Записи с меткой «фишеры»

новости от «Лаборатории Касперского»

Впервые за много лет среднегодовое количество спама в мировом почтовом трафике не превысило отметку 70%. По итогам 2013 года «Лаборатория Касперского» отметила снижение доли спама на 2,5%, и в результате этот показатель составил 69,6%. В то же время в спаме уменьшилось количество легальной рекламы товаров и услуг, и выросло число мошеннических и вредоносных сообщений, а также так называемых «серых» рассылок.

Тенденция криминализации спама хорошо видна на примере популярных сообщений на тему путешествий и отдыха. Ранее спам этой категории составлял 5-10% всего потока нежелательной корреспонденции и полностью состоял из различных рекламных предложений. В 2013-м же году коммерческая реклама туров и билетов встречалась редко, однако эксперты «Лаборатории Касперского» зафиксировали большое количество вредоносных писем, эксплуатирующих тему туризма. Различные подделки под уведомления о забронированном номере в гостинице, туре, круизе или билете на самолет содержали вложения с вредоносными программами.

Помимо этого, были обнаружены письма, с помощью которых мошенники пытались «отмыть» деньги с украденных банковских карт. В сообщениях такого рода они обращались к сотрудникам гостиниц с просьбой снять деньги с карты за якобы забронированное проживание и посодействовать в переводе определенной суммы несуществующему турагенту. Разумеется, все эти средства в итоге обманными способами оказывались в руках злоумышленников.

Еще одной особенностью спама в прошедшем году стало заметное увеличение «серых» рассылок, имеющих полулегальный характер. Особенность этой категории спама заключается в том, что рассылка осуществляется не с ботнетов, а с собственных серверов распространителей. При этом в числе получателей оказываются не только официальные подписчики, но и не дававшие своего согласия пользователи, чьи контакты были получены, к примеру, из купленных баз адресов. Это явление ставит перед антиспам-индустрией новую задачу по фильтрации сообщений на основании репутации распространителя.

2013 год можно смело назвать годом суперкоротких спам-писем. Подавляющее большинство нежелательных сообщений, обнаруженных «Лабораторией Касперского» за 12 месяцев, – а именно 74,5% – «весили» не больше 1 Кб. Подобный «минимализм» позволяет спамерам рассылать больше сообщений с меньшими затратами трафика, а, кроме того, возможность создавать уникальные короткие фразы и менять их от письма к письму усложняет работу спам-фильтрам.

Наконец, в 2013 году «Лаборатория Касперского» отметила очевидный сдвиг в приоритетах фишеров: среди организаций, подвергшихся подобным атакам, стало больше тех, чья деятельность напрямую не связана с финансовыми данными пользователей. Так, в рейтинге категорий 100 самых атакуемых организаций за прошедший год выросла доля фишинговых атак на социальные сети (на 7,6%), поисковые порталы (на 1,8%), электронную почту (в 4 раза). Эта тенденция свидетельствует о том, что основная монетизация фишинга происходит за счет продажи украденных аккаунтов пользователей, которые в дальнейшем могут быть использованы для рассылки спама или вредоносного контента. Кроме того, сегодня при унификации различных сервисов аккаунт пользователя от электронной почты или страницы в социальной сети может так или иначе быть связан с его банковскими данными, а это дает злоумышленникам шанс получить уже прямую выгоду.

«2013 год показал, что спам меняется: традиционной рекламы остается в нем все меньше, а мошенничества и вредоносных программ становится больше. Причем если раньше злоумышленники рассчитывали в основном на неопытность пользователей, то по мере увеличения числа юзеров и роста их компьютерной грамотности мошенники начинают изобретать новые уловки. В такой ситуации даже опытному пользователю следует быть предельно внимательным», – отмечает Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского».

Подробнее о тенденциях в спаме в 2013 году, странах и регионах, из которых рассылается нежелательная корреспонденция, и вредоносных программах, распространяющихся в спам-рассылках, читайте в отчете «Лаборатории Касперского» по адресу: www.securelist.com/ru/analysis/208050828/Kaspersky_Security_Bulletin_Spam_v_2013_godu.

Реклама

DRWEB

 

Середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков: в октябре в службу технической поддержки компании «Доктор Веб» обратились сотни пострадавших от действий троянцев-энкодеров. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Google Android, которая давно уже находится под прицелом злоумышленников.

Вирусная обстановка

Согласно статистике, собранной в октябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, в списке выявленных угроз, как и прежде, лидирует Trojan.LoadMoney.1 — приложение-загрузчик, созданное организаторами партнерской программы Loadmoney. Также в лидерах списка — еще одна его модификация, Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815: это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы. Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей — троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11. Двадцатка наиболее актуальных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! в октябре, представлена в следующей таблице:

Название Кол-во %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

Ботнеты

Динамика прироста ботнета, образованного зараженными файловым вирусом Win32.Rmnet.12 компьютерами, в октябре осталась практически неизменной: ежесуточно к первой бот-сети подключалось в среднем порядка 15 000 вновь инфицированных ПК, ко второй — 11 000, что в целом соответствует показателям за сентябрь. Изменение численности обеих подсетей Win32.Rmnet.12 в октябре 2013 года можно проследить на представленных ниже графиках:

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (1-я подсеть)
screenshot

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (2-я подсеть)
screenshot

Продолжает уменьшаться количество компьютеров, на которых антивирусное ПО фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — если на начало октября таковых насчитывалось 4 640, то уже к концу месяца это число составило 3 851.

Практически неизменным остается размер ботнета BackDoor.Bulknet.739: по данным на 28 октября в этой сети числится 1 539 инфицированных компьютеров. В свою очередь, немного снизилась численность ботнета BackDoor.Dande, основным предназначением которого является кража конфиденциальной информации у представителей российских фармацевтических компаний. В конце сентября насчитывалось 1 232 рабочие станции, инфицированные этим троянцем, а в двадцатых числах октября это значение составило уже 1 105.

Постепенно снижается и количество Apple-совместимых компьютеров, инфицированных работающим под управлением Mac OS X троянцем BackDoor.Flashback.39. В конце сентября число заражений составляло 38 288, а спустя месяц количество инфицированных «маков» снизилось до 31 553.

Угрозы для Android

В минувшем месяце специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

screenshot screenshot

screenshot

Как и многие аналогичные вредоносные программы, эти троянцы способны перехватывать поступающие СМС-сообщения, в которых может содержаться различная ценная информация, включающая как одноразовые mTAN-пароли и иные финансовые реквизиты, так и личную или деловую переписку. Однако в данном случае наибольший интерес представляет троянец Android.Spy.40.origin, при создании которого была использована очередная ошибка ОС Android, позволяющая ему избежать обнаружения антивирусными программами. Для этого злоумышленникам было необходимо лишь определенным образом изменить структуру троянского apk-пакета, после чего он мог успешно обходить сканирование. Более подробная информация об этой угрозе содержится в соответствующей публикации на сайте нашей компании.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

screenshot screenshot

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять СМС-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Прочие события октября

Call-центр мошенников «блокирует» карты Сбербанка

Мошенники нашли очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых СМС-уведомлений.

