Jakie pułapki zastawiają cyberprzestępcy?

Przeczytaj także: Hakerzy udają firmy kurierskie. Jak poznać oszustwo na dostawę towaru?

Podczas ataków ukierunkowanych, gdy cyberprzestępcy biorą na swój celownik konkretną organizację, szkodliwa wiadomość może podszywać się pod list od zwykłego korespondenta: adres zwrotny, treść i podpis mogą być takie same jak w przypadku prawdziwego listu, np. od partnera firmy. Otwierając załączony dokument o nazwie w rodzaju: „invoice.docx" użytkownicy ryzykują, że ich komputer zostanie zainfekowany.

„Czarna” optymalizacja wyników wyszukiwania

SEO (ang. Search Engine Optimization) to zestaw technik służących do zwiększenia pozycji strony w wynikach wyświetlanych przez wyszukiwarki. Użytkownicy często korzystają z wyszukiwarek, aby znaleźć niezbędne informacje lub usługi, dlatego im łatwiej można znaleźć daną stronę, tym więcej będzie miała odwiedzających.

Oprócz legalnych metod optymalizacji, czyli tych, które są dozwolone z punktu widzenia wyszukiwarek, istnieją również zakazane techniki, które „oszukują” te serwisy. Strona może „promować się” za pomocą botnetu – tysiące zainfekowanych komputerów wysyłają określone żądania wyszukiwana i wybierają daną szkodliwą stronę, podnosząc jej pozycję. Sama strona może przyjmować różny wygląd w zależności od tego, kto ją odwiedza: jeśli jest to robot wyszukiwania, zostanie wyświetlona strona odpowiednia do zapytania, jeśli natomiast jest to zwykły użytkownik, zostanie przekierowany na szkodliwą stronę.

Odsyłacze do strony są również rozprzestrzeniane przy użyciu specjalnych narzędzi na forach oraz innych znanych wyszukiwarkom stronach, co zwiększa rating strony, a w efekcie, jej pozycję w wynikach wyszukiwania.

Strony, które wykorzystują „czarną” optymalizację wyników wyszukiwania, są zwykle aktywnie blokowane przez administratorów wyszukiwarek. Z tego powodu tworzy się ich setki przy użyciu automatycznych instrumentów.

Zainfekowane legalne strony

Czasami w celu rozprzestrzeniania swoich programów cyberprzestępcy infekują popularne legalne strony. Mogą to być często odwiedzane portale informacyjne, sklepy internetowe lub agregatory informacje.

Istnieją dwa popularne sposoby infekowania stron. Jeśli na atakowanej wirtynie została wykryta luka w oprogramowaniu, można wprowadzić do niej szkodliwy kod (na przykład poprzez wstrzykiwanie SQL). W pozostałych przypadkach przestępcy uzyskują dane uwierzytelniania z komputera strony administratora przy użyciu jednego z wielu trojanów szpiegujących lub phishingu i socjotechniki i przejmują kontrolę nad stroną. Będąc pod kontrolą przestępców, strona może zostać zainfekowana w ten czy inny sposób. Najprostszym podejściem jest wykorzystywanie ukrytego znacznika iframe zawierającego odsyłacz do szkodliwego zasobu dodawanego do kodu HTML strony.

Kaspersky Lab każdego dnia rejestruje tysiące legalnych stron, które pobierają szkodliwy kod na komputery odwiedzających je osób bez ich świadomości. Wśród najbardziej znanych przypadków znajduje się trojan Lurk znaleziony na stronie agencji informacyjnej RIA Novosti i gazeta.ru, jak również zainfekowanie PHP.Net.

Osoby odwiedzające zainfekowaną stronę są atakowane przy użyciu ukrytych ataków drive-by-download. Infekcja pozostaje niezauważona przez użytkowników i aby mogło do niej dojść ofiary nie muszą niczego pobierać ani aktywować. Ze strony pobierany jest automatycznie exploit, lub zestaw exploitów, i jeśli atakowana maszyna posiada niezałatane oprogramowanie, zostaje uruchomiony szkodliwy plik wykonywalny.

Pakiety exploitów

Najskuteczniejszym narzędziem infekowania komputerów jest pakiet exploitów, taki jak Blackhole. Pakiety exploitów stanowią gorący towar na czarnym rynku: są rozwijane na zamówienie lub do szerokiej sprzedaży. Ponadto, są wspierane i uaktualniane przez ich twórców. Cena zależy od ilości oraz „świeżości” exploitów w pakiecie, łatwości administrowania, jakości wsparcia, regularności aktualizacji oraz chciwości sprzedającego.

Ponieważ ataki tego typu są przeprowadzane za pośrednictwem przeglądarki, exploity muszą wykorzystywać lukę w zabezpieczeniach samej przeglądarki, dodatków dla niej, albo oprogramowania osób trzecich, które jest ładowane przez przeglądarkę w celu obsługi treści. Jeśli jeden z takich exploitów zostanie skutecznie wykorzystany, na maszynie ofiary zostanie uruchomiony szkodliwy plik.