, целевые атаки и масштабные мошеннические кампании).