При открытии карты клиентов предупреждают, что СМС-сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Пользователя в подобных случаях может насторожить следующее: ему не могут внятно объяснить причину блокировки карты, просят назвать конфиденциальные данные карты, предлагают подойти к ближайшему банкомату для выполнения сомнительной операции и т. п.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей СМС, который ведут крупные СМС-агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Gameover продолжается: Upatre распространяет шифровальщика CryptoLocker вместе с банковским троянцем Gameover ZeuS

Получила развитие ситуация, связанная с сообщением компании Dell SecureWorks от 10 октября этого года о распространении банковского троянца Gameover ZeuS при помощи троянца-загрузчика. Специалисты по информационной безопасности выяснили, что с этим же загрузчиком распространятся программа-шифровальщик CryptoLocker, вымогающая у владельцев зараженных компьютеров плату за расшифровку файлов.

Троянец из семейства Trojan.DownLoad — это файл небольшого размера, реализующий простую функцию загрузки других вредоносных программ на компьютер жертвы. Он маскируется под zip- или pdf-файл, и распространяется как вложение в спам-сообщения. Стоит пользователю открыть такое вложение, и на компьютер загружается вредоносное ПО, в первую очередь – банковские троянцы семейства Zbot/ZeuS, а теперь и CryptoLocker. Данный шифровальщик не только блокирует доступ к системе, но и вынуждает пользователя оплачивать расшифровку файлов.

Зарубежные эксперты исследовали образец такого спам-сообщения. Вредоносное вложение содержит загрузчик Trojan.DownLoad, скачивающий программу Trojan.PWS.Panda. Именно она фактически загружает CryptoLocker.

Таким образом, пользователь, компьютер которого заражен указанными вредоносными программами, рискует потерять не только учетные данные для онлайн-банкинга и деньги вследствие несанкционированных банковских операций, но и другие свои файлы, зашифрованные CryptoLocker. Самостоятельная расшифровка данных из-за сложности применяемого метода шифрования невозможна.

Троянец CryptoLocker детектируется антивирусом Dr.Web как Trojan.Encoder.304 (образец добавлен в вирусную базу 25 октября 2013 года).

Пользователи, установившие антивирус Dr.Web, защищены от данных угроз. Однако из-за большой комплексной опасности, которую представляют эти вредоносные программы, рекомендуется соблюдать дополнительные меры предосторожности: не открывать вложения в письмах, поступивших из недостоверных источников; избегать переходов по непроверенным ссылкам; регулярно делать резервные копии файлов; пользоваться лицензионным ПО и своевременно обновлять его.

Подробности октябрьских DDOS-атак на сайты российских банков

Представитель службы безопасности Центробанка России Артем Сычев сообщил о подробностях DDOS-атак, организованных в начале октября 2013 года на сайты ЦБ, Сбербанка, ВТБ, Альфа-банка, Газпромбанка и Россельхозбанка.

Бот-сеть из 400 компьютеров, находящихся в Европе, начинала каждую атаку в первой половине дня. В ряде случаев акция продолжалась в течение суток. Банки были атакованы последовательно: первым под удар попал сайт Сбербанка, последним — сайт ВТБ. Целью кибератак был скрипт, обрабатывающий публикацию курсов валют на сайте финансового учреждения. Угроз банковским сервисам в ходе атак выявлено не было, персональные данные и счета клиентов риску не подвергались. По словам Сычева, работа сайта Центробанка прерывалась всего на 7 минут.

О своей причастности к указанным кибератакам заявила группа «Кавказские анонимусы». В этой связи Сычев сообщил о «монетизации преступных действий в киберпространстве, приводящей к тому, что атаки становятся коммерчески выгодными. Распространена ситуация, когда заказчиками являются граждане России, а исполнителями — люди, находящиеся в Европе или Азии. Атакующие машины могут иметь зарубежные IP-адреса».

Dexter: новая тенденция угроз для владельцев банковских карт

Новый вариант вредоносной программы Dexter нанес многомиллионный ущерб большинству южноафриканских банков. Скомпрометированы сотни тысяч кредитных и дебетовых карт. Dexter заражает компьютеры с подключенными к ним торговыми терминалами (point-of-sale, POS-терминалами) для платежей в торговых сетях и ресторанах, похищает данные с пластиковых карт, загруженные в оперативную память компьютера, шифрует их и отправляет на сервер злоумышленников.

По данным зарубежных исследователей, Dexter был выявлен еще в 2012 году. Модификации обнаруженного троянца известны также под названиями Alina, BlackPOS, Vskimmer. За несколько месяцев были заражены сотни компьютеров торговых терминалов в 40 странах. Большинство зараженных систем находилось в Северной Америке и Великобритании.

Образцы указанного вредоносного ПО детектируются антивирусом Dr.Web как Trojan.Packed.23683, Trojan.Packed.23684 и Trojan.Packed.23685. Они добавлены в вирусную базу 27 сентября 2012 года.

Рассылка банковских троянцев семейства P2P Zeus: адрес известен

На многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 000 почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. Предполагается, что их реальный адрес — fraud@aexp.com, зарегистрированный на сервере с IP-адресом 190.213.190.211, относящемся к региону Тринидад и Тобаго. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь.

Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web).

Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Образцы троянцев Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909, распространявшиеся в указанной рассылке, добавлены в вирусную базу Dr.Web 9 и 10 октября 2013 года.

Вредоносная программа P2P Zeus детектируется Dr.Web как Trojan.PWS.Panda.4379. Этот банковский троянец опасен тем, что относится к числу наиболее распространенных. Он передает злоумышленникам данные для доступа к банковским сервисам, похищает ключи и пароли от различных программ, отслеживает нажатия клавиш, делает снимки экрана, объединяет зараженные устройства в бот-сети, выполняет поступающие с сервера злоумышленников команды, перенаправляет жертву на поддельные (фишинговые) сайты для кражи конфиденциальной информации. По мнению специалистов компании «Доктор Веб», указанная спам-кампания нацелена на клиентов различных банков. Чтобы избежать опасности, пользователям рекомендуется не открывать вложения в письмах, поступивших из подозрительных источников; не переходить по подозрительным ссылкам; защищать устройство при помощи антивирусных программ и своевременно обновлять ПО.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2013 00:00 — 31.10.2013 23:00
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2013 00:00 — 31.10.2013 23:00
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%

Спам в апреле: взрывы в Бостоне подняли волну зловредов в почте

Апрель не дал повода расслабиться пользователям электронной почты. После
непродолжительного мартовского затишья доля спама в почтовом трафике
выросла на 2,1% и составила 72,2%. Как и ожидали эксперты, поток
«праздничного» спама в апреле уменьшился, однако
злоумышленники продолжили эксплуатировать громкие мировые события, в том
числе и трагические.

Уже на следующий день после взрывов в Бостоне в Сети пошла первая волна
вредоносного спам-трафика на эту тему. Нередко спамеры искусно
маскировали сообщения под рассылку известных новостных ресурсов,
привлекая тем самым внимание пользователей. Кроме того, злоумышленники
распространяли ссылки на веб-страницы, содержащие видеозаписи взрывов,
взятые с сайта Youtube. Помимо видеороликов, страницы содержали
эксплойт, который загружал на компьютер пользователя троянца,
предназначенного для кражи логинов и паролей пользовательских аккаунтов.

Разумеется, не теряют своей популярности у спамеров и мошеннические
рассылки. При этом злоумышленники проявляют чудеса изобретательности,
придумывая новые уловки и легенды. В апреле эксперты «Лаборатории
Касперского» обнаружили курьезное предложение: в письмах
получателям предлагалось пожертвовать деньги на программу обучения
русской нецензурной лексике в американских школах и на издание
соответствующих учебных материалов. Столь оригинальная история вряд ли
поможет мошенникам собрать значительную сумму, однако есть вероятность
хищения данных банковских карт, которые доверчивый пользователь введет
на сайте для сбора пожертвований.

Конечно, спамеры не могли обойти вниманием и православную Пасху, которая
в этом году отмечалась в начале мая. В отличие от прошлого года, на
гребне волны «праздничного спама» оказались не турфирмы с
экскурсиями, а магазины и мастерские, предлагающие купить сувениры
пасхальной тематики.

В географии спама по сравнению с мартом 2013 года значительных изменений
не произошло. Китай, хотя и потерявший пару процентов в общем
спам-потоке, остается лидером с 23,85%. Позиции США тоже существенно не
изменились (16,82%), и Южная Корея по-прежнему занимает третье место,
прибавив 1,5% к своей мартовской и доле и набрав в итоге 11,84%. Вклад
России в мировую спамогенерацию вырос до 3,34%, обеспечив ей седьмую
строчку в рейтинге.

Лидером среди стран-источников спама в Рунете остается Тайвань
(11,4%). Второе место занял Вьетнам (8,89%), потеснивший на этой позиции
Индию, которая, в свою очередь, оказалась на 6-ом месте. А бронза в
апреле досталась Украине, которая увеличила свою долю до 7,8%. Сама
Россия в этом списке заняла пятую строчку с показателем в 7,5%. Страны
— источники спама в Рунете, апрель 2013 г.

«Крупные и в особенности трагические события мирового масштаба
редко остаются без внимания спамеров, и апрель 2013 года не стал
исключением. После прогремевших в США взрывов Интернет заполонили
вредоносные рассылки, эксплуатирующие эту печальную тему, —
комментирует итоги месяца Татьяна Щербакова, старший спам-аналитик
«Лаборатории Касперского». — Впрочем, по итогам апреля
есть и позитивные тенденции: количество фишинговых рассылок сократилось
втрое. Впрочем, пользователям не стоит терять бдительность —
особенно при работе с социальными сетями, где фишеры традиционно
активны. Возможно, в следующем месяце спамеры уделят повышенное внимание
онлайн-играм. Наступает сезон летних каникул, когда школьники и студенты
начинают чаще посещать различные социальные и развлекательные
ресурсы».

С полной версией спам-отчета за апрель 2013 года можно ознакомиться на
сайте www.securelist.com/ru.

Компания «Доктор Веб» считает, что сегодня одним из самых распространенных в мире видов киберпреступлений по праву можно назвать фишинг. Именно с помощью мошеннической «рыбалки» у интернет-пользователей чаще всего похищают аккаунты в различных сервисах и банковскую информацию. Мы призываем пользователей быть бдительными и представляем новый раздел нашего сайта, посвященный фишингу: antifraud.drweb.com/phishing. Изучайте и не попадайтесь на уловки мошенников!

Новый раздел позволит получить исчерпывающую информацию о фишинге. Помимо целей фишеров, данных о фишерских площадках и способах заражения вы сможете узнать, как защититься от фишинга, получить советы по безопасности от экспертов компании «Доктор Веб», ознакомиться с примерами мошенничества и даже проверить полученные знания с помощью тестов на образовательном проекте ВебIQметр.

Цель раздела — дать интернет-пользователям максимум полезных сведений о фишинге и помочь избежать фишерских атак в будущем.

Мы уверены, что новые знания не окажутся для вас лишними!

ИСТЧНИК

Фишинг. Советы по безопасности

  • Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид компьютерного мошенничества, основная цель которого — обманным путем вынудить жертву предоставить мошеннику нужную ему информацию. Это компьютерное преступление, которое преследуется по закону.
  • Фишер — мошенник или группа мошенников, которые занимаются фишингом.

Примерный сценарий фишинга

  1. Мошенник создает сайт, как две капли воды похожий на официальный веб-ресурс, например, банка, почтового сервиса или социальной сети, и с почти таким же адресом (примеры), с той только разницей, что поддельный сайт подготовлен для атаки на посетителя (например, инфицирован).
  2. Затем ссылка на эту подделку под видом официального письма с предложением, например, получить приз или прочитать важное сообщение отправляется на электронную почту как можно большему числу потенциальных жертв.
  3. Далее с помощью разнообразных уловок мошенник добивается, чтобы жертва посетила инфицированный сайт, установила на свой компьютер какую-либо программу, открыла файл, собственноручно выдала пароли к аккаунтам социальных сетей, номера банковских счетов, PIN-коды и многое другое.
  4. Перейдя на вредоносный сайт по полученной в письме ссылке, ничего не подозревающая жертва вводит свои данные для входа в систему.
  5. Введенные данные отправляются фишеру, а обманутый пользователь перенаправляется уже на настоящую страницу организации, даже не заподозрив неладное.

Сегодня фишинг — один из самых распространенных в мире видов киберпреступлений, с помощью которого чаще всего похищают аккаунты и банковскую информацию.

ИСТОЧНИК

Как нас заманивают в сети?

Ссылки для перехода на фишинговый сайт чаще всего приходят в письмах или отображаются в сервисных окнах программ под видом:

  • важного сообщения (например, от банка) с предложением срочной установки некоего сертификата безопасности, необходимого для дальнейшего получения финансовых услуг (примечательно, что часто жертвы такого рода фишинга даже не являются клиентами этого банка, но все равно из любопытства переходят на поддельную страницу);
  • срочного обновления операционной системы/браузера/приложения/онлайн-игры, для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном СМС код. Таким образом, пользователь соглашается с условиями платной подписки, за которую со счета его мобильного телефона будет регулярно списываться определенная сумма;
  • ОЧЕНЬ выгодной акции, которая проводится только сегодня и участвовать в ней надо немедленно, для чего нужно перейти на некий сайт;
  • сообщения о подарке или выигрыше (например, в онлайн-казино или лотерее), для получения которого надо ввести номер мобильного телефона или отправить платное СМС;
  • предложения ответить на вопросы анкеты и получить подарок (для получения подарка требуется ввести номер банковской карты и пароль доступа к интернет-банку);
  • сборника обоев для рабочего стола или другого бесплатного контента (тут возможны сотни вариантов), доступ к которому можно получить, нажав на кнопку в письме/приложении.

Новые сценарии атак появляются ежедневно!

Некоторые примеры фишинговых сайтов

После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами (эти методы именуются «социальной инженерией») побудить его ввести свои логин и пароль, что позволяет преступникам получить доступ к аккаунтам и банковским счетам жертвы.

Главная опасность фишинга заключается в том, что на его удочку может попасться КАЖДЫЙ, — как компьютерный новичок, так и опытный пользователь с многолетним стажем работы в сети Интернет.

Фишер — тонкий знаток различных струн души интернет-пользователя. Изобретая все новые и новые способы мошенничества, он как опытный психолог использует в своих преступных целях наши предсказуемые реакции на различную информацию. Вот только некоторые виды приманок, которые используются в этой криминальной «рыбалке».

  • Запугивание — потребность устранить причину испуга, исправить ситуацию, разобраться, в чем проблема (ввести телефонный номер, чтобы получить код разблокировки и устранить проблему).
  • Эмоциональный порыв — как порыв, основанный на желании поучаствовать и получить что-то, так и сезонный (предпраздничный) порыв — сделать ярче или спокойнее свое участие в чем-либо, обрести эмоциональную гармонию (основной позыв: «Я просто не могу это пропустить!»)
  • Дисциплинированность, послушность (упор на воспитание, убеждения, опыт жертвы) — потребность следовать полученной инструкции (установить предлагаемую программу).
  • Потребность в везении, ощущение себя успешной личностью — желание получить выигрыш немедленно (переход на сайт для получения выигрыша).
  • Задетые политические взгляды/религиозные убеждения — возмущение и потребность его выразить (перейти на предлагаемую страницу).
  • Невнимательность, беспечность — склонность жать на все кнопки без разбора, следовать любым «советам», участвовать в любых акциях.
  • Любопытство (потребность все время узнавать новое; провокация, ощущение того, что все уже давно в курсе; нечто необычно выглядящее, легко доступное).

Далее узнайте о том, как при помощи фишинга происходит заражение.

ИСТОЧНИК

 

Интернет не знает границ, однако, как показывают наши данные, существует географическая специфика киберпреступлений. В разных частях мира отличаются вредоносные программы, приоритетные направления компьютерных атак и способы обогащения, которые используют киберпреступники. Связано это не только с тем, где физически находятся злоумышленники, но и с особенностью стран, в которых проживают их потенциальные жертвы. Определяющими факторами в данном случае являются уровень экономического развития, количество интернет-пользователей и уровень проникновения интернета в стране.

В этой статье мы расскажем о специфике деятельности киберпреступников в западных странах: США, Канаде и странах Западной Европы (Англия, Австрия, Бельгия, Дания, Франция, Германия, Голландия, Люксембург, Ирландия, Италия, Испания, Швейцария и Португалия).

Краткая справка

  • ВВП(по паритету покупательной способности, источник: cia.gov):
    • США — $14,66 трлн (2010 est.), 2-е место в мире;
    • Европейский Союз — $14,82 трлн (2010 est.), 1-е место.
  • Количество интернет-пользователей(источник: cia.gov):
    • США — 245 млн, 2-е место в мире;
    • Германия — 65,125 млн, 5-е место;
    • Великобритания — 51,444 млн, 7-е место;
    • Франция — 45,262 млн, 8-е место;
    • Италия — 29,235 млн, 13-е место.
  • Уровень проникновения интернета(источник: http://www.internetworldstats.com/):
    • Северная Америка — 78,3%, 1-е место в мире;
    • Европа в целом — 58,3%, 3-е место в мире.
  • Особенности использования интернета:
    • интернет есть везде: учебные заведения, государственные учреждения, дом, работа;
    • интернет всегда с пользователем: мобильный интернет дешев, очень распространены мобильные интернет-устройства — планшетники и смартфоны.
    • интернет широко используется для оплаты коммунальных услуг и покупки товаров, управления банковским счетом.
  • Процент пользователей, подвергающихся атакам через Web (H1 2012):
    • CША — 38,8%, 31-е место в мире;
    • Германия — 28,8%, 101-е место;
    • Великобритания — 36,8%, 42-е место;
    • Франция — 36,3%, 44-е место;
    • Италия — 43,5%, 18-е место;
    • Европейский союз — 32,1%.
  • Много пользователей Mac OS X, количество смартфонов под управлением Android OS неуклонно растет
  • Наиболее атакуемые операционные системы:
    • Windows,
    • Android,
    • Mac OS X.

Почти половина западных стран входит в ТОР 20 по количеству интернет-пользователей — и эти интернет-пользователи очень активны. Большинство считает интернет не только источником информации, но и простейшим способом коммуникации, и самой доступной площадкой для совершения покупок и оплаты услуг. К тому же жители западных стран хранят большую часть сбережений в банках и для проведения операций с банковским счетом очень активно используют онлайн-банкинг или мобильный банкинг.

В то же время компьютеры в этих странах хорошо защищены и, следовательно, труднодоступны для злоумышленников. Пользователи здесь имеют навыки и знания, во многих случаях достаточные для предотвращения заражения компьютера. В частности, установка антивирусного программного обеспечения для американца или жителя Западной Европы стала частью элементарной гигиены компьютера.

Быстрая миграция пользователей Западной Европы и Северной Америки на новые версии операционных систем усложняет киберпреступникам задачу обхода защиты. Так, в первом полугодии 2012 более половины компьютеров (62,4%) в рассматриваемых странах работали под Windows 7, однако если за 100% взять все страны мира, то это значение будет на 6% меньше.

