Raport o zagrożeniach internetowych za Q1 2010

Miejsce to pierwotnie było przeznaczone głównie pod informacje systemowo-administracyjne, jednak trudno oddzielić takie newsy od całej reszty – przecież kwestia bezpieczeństwa oraz trendy w tej dziedzinie wyznaczają niejako nasze zachowania i działania, jakie chcemy lub nawet musimy podejmować. Panda Security (obchodzi w tym roku swoje 20-lecie!) jest znana z kwartalnych raportów, które bardzo szczegółowo analizują strefy zagrożeń, określają ją ilościowo i jakościowo. Przyjrzyjmy się najważniejszym elementom tego raportu za pierwszy kwartał 2010r.

Pierwsze słowa raportu to określenie dwóch najważniejszych wskaźników:

- wzrost przestępczości internetowej od roku 2008: 22,3% (667% od 2001)
- szacowane straty w wyniku przestępstw internetowych: 265 mln dolarów w 2008.

Jak szacuje raport, tylko w ostatnim kwartale 2009 roku firmy straciły 120 mln dolarów w atakach typu phishing oraz w wyniku działania Trojanów, które wykradają dane do logowania do banków. Doskonałym dowodem na to jak rosną straty związane z tą formą przestępczości jest wykres strat liczone w mln dolarów w podziale na lata (zgłoszone tylko poprzez IC3):

Przyjrzyjmy się również, jak to wygląda w skali światowej, czyli TOP10 przestępców w podziale na kraje:

Widać, że w tym zestawieniu nie ma jeszcze Polski, nie zmienia to jednak faktu, że przestępczość taka istnieje i zbiera swoje żniwo również u nas. Zresztą przeglądając szczegóły raportów IC3 widać wyraźnie, że wśród poszkodowanych jest także wiele Niemców, gdzie poszkodowanych zgłaszających się jest bardzo dużo (7-me miejsce w świecie!) – sprawa jest więc bardzo poważna.

Panda Security zwraca także uwagę na rosnąco liczbę oszustw, które coraz ciężej odróżnić od reklam, które bazują na współczuciu ludzkim. Pojawia się coraz więcej pseudo-fundacji i instytucji charytatywnych, które „zbierają” pieniążki w zbożnym celu. Taki odnotowanym incydentem były reklamy tuż po trzęsieniu ziemi w Haiti:

Niestety należy zauważyć, że także w Polsce, jeszcze w zeszłym tygodniu pojawiły się „sępy”, które postanowiły zarobić na tragedii lotniczej: wystawiali księgi (jeśli w ogóle były gdzieś później widoczne?) pamiątkowe, do których można było się wpisać tylko przy pomocy płatnych SMSów. Podobnie także konstruowane są wiadomości spamowe, które liczą na dofinansowywanie przez naiwnych (niestety tak trzeba nazwać to zjawisko, choć coraz trudniej nie-być naiwnym).

Co więcej! Obecnie każde wydarzenie typu premiera urządzenia jest mocno obstawiane przez naciągaczy poprzez takie reklamy, które sugerują, że można nabyć nowe urządzenia za atrakcyjną cenę. Oto przykłady takich naciągaczy-reklam:

Aktualny wzrost pupularności Facebook’a sprawił, że także tu zwróciły się oczy przestępców. Pojawiły się już pierwsze udane ataki w formie wiadomości, które wspominają o byłej dziewczynie i jej fotografii, która prowadziła już na manowce i wprost do infekcji. Ataków przybywa i w byłym kwartale było wiele – należy się więc spodziewać przyrostu tego typu zagrożenia (więcej szczegółów w raporcie).

Przy okazji tak istotnych tematów, warto także wspomnieć, że większość problemów bierze się z lenistwa użytkowników, tudzież administratorów. Tak jak to miało (i nadal ma miejsce) w przypadku dziury w IE (KB979352). Atak nazwano „Aurora” i polegał na niezauważalnym instalowaniu Trojana, który wykradał poufne dane (również pliki!). Dane przesyłał z pomocą szyfrowanego połączenia do serwerów w Teksasie oraz Tajwanie. Wykrycie tych serwerów jest niezwykle trudne, bo korzystają z technologii dynamicznych DNSów (szczegóły techniczne w raporcie: http://www.hbgary.com/wp-content/themes/blackhat/images/hbgthreatreport_aurora.pdf). Atak nadal funkcjonuje i nadal jest aktywny – polecamy więc aktualizować swoje komputery tak często jak to możliwe (to taka porada przy okazji :) ).

Panda Security w swoim raporcie wskazuje na stale istniejący problem sieci botnet. Jest to jeden z większych problemów przestępczości internetowej: stale ponad milion komputerów jest zainfekowana różnej maści trojanami, które stanowią szkielet tychże sieci. Dlaczego są tak uciążliwe? To właśnie dzięki (lub przez nie!) wysyłanych jest ponad 90% wiadomości spamowych, to przez nie prowadzone są ataki DoS i DDoS, to przez nie wykradane są dane poufne i loginy od użytkowników a co za tym idzie również dane bankowe i pieniążki z tychże kont. Zwrócono uwagę na działania Microsoftu, który swoją jedną poprawką „położył” 277 domen używanych w sieciach botnet (szkoda tylko, że spotkało się to z taką niechęcią wśród użytkowników).

Warto zwrócić uwagę, na jeszcze jedno działanie, które przyczyniło się do zamknięcia jednej z większej sieci botnet, zwanej Mariposa. Na początku marca b.r. wyłączono tę sieć a trzech podejrzanych aresztowano. Była to sieć, która objęła swoim działaniem niemal cały świat. W ostatnich swoich dniach życia sieć zawierała wpisy ponad 12 mln IP!!! Sieć obejmowała 190 państw, ponad 1000 firm (o których wiadomo!) i ponad 800 tys. użytkowników padło ofiarą strat materialnych!!! To była największa sieć botnet o jakiej wiemy. Rozmiar jednak daje do myślenia i potwierdza, że to nie są mrzonki a przestępczość internetowa to realne zagrożenie dla naszych danych i dla naszych zasobów finansowych (tak w formie zaoszczędzonej jak i liczonej jako straty). Więcej szczegółów o akcji wyłączenia sieci w raporcie.

Pojawiają się także nowe narzędzia, które pozwalają pisać strony (lub programy) wykorzystujące najnowsze dziury bez konieczności posiadania zaawansowanej wiedzy w tym temacie. Narzędzia te pochodzą z Chin (znowu!?). Obecność takich narzędzi może już nie jest nowością, jednak należy zaznaczyć, że ich pojawianie się mocno zwiększy ilość zagrożeń czyhających na nas w Internecie.

To teraz czas na trochę statystyk. Zestawienie nowych zagrożeń, które pojawiły się w Q1 2010:

Gdzie mamy najwięcej infekcji (także za pierwszy kwartał b.r.):

I na koniec zestawienie najbardziej spamujących krajów (niestety Polska też tu jest):

Źródło: http://www.pandasecurity.com/img/enc/Quarterly_Report_Pandalabs_Q1_2010.pdf