Zagrożenia internetowe II kw. 2010

Przeczytaj także: Kaspersky Lab: zagrożenia internetowe I kw. 2010

Ataki za pośrednictwem portali społecznościowych

Portale społecznościowe stanowią popularne medium wymiany informacji. Również wśród cyberprzestępców cieszą się coraz większym zainteresowaniem: wykorzystują je do przeprowadzania oszustw, rozsyłania spamu oraz rozprzestrzeniania szkodliwego oprogramowania. W dalszej części artykułu skupię się na najbardziej interesujących incydentach dotyczących portali społecznościowych, jakie miały miejsce w drugim kwartale.

Rozprzestrzenianie szkodliwego oprogramowania

W ostatnim czasie zaobserwowaliśmy aktywne rozprzestrzenianie zawartych w spamie odsyłaczy prowadzących do portali społecznościowych. Z czasem portale społecznościowe mogą zastąpić pocztę elektroniczną pod względem rozprzestrzeniania szkodliwego oprogramowania.

Przykładem może być Brazylia, gdzie do niedawna trojany bankowe były rozprzestrzeniane głównie za pośrednictwem poczty elektronicznej. Najwyraźniej brazylijscy cyberprzestępcy zadali sobie sprawę, że portale społecznościowe lepiej nadają się do tego celu: od początku tego kwartału na portalach społecznościowych rozprzestrzeniany był aktywnie spam skierowany przeciwko brazylijskim klientom banków.

Skuteczność wysyłek spamowych za pośrednictwem portali społecznościowych potwierdzają liczby. W zaledwie jednym ataku spamowym za pośrednictwem Twittera w ciągu tylko jednej godziny ponad 2000 użytkowników kliknęło przesłany im odsyłacz.

Na Twitterze miał miejsce również incydent związany z iPhonem. 19 maja administratorzy portalu oficjalnie poinformowali o nowej aplikacji „Twitter for iPhone”. Cyberprzestępcy postanowili wykorzystać zainteresowanie tym tematem. Po niecałej godzinie od opublikowania tego newsa Twitter pękał od wiadomości zawierających słowa kluczowe „Twitter iPhone application” oraz odsyłacze do szkodliwego programu Worm.Win32.VBNA.b.

Szkodnik ten jest interesujący z kilku względów. Po pierwsze, robak posiada stosunkowo dobry mechanizm auto-ochrony: w celu wyłączenia niektórych programów systemu Windows wykorzystuje sztuczki przeciwdziałające emulacji i rozprzestrzenia się za pośrednictwem urządzeń USB. Po drugie, jego główna funkcja polega na kradzieży informacji wymaganych do przeprowadzenia transakcji bankowych. Wiadomość wykorzystywana do rozprzestrzeniania robaka nie została wybrana przypadkowo: większość użytkowników smartfonów posiada konta bankowe i karty, które są głównym celem cyberprzestępców. Jeżeli weźmiemy to wszystko pod uwagę, nie powinno nas dziwić, że celem około jednej trzeciej wszystkich ataków wykorzystujących VBNA.b (27-33%) były maszyny znajdujące się w Stanach Zjednoczonych. Nieustannie trzeba mieć się na baczności – obecnie oszuści internetowi wykorzystują do swoich celów każdą aktualną informację. Jeżeli posiadacie coś, co mogłoby zainteresować cyberprzestępców, nie klikajcie bezmyślnie każdego odsyłacza, który jest rozsyłany za pośrednictwem Internetu.

Likejacking

Oszustwa związane z klikalnością zawsze stanowiły lukratywne źródło dochodów cyberprzestępców, a wraz z pojawieniem się portali społecznościowych, z których najpopularniejsze mają tyle samo użytkowników co populacja największych państw na świecie, stały się jeszcze bardziej dochodowe.

W maju w odpowiedzi na nową funkcję na Facebooku – „Like” - miał miejsce nowy atak. Jak możne się łatwo domyślić, funkcja ta ma związek z listą rzeczy, które właściciel konta „lubi” w Internecie. Ofiarą tego ataku, określonego jako “likejacking” (analogicznie do clickjacking), padły tysiące użytkowników.

Na czym polegał ten atak? Na Facebooku umieszczano zachęcający odsyłacz, np. “MISTRZOSTWA ŚWIATA 2010 W HD” lub “101 najseksowniejszych kobiet na świecie”. Odsyłacz ten prowadził do specjalnie stworzonej strony, na której skrypt Javascript umieścił niewidzialny przycisk „Like” (lubię) w miejscu kursora. Przycisk podążał za kursorem, a efekt był taki, że użytkownik wciskał go niezależnie od tego, co kliknął. W rezultacie kopia tego odsyłacza została dodana do Ściany, a informacja o tym, że użytkownik lubi ten odsyłacz, pojawiła się na stronach jego przyjaciół. Atak miał efekt kuli śniegowej: odsyłacz ten klikali przyjaciele zainfekowanego użytkownika, następnie przyjaciele ich przyjaciół i tak dalej.