От версии к версии операционной системы встроенные средства защиты становятся все совершеннее; в современных ОС используется ряд механизмов, противодействующих вредоносным программам: DEP, ASLR, возможность устанавливать драйверы только с цифровой подписью и многое другое. К тому же большинство установленных на компьютеры операционных систем — лицензионные, благодаря чему они автоматически получают обновления, нередко являющиеся исключительно важными для безопасности.

Особенности вредоносных программ

Защищенность компьютеров в западных странах заставляет злоумышленников создавать новые весьма хитрые технологии. И главной особенностью вредоносных программ, распространяемых вирусописателями в этих регионах, является их технологическая сложность. Именно на европейских и североамериканских пользователях обкатываются основные новинки киберпреступного мира: технологии заражения и сокрытия в системе вредоносного кода и механизмы «добывания» денег.

Основная цель киберзлоумышленников в этом регионе — деньги пользователей, а средство их получения — троянские программы.

Условно все троянские программы, распространяемые в западных странах, можно разделить на четыре группы.


Распределение троянских программ по типам. Западная Европа и Северная Америка, H1 2012

Первая и самая многочисленная группа — троянцы, доставляющие на компьютеры другие вредоносные программы. Многочисленность таких троянцев обусловлена тем, что эти программы вирусописатели часто модифицируют, чтобы избежать детектирования антивирусами. Вокруг целевой доставки вредоносных программ развернулся отдельный теневой бизнес.

Наибольший интерес для злоумышленников представляют программы второй группы, которые отслеживают действия пользователей и крадут важную информацию. Среди них наиболее опасны троянцы, нацеленные на информацию для доступа к системам онлайн-банкинга, такие как Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes и Backdoor.Win32.Sinowal. В случае успешной атаки, проведенной с помощью одной из этих вредоносных программ, злоумышленники получают доступ к чужому банковскому счету и могут распоряжаться деньгами по своему усмотрению.

Еще одна группа — троянцы, под тем или иным предлогом вымогающие у пользователей деньги. К ним относятся фальшивые антивирусы и программы-блокеры.

Многофункциональные троянцы выполняют две и более функций одновременно. Например, они крадут данные и загружают другие вредоносные программы.

Деньги

Основные способы наживы Используемые вредоносные программы (классификация «Лаборатории Касперского»)
Кража финансовой информации
(Получение доступа к учетным записям, связанным с финансами: интернет-банкингу, PayPal, Ebay)
Trojan-Banker, Trojan-Spy, Backdoor
Установка и продажа лжеантивирусов Trojan-FakeAV
Кража аккаунтов к платным сервисам, онлайн-играм и службам (Steam, WoW, Facebook, Skype и т.п.) Trojan-PSW, Trojan-GameThief, Trojan-Spy
Кража персональных данных Backdoor, Trojan-Spy
Подмена результатов поиска, рекламы, накрутка кликов Trojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
Вымогательство Trojan-Ransom

Рассмотрим подробнее, как киберпреступники наживаются за счет пользователей, чьи компьютеры или мобильные устройства они смогли заразить.

Кража финансовой информации

Активное использование интернет-банкинга делает пользователей США, Канады и Западной Европы прекрасной мишенью для злоумышленников. В этом регионе распространены самые известные троянцы, собирающие информацию финансового характера:

  • Sinowal (Mebroot) — бэкдор, занимающийся кражей финансовой информации. Для закрепления в системе заражает первую загрузочную запись жесткого диска.
  • Zbot (ZeuS) — универсальный троянец, нацеленный на аккаунты многих банков. Вирусописатели активно занимаются его разработкой на основе исходных кодов второй версии, которые были выложены в интернете.
  • SpyEye — универсальный троянец, нацеленный на аккаунты многих банков. Конкурент Zbot (ZeuS), но исходников в свободном доступе нет.

В первой половине 2012 года на США, Канаду и страны Западной Европы в совокупности пришлось 70% всех атак Backdoor.Win32.Sinowal (Mebroot), 41% всех атак Trojan-Spy.Win32.SpyEye и почти четверть отраженных атак Trojan-Spy.Win32.Zbot.

Помимо доступа к банковским аккаунтам пользователей, киберпреступники активно интересуются аккаунтами в платежной системе PayPal и интернет-магазине Ebay: на эти системы приходится соответственно 34% и 9% от всех фишинговых атак. В обеих этих системах аккаунты привязаны к карточкам, что дает возможность злоумышленникам опустошать счета. К тому же, помимо учетной записи, фишеры обычно стараются выманить и другие личные данные, например номер социального страхования, дату рождения и код безопасности cvv2 от кредитки.

Европейские и американские банки и платежные системы все больше внимания уделяют этой проблеме и предлагают различные способы усиления защиты: авторизацию с помощью токенов, одноразовые пароли, подтверждение транзакций через коды, посылаемые на телефоны, и т.п. Однако злоумышленники разрабатывают программы, способные обойти и эту защиту. Примером является семейство зловредов Zitmo, атакующих мобильные телефоны пользователей и умеющих обходить двухфакторную систему авторизации европейских банков. Эти мобильные зловреды работают в паре с компьютерным троянцем Zbot (ZeuS): сначала Zbot ворует с зараженного компьютера логин и пароль пользователя для входа в систему онлайн-банкинга, а затем в момент перевода денег в игру вступает его мобильный собрат Zitmo, который пересылает коды авторизации транзакций (TAN) злоумышленникам.

Официальные данные дают представление о том, насколько велики суммы, полученные злоумышленниками в результате кражи финансовой информации. Пойманные в 2010 году мошенники, использовавшие Trojan-Spy.Win32.Zbot, всего за три месяца смогли снять 9 миллионов долларов более чем с 600 счетов. Но это лишь доказанная сумма ущерба. К тому же этим промышляют сразу несколько группировок, а значит, совокупные доходы киберпреступников за соответствующий промежуток времени больше означенной суммы в десятки раз.

Кража персональных данных

Очень важным видом деятельности киберпреступников на территории Северной Америки и Западной Европы является кража персональных данных пользователей. На хакерских форумах можно найти объявления о продаже баз данных клиентов различных магазинов и сервисов. Причем предложений очень много, из-за чего цены достаточно низкие — всего лишь несколько центов (при оптовой покупке) за данные об одном человеке. Отметим, что наиболее частая причина попадания информации о тысячах пользователей различных сервисов в руки хакеров — уязвимости и ошибки в настройке серверов и баз данных.

Наиболее распространенными уязвимостями, приводящими к утечке информации, являются SQL-injection, ошибки, дающие возможность прямого доступа к объектам на веб-сервере, и ошибки в системах аутентификации. Однако помимо уязвимостей, во многих случаях злоумышленники используют и ошибки в конфигурации веб-приложений, такие как неудаленные аккаунты, созданные по умолчанию, открытый доступ к директориям на сервере, хранение паролей и ценной информации в незашифрованном виде, неправильно заполненный robots.txt и т.д.

