| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Crimeware, nowe zagrożenia

Crimeware, nowe zagrożenia

Tym razem autor artykułu, skoncentrował się na rywalizacji o kontrolę pomiędzy "finansowym" szkodliwym oprogramowaniem, zwanym crimeware, a branżą antywirusową. Ponadto, przyjrzał się konfrontacji cyberprzestępcami, a sektorem finansowym.

W artykule nie zostały omówione metody infekowania komputerów użytkowników ani inne taktyki, takie jak phishing czy socjotechnika, stosowane przez cyberprzestępców do atakowania organizacji finansowych. Zagadnienia te nadal są aktualne, jednak zostały szczegółowo omówione w artykułach opublikowanych wcześniej, na przykład tutaj: http://www.viruslist.pl/analysis.html?newsid=510.

Celem tego artykułu jest odpowiedź na pytanie - czy w obecnych warunkach można skutecznie zatrzymać falę szkodliwego oprogramowania atakującego branżę finansową? Artykuł ten jest przeznaczony głównie dla ekspertów i specjalistów pracujących w instytucjach finansowych, jak również specjalistów z dziedziny IT zainteresowanych tym tematem.

Zanim przejdę dalej, chciałbym podkreślić, że rankingi organizacji finansowych zawarte w tym artykule nie odzwierciedlają ich wiarygodności (lub jej braku). Rankingi te często opierają się na popularności systemu, na którym pracuje użytkownik. Wnioskowanie o wiarygodności systemu bezpieczeństwa banku na podstawie materiałów przedstawionych w tym artykule byłoby niewłaściwe.

Coraz częściej słyszymy o udanych atakach cyberprzestępców na klientów organizacji finansowych. Ataki wykorzystujące szkodliwe oprogramowanie zwykle przeprowadzane są według utartego schematu: poszukiwanie odpowiedniej ofiary i infekcja komputera, kradzież danych umożliwiających logowanie do systemów bankowości online, a następnie pobranie środków z konta ofiary.

Doskonałym przykładem takiego szkodliwego oprogramowania jest szkodnik (zestaw narzędzi) należący do rodziny Zbot, znany również jako ZeuS.
Jest to szkodliwe narzędzie do kradzieży danych uwierzytelniających podczas logowania się użytkownika do kont bankowych online. ZeuS był bardzo aktywny przez cały 2009 rok i nadal stanowi poważne zagrożenie, najwyraźniej śmiejąc się w twarz specjalistom bezpieczeństwa IT, którzy wiele razy próbowali zdjąć botnety ZeuSa . Nadal działa ponad 700 centrów kontroli tego botnetu, z których każde kontroluje średnio dwadzieścia do pięćdziesięciu tysięcy zainfekowanych komputerów. Na podstawie tych danych możemy się jedynie domyślać, jaka jest liczba potencjalnych ofiar. Dodajmy, że te centra kontroli są rozsiane po całym świecie.

Tak duży zasięg geograficzny centrów kontroli zapewnia botnetowi długowieczność. Jak pokazuje doświadczenie, nie wystarczy zamknąć kilka stron hostingowych, aby niszczyć botnet. 9 marca Roman Husse, który monitorował botnet przy użyciu narzędzia ZeuS Tracker, zauważył gwałtowny spadek liczby centrów kontroli i stwierdził, że ma to związek z "odłączeniem" dostawcy usług internetowych o nazwie Troyak. Do 11 marca liczba centrów kontroli zmniejszyła się do 104. Jednak dwa dni później Troyak znalazł nowego dostawcę i do 13 marca liczba centrów kontroli ponownie wzrosła do 700, zatem niedługo mogliśmy cieszyć się dobrymi wiadomościami.

Rodzina szkodliwego oprogramowania ZeuS nie jest jedynym zestawem narzędzi, który został stworzony, aby umożliwić kradzież danych logowania użytkownika w celu uzyskania dostępu do jego finansów online. Na przykład zestaw narzędzi Spy Eye potrafi nie tylko kraść wymagane dane, ale również niszczyć swojego konkurenta ZBot/Zeus, co oznacza, że tuż obok nas toczy się wirtualna wojna. Podobną sławą cieszył się botnet Mariposa, który składał się z 13 milionów komputerów na całym świecie i został zdjęty przez policję hiszpańską w grudniu 2009.

W panelu kontrolnym botnetu Spy Eye cyberprzestępcy stosowali ikonki w stylu małych sakiewek pieniędzy do przedstawienia każdego użytkownika zainfekowanego komputera wchodzącego w skład botnetu.

Botnety pełnią rolę cieplarni w rozprzestrzenianiu "finansowego" szkodliwego oprogramowania. To właśnie przy użyciu tego rodzaju programów cyberprzestępcy mogą najszybciej ukraść pieniądze użytkowników i ciągle znajdować nowe ofiary. Statystyki pokazują wyraźny wzrost liczby szkodliwych programów atakujących klientów banków i innych organizacji finansowych w ciągu minionych kilku lat.

Sytuację pogarsza fakt, że ogromny odsetek takich szkodliwych programów nie jest wykrywany przez rozwiązania antywirusowe większości producentów w momencie ich pojawienia się. Na przykład, według informacji dostarczanych przez ZeuS Tracker Center, w połowie marