Coraz większe zagrożenie wirusami

Przeczytaj także: Ataki internetowe w 2004r.

Rosnąca popularność phishingu

W lipcu magazyn „Financial Times Deutschland” doniósł, że w wyniku tzw. phishingu, tj. ataków polegających na wykradaniu poufnych informacji od klientów, niemieckie banki straciły 70 mln euro. Skala tego zjawiska rośnie bardzo szybko – biorąc pod uwagę straty zanotowane w jednym tylko kraju można łatwo stwierdzić, że phishing to złoty interes dla światka przestępczego.

Coraz większemu rozpowszechnieniu tego zjawiska towarzyszy jednak wzmożona aktywność organów ścigania. W związku z tym miejsce zakrojonych na szerszą skalę ataków wymierzonych przeciw klientom takich instytucji, jak Citibank, serwisów eBay i Paypal czy amerykańskiej witrynie Bankhave - zajęły bardziej ukierunkowane ataki przeciwko mniejszym podmiotom, mające na celu dotarcie do użytkowników, którzy nadal dadzą się oszukać i odpowiedzą na fałszywy list elektroniczny. W ten sposób doszło do serii ataków na niemieckie banki, a w szczególności Deutsche Bank i Postbank, w których rezultacie obie instytucje postanowiły wprowadzić hasła jednorazowe do autoryzacji transakcji przeprowadzanych przez Internet.

Istnieją pewne przesłanki pozwalające sądzić, że organizacje przestępcze stojące za phishingiem szybko zmieniają cele, poszukując kolejnych ofiar w różnych miejscach na świecie. Początkowo działania tego rodzaju miały miejsce w Stanach Zjednoczonych, a następnie w Australii i Wielkiej Brytanii. W Niemczech pojawiły się listy w języku niemieckim, a na początku 2005 r. w Danii wykryto przypadki phishingu w języku duńskim.

Krótko potem, w sierpniu, doszło do zakrojonego na szeroką skalę ataku na bank Nordea w Szwecji. Nordea to największy bank w krajach skandynawskich, w ramach którego działa jeden z największych banków internetowych z 4 mln klientów w 8 krajach. W tym konkretnym przypadku sprawca wysłał dużą liczbę podrobionych listów elektronicznych z odsyłaczami do fałszywej witryny banku. Atak odbył się w języku lokalnym, jednak tym razem celem oszustwa było złamanie systemu haseł jednorazowych Nordei. System wykorzystywany przez Nordeę obejmuje kartę-zdrapkę, na której odkrywa się kolejno pola z kodami PIN potrzebnymi do logowania. Atak na tego rodzaju witrynę jest zdecydowanie trudniejszy niż atak na bank, w którym uwierzytelnianie odbywa się w oparciu o numer rachunku i stały, czterocyfrowy kod PIN (jak to miało miejsce w Niemczech).

Typosquatting – pułapka na nieuważnych

Na początku roku zaobserwowano przypadki tzw. typosquattingu, który polega na tworzeniu witryn o nazwie zbliżonej do legalnych. Użytkownicy serwisu Google, którzy przypadkiem wpisali nazwę z błędem – „googkle” – byli kierowani do szeregu witryn zainfekowanych całą masą złośliwych programów. Jesienią doszło do jeszcze poważniejszego ataku tego rodzaju. Choć atak nie był zaskoczeniem, imponująca okazała się liczba domen stworzonych w celu oszukania nieświadomych użytkowników – powstało ich aż 150, w tym wiele związanych z firmami specjalizującymi się w ochronie danych.

Wśród fałszywych witryn znalazły się między innymi „www-f-secure.com” i „wwwf-secure.com”, prowadzące obecnie pod adres „nortpnantivirus.com”. Na szczęście akurat ta witryna nie jest wykorzystywana do phishingu lub umieszczania na komputerach koni trojańskich. Inne fałszywe witryny związane z producentami zabezpieczeń to między innymi „f-secue.com”, „mesagelabs.com”, „mcafeeantiviru.com”, „bitdefneder.com”, „pestpatorl.com”, „wwwbullguard.com”, „pandafirewall.com”, „sendamil.org” oraz „centralcomand.com”.

Zamachy terrorystyczne, katastrofy naturalne i inne tragiczne zdarzenia losowe.

Rok ten charakteryzuje duża liczba katastrof naturalnych i aktów terrorystycznych, które miały miejsce na całym świecie. Warto odnotować zależność, która wówczas się pojawiła – członkowie cybergangów coraz liczniej wykorzystywali cudze cierpienie w celu uzyskania korzyści finansowych.

Po tragicznych atakach na wieże w Nowym Yorku pojawił się robak wykorzystujący to wydarzenie w celu rozprzestrzeniania się jako załącznik do listu. Już dwa tygodnie po zamachach w skrzynce można było znaleźć e-mail zatytułowany W32/Vote.A@mm. Rok później pojawiła się jego mutacja o nazwie W32/Chet@mm, przenosząca się znacznie szybciej, co spowodowało zakwalifikowanie jej przez firmę F-Secure do kategorii jednych z najgroźniejszych.

Podobna sytuacja miała miejsce po zamachach w londyńskim metrze. Wykryto wówczas Trojana ukrywającego się w załączniku do maila, który miał zawierać film ze szczegółami wydarzenia. W rzeczywistości w pliku ZIP o nazwie London Terror Movie.avi Chaced By Horton Antivirus .exe firma F-Secure wykryła Trojana SpamTool. Win32.Delf.h .

We wrześniu pojawiły się doniesienia o niepożądanych wiadomościach (spamie) zatytułowanych np. „Huragan Katrina zabił aż 80 osób”. Jedna z tego rodzaju wiadomości pozornie zawierała artykuł prasowy na temat zniszczeń wyrządzonych przez huragan Katrina, lecz w rzeczywistości jej celem było skierowanie użytkownika pod adres „nextermest.com”. Witryna ta była tylko atrapą, która po odświeżeniu odsyłała do strony próbującej umieścić na komputerze konia trojańskiego Trojan-Downloader.JS.Small.bq.