Наиболее очевидный способ использования этих данных — персонализированные атаки на пользователей. Такие атаки имеют больше шансов на успех: рассылка вредоносных или фишинговых писем, нацеленная на аккаунты определенного банка, будет эффективна только в том случае, если сообщение попадет в почтовые ящики клиентов именно этого банка.

Кроме того, персональные данные пользователей нужны для доступа к различным финансовым сервисам, поэтому они пользуются особым спросом у злоумышленников, занимающихся аферами с системами интернет-банкинга и кардингом.

Распространение лжеантивирусов

Практически все лжеантивирусы имеют англоязычный интерфейс, их мишенью в первую очередь являются пользователи западных стран. Весь «бизнес» фальшивок построен на том, что пользователи хотят быть защищенными и готовы платить за защиту компьютера достаточно большие деньги.

Распространяются фальшивые антивирусы через киберпреступные партнерские программы.


Динамика детектирования фальшивых антивирусов в США, Канаде и странах Западной Европы. 2011-2012

На территории Европы и Америки фальшивые антивирусы стали активно распространяться в начале 2011 года, в марте появились даже лжеантивирусы для Mac OS X, которые распространялись также через партнерские программы.

В июне 2011 года число атак лжеантивирусов достигло максимума («Лабораторией Касперского» обнаружено более 900 000 фальшивок), а затем пошло на спад и стабилизировалось на уровне начала года. Это совпало с арестом Павла Врублевского. Тогда же правоохранительные органы задержали членов двух преступных группировок, распространявших фальшивые антивирусы. В свою очередь поисковые системы стали более активно удалять вредоносные ссылки из выдачи.

Хотя в декабре 2011 — январе 2012 года был отмечен еще один всплеск атак лжеантивирусов, в дальнейшем их количество вернулось на прежний уровень.

В настоящее время лжеантивирусы перестали приносить мошенникам сверхприбыль, но дают стабильный доход, который вполне устраивает многих «партнеров». Насколько прибыльный этот бизнес, можно судить из того, что пойманная в Латвии в июне 2011 года группа киберпреступников, промышлявшая лжеантивирусами, по оценкам полицейских, за три года своей деятельности смогла обмануть около 960 000 пользователей и нанесла убытки в размере 72 миллионов долларов.

Подмена поисковой выдачи

Схема зарабатывания денег с использованием подмены выдачи или рекламы в поисковых системах в большинстве случаев также рассчитана именно на пользователей западных стран. По запросу пользователя в популярных поисковиках на первых местах в списке выдачи помещаются ссылки из рекламных сетей, а не реальные результаты поиска. Переходы по этим ссылкам оплачиваются рекламодателями, и доход от каждого клика идет киберпреступникам, которые подменили поисковую выдачу рекламными блоками.


Пример объявления на хакерском форуме о подмене выдачи для пользователей США, Канады, Великобритании и Австралии

Технически это реализуется с помощью троянских программ, которые изменяют настройки DNS-серверов/hosts-файлов таким образом, что все запросы пользователя в поисковых системах идут через серверы злоумышленников. На сервере происходит подмена ответа поисковой системы, в результате чего на страничке поисковой выдачи появляются ссылки, в которых заинтересованы злоумышленники.

Например, в конце 2011 года был обнаружен троянец Trojan-Downloader.OSX.Flashfake, который заражал компьютеры, работающие под управлением Mac OS X, и занимался подменой выдачи поисковых систем. Было выявлено более 700 000 зараженных машин, объединенных в ботнет, что составляет практически 1% пользователей Mac OS X. 84% всех зараженных компьютеров находились в Западной Европе и Северной Америке.


Trojan-Downloader.OSX.Flashfake TOP 10 стран, откуда были зафиксированы обращения зловреда к командным центрам

Еще одним примером троянца с таким функционалом может служить Backdoor.Win32.ZAccess (ZeroAccess), больший процент заражений которым приходится на США (27,7%) и Германию (11%).


Распространение троянца Backdoor.Win32.ZAccess, июль 2012

Минюст США предъявил одной из киберпреступных группировок обвинения в создании мошеннической схемы с использованием подмены поисковой выдачи. Из официальной информации правоохранительных органов следует, что за 5 лет незаконной деятельности с использованием вредоносной программы Trojan.Win32.DnsChanger злоумышленники смогли получить порядка 14 миллионов долларов.

Вымогательство под прикрытием

Последнее время в западных странах стали активно использоваться такие мошеннические программы, как троянцы-вымогатели, которые еще недавно были почти неизвестны за пределами СНГ. Принцип их работы довольно прост: после заражения они блокируют доступ к компьютеру, изменяя системные настройки или открывая свое окно поверх всех остальных.

В СНГ чаще всего встречаются блокеры двух видов: порноблокеры, которые требуют заплатить деньги за то, чтобы закрылось блокирующее работу окно с картинками непристойного содержания, и программы, которые блокируют саму загрузку ОС под предлогом использования на компьютере нелицензионного ПО.

В Европе эти уловки вряд ли сработают. В случае вымогательства законопослушный гражданин обратится в полицию, да и программное обеспечение у него, вероятнее всего, лицензионное. Поэтому злоумышленники придумали другой прием: они блокируют компьютер и якобы от имени полиции требуют оплатить штраф за посещение сайтов, содержащих детскую порнографию или сцены насилия над детьми.


Пример окна, которое открывает троянец-вымогатель, атакующий британских пользователей

На сегодняшний день известно несколько версий таких троянцев, которые используют имена и символику полиции Германии, Франции, Англии, Швейцарии, Голландии, Финляндии и Испании. К сожалению, выяснить, кто является получателем денег, очень непросто, поскольку для их перевода используются платежные системы Ukash, Epay, PayPoint, и отследить транзакции не всегда возможно. Заметим, что впервые в такой схеме Ukash была использована для получения денег от жертв троянца-шифровальщика GpCode, созданного на территории бывшего СССР.

Особенности распространения вредоносных программ

Чтобы совершить запуск вредоносной программы, злоумышленникам нужно сначала доставить ее на компьютер пользователя. Основные каналы распространения вредоносного кода повсюду в мире — это интернет и переносные носители информации. Как показало наше исследование, программы, проникающие через съемные носители информации, и классические вирусы, инфицирующие файлы, в описываемых регионах практически не работают. Антивирусные программы, установленные на большинстве компьютеров, просто не дают червям и вирусам заразить достаточное количество компьютеров для формирования самоподдерживающего процесса инфицирования, и вскоре он сам собой затухает.

Ниже на диаграмме показаны пути проникновения вредоносных программ на компьютеры пользователей в западных странах.


Векторы атак в Западной Европе и Северной Америке*, H1 2012

*Процент пользователей ЛК, атакованных через определенный канал, от всех атакованных пользователей ЛК в регионе.

Для атак на европейских и американских пользователей значительно эффективнее интернет. По нашим данным, 80% всех атакованных компьютеров в первом полугодии 2012 подверглись риску заражения в процессе веб-серфинга.

Первые две строчки рейтинга занимают Италия и Испания, которые попадают в группу повышенного риска заражения при интернет-серфинге (страны, где атакованных пользователей больше 40%).


Риск заражения через интернет*
H1 2012 по странам Северная Америки и Западной Европы

* Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

Все остальные страны, за исключением Дании, относятся к группе риска с показателем 21-40%, при этом в Швейцарии, Германии, Австрии и Люксембурге процент атакованных пользователей не превышает 30%. Дания, замыкающая список, относится к самым безопасным при веб-серфинге странам с показателем менее 20%.

Для того чтобы добиться заражения компьютеров пользователей в процессе интернет-серфинга, злоумышленники используют ряд действенных приемов:

  • Заражение легальных сайтов
  • Обман поисковых систем
  • Вредоносный спам в социальных сетях и твиттере

Заражение легитимных веб-ресурсов

Заражение легальных сайтов — это одновременно и самый опасный для пользователей и самый эффективный для злоумышленников прием. Злоумышленники тем или иным путем получают доступ к популярному сайту и вносят в его код небольшие изменения. Когда браузер посетителя сайта перебирает все ссылки в коде страницы и загружает их содержимое, строка с внедренным вредоносным кодом перенаправляет браузер на специально подготовленный сайт с эксплойтом — вредоносной программой, использующей уязвимости в легитимном программном обеспечении для проникновения на компьютер. При этом для пользователя атака проходит незаметно — легитимный сайт выглядит и работает, как обычно.

В таких атаках обычно используются эксплойт-паки, которые сначала ведут автоматический поиск уязвимых программ, установленных на компьютере, а затем отправляют на компьютер соответствующий эксплойт. Таким образом для достижения успеха киберпреступникам достаточно найти на машине хотя бы одно популярное и необновленное приложение.

Популярные эксплойты постоянно сменяют друг друга: в конце 2011 любимой лазейкой хакеров вместо Adobe Acrobat Reader и FlashPlayer стала Java, на которую были нацелены 4 из 5 наиболее часто используемых эксплойтов, а уже в первой половине 2012 вновь стали популярны эксплойты к продуктам Adobe.

TOP 5 эксплойтов, нацеленных на североамериканских и европейских пользователей

H2 2011

Название эксплойта Процент атакованных пользователей Уязвимое приложение
1 Exploit.Java.CVE-2010-4452.a 20,60% Oracle Java (JRE)
2 Exploit.JS.CVE-2010-4452.l 3,40% Oracle Java (JRE)
3 Exploit.JS.Pdfka.exr 3,00% Adobe PDF Reader
4 Exploit.JS.CVE-2010-4452.t 2,90% Oracle Java (JRE)
5 Exploit.Java.CVE-2010-0840.d 2,60% Oracle Java (JRE)

H1 2012

Название эксплойта Процент атакованных пользователей Уязвимое приложение
1 Exploit.JS.Pdfka.fhh 20,10% Adobe PDF Reader
2 Exploit.SWF.CVE-2011-0611.bt 10,80% Adobe Flash Player
3 Exploit.Java.CVE-2011-3544.ct 6,90% Oracle Java (JRE)
4 Exploit.JS.Agent.blb 5,60% Oracle Java (JRE)
5 Exploit.JS.Pdfka.fhp 4,70% Adobe PDF Reader

Обман поисковых систем

Второй распространенный прием — обман поисковых систем (Black Hat SEO). В результате применения этой технологии специально созданные сайты, содержащие вредоносный код, выводятся на первые строчки в поисковой выдаче.

Работники компаний, разрабатывающих поисковые машины, следят за тем, чтобы поиск был релевантным. Поэтому выводить вредоносные сайты в топ поисковой выдачи по запросам, задаваемым ежедневно, слишком хлопотно и, вероятно, неприбыльно. Злоумышленники нашли более эффективный способ: они оптимизируют свои сайты под запросы по горячим темам, т.е. под запросы, которые актуальны в краткий промежуток времени (например, кончина какого-либо известного лица или название нашумевшего фильма), и чистоту выдачи по которым не успевают проверить работники поисковых систем.

Спам

Спам в социальных сетях и твиттере — очень популярный у злоумышленников способ распространения вредоносных ссылок. В таком спаме тоже нередко используются горячие темы.

Недавно киберпреступники, атакующие пользователей западных стран, заново открыли для себя спам в электронной почте как способ доставки «опасных» грузов. В настоящее время почта в западных странах используется в основном для подтверждения регистрации в различных сервисах и коммуникации с банками, пенсионными фондами, магазинами, государственными организациями и так далее. Поэтому письма со зловредами злоумышленники маскируют под официальные уведомления от таких организаций. В первом полугодии 2012 среднемесячный процент сообщений с вредоносными вложениями от всех электронных сообщений колебался на уровне 2,8-4,3%, что значительно больше средних показателей последних трех лет.

Согласно нашей статистике, в первой половине 2012 года среди всех источников заражений доля электронной почты составила 2,5%. При этом учитывались только письма с вредоносными вложениями и скриптами (письма с опасными ссылками классифицируются как веб-атаки), и не учитывались письма, получаемые пользователями в почтовых веб-клиентах.

Инфраструктура злоумышленников

Киберпреступления невозможны без современной инфраструктуры: серверов управления, площадок распространения вредоносных программ, прокси-серверов, ботнетов. Все эти составляющие также имеют географическую специфику.

Вредоносные хостинги

В странах Западной Европы, США и в Канаде сильная законодательная база для борьбы с вредоносным контентом. Но как это ни парадоксально, в этих странах во втором полугодии 2012 года было расположено 69% всех вредоносных хостингов: то есть существенно больше половины вредоносных программ в интернете распространяется с серверов из этих регионов.


Распределение вредоносных хостингов по странам в 2010 – H1 2012 годах

Этому есть свое объяснение. Во-первых, в западных странах сосредоточено подавляющее большинство дата-центров в мире, которые предоставляют отказоустойчивый хостинг. Многие проекты выбирают именно такие хостинг-площадки. Киберпреступники взламывают такие серверы и получают качественный хостинг. Еще одно важное преимущество использования этих серверов заключается в том, что в ходе атаки заражение компьютера пользователя происходит с легального сайта, и это существенно затрудняет защиту.

Во-вторых, отличить киберпреступный сервер от обычного провайдеру очень и очень непросто. Поэтому хакеры без особых проблем пользуются услугами легальных провайдеров. Хотя хостинг в западных странах недешевый, доходы киберпреступников позволяют им выбирать качественные хостинг-площадки.

Доменные зоны

Для распространения зловредов злоумышленникам нужны не только физические серверы, но и доменные имена сайтов. Наибольшей популярностью у них пользуются имена сайтов в доменных зонах net, com, info и org. На эти зоны приходится 44,5% отраженных атак с вредоносных сайтов на пользователей из Северной Америки и Западной Европы.

Однако существует и множество национальных доменных зон, которые активно используют киберпреступники.


Top 15 национальных доменных зон, где расположены вредоносные сайты,
с которых производились атаки на североамериканских и западноевропейских пользователей

Пользователи из США, Канады и Западной Европы активно перенаправляются для заражения на сайты в доменных зонах Индии (.in), России (.ru) и Кокосовых островов (co.сс). Причем доменная зона co.cc, где можно зарегистрировать домен бесплатно, настолько замусорена, что в 2011 Google принял решение не индексировать сайты в ней, однако бесплатные домены все равно привлекают злоумышленников.

На четвертом и пятом местах расположились сайты в доменных зонах Испании (.com.es) и Италии (.it). Доменная зона Черногории — .me — выглядит так же, как английское «я», поэтому содержит множество англоязычных сайтов, таких как love.me. Похожая ситуация и с доменной зоной Италии (.it): многие компании используют английское «it» как часть названия сайта (do.it, get.it и т.п.). Поэтому сайты, взломанные или созданные злоумышленниками в этих доменных зонах, нацелены как на местных, так и на англоязычных пользователей.

Доменные зоны Европейского Союза (.eu), Германии (.de) и США (.us) замыкают десятку наиболее часто используемых злоумышленниками национальных доменных зон для атак на жителей Западной Европы и Северной Америки.

Ботнеты

Еще одной важной частью киберпреступной инфраструктуры в этом регионе являются ботсети, работающие в связке с партнерскими программами.

Партнерки — это схема, используемая киберпреступниками, при которой существует четкое разделение труда: есть разработчики вредоносных программ и их заказчики, готовые платить деньги за распространение зловредов; есть исполнители, которые распространяют вредоносные программы за деньги; есть организаторы партнерки, которые создают площадку для взаимодействия всех перечисленных групп.

Многие ботнеты являются огромной инсталляционной базой для других вредоносных программ. Боты разрабатываются специально для загрузки на зараженные ими компьютеры других зловредов по заказу «клиентов». Они могут скрывать присутствие загруженных программ в системе и иметь различные дополнительные «фишки». Примером такого бота может служить нашумевший TDSS, доставляющий на зараженный компьютер банкеры, dns-чейнджеры, лжеантивирусы. В 2011 году 41,5% зараженных TDSS компьютеров было расположено на территории Северной Америки и Западной Европы.

Заказчик может выбрать конкретные страны, в которых он хочет распространять свою вредоносную программу. Кстати, на первом месте по стоимости (и очевидно по ценности для киберпреступников) — установка в Европе и США, где заражение 1000 машин стоит около $100-150. Для сравнения: заражение компьютеров пользователей в Азии стоит в 10 (!) раз дешевле.

Заключение

Большинство стран Северной Америки и Западной Европы занимает первые строчки в рейтингах проникновения интернета, в них практически все хранят свои деньги на банковских счетах и для оплаты товаров и услуг онлайн активно пользуются карточками, привязанными к этим счетам.

Киберпреступники наживаются на пользователях рассматриваемых регионов в первую очередь с помощью кражи финансовой информации, за счет обмана пользователей и вымогательства денег. В этом регионе расположено большое количество компьютеров, зараженных ботами, которые собирают финансовые данные, распространяют лжеантивирусы и подменяют трафик пользователей. Цифры лишь подтверждают это: более 70% атак ботов Sinowal, более 40% атак ботов SpyEyes, собирающих финансовую информацию, и 67% случаев обнаружения лжеантивирусов в первом полугодии 2012 года пришлось на пользователей именно этого региона.

Зато если смотреть на инфраструктуру злоумышленников, то мы четко видим, что ботнетов, делающих черновую работу, такую как рассылка спама, DDoS-атаки, сокрытие сайтов злоумышленников здесь не так и много. (Где расположена основная часть компьютеров, выполняющих все эти действия, мы расскажем в следующей статье.)

Внедрение новых версий операционных систем в этих странах происходит быстрее, чем в других регионах мира, на многих компьютерах установлены антивирусные программы, правоохранительные органы ведут активную борьбу с киберпреступниками. Однако повышенная, по сравнению с другими странами мира, сложность проникновения вредоносных программ на компьютеры не останавливает киберпреступников, и они создают и обкатывают более изощренные технологии. Наиболее сложные троянцы на сегодняшний день (если, конечно, не брать в расчет программы, созданные спецслужбами) функционируют на территории именно этого региона. Пользователи Mac OS X, увы, тоже оказались под ударом: во время эпидемии mac-троянца FlashFake более 80% заражений пришлось на компьютеры в США, Канаде и странах западной Европы.

В этих регионах злоумышленники используют взломанные сайты и надежные хостинги для организации командных серверов и распространения вредоносных программ. Почти 70% попыток загрузки зловредов происходит с серверов, физически расположенных на территории западных стран.

Наше исследование показало, что в западных странах интернет используется злоумышленниками как основной вектор атаки. 80% всех отмеченных в регионе атак были организованы через Web. В результате по итогам первого полугодия более 40% компьютеров пользователей в Италии и Испании подверглись риску заражения в ходе интернет-серфинга, в Англии — 37% , во Франции — 36%, в Германии — 29%. За океаном дела обстоят примерно также: в США — 39% пользователей KSN хоть раз подвергались атаке через интернет, в Канаде — 37%.

Если прогнозируемый экономический кризис все же случится, то он повлияет и на ситуацию с кибербезопасностью в рассмотренных странах. В результате количество атакуемых компьютеров может увеличиться, а вот их защищенность наоборот снизится, так как люди будут экономить на обновлении компьютеров и покупке новых версий программ.

В обозримом будущем рост популярности банковских услуг у владельцев смартфонов и планшетов в сочетании с тем, что большое количество мобильных устройств не имеет антивирусной защиты, сделает сферу мобильного банкинга новым вектором атак для злоумышленников. При этом очевидно, что наиболее вероятной целью атак станут устройства под управлением Android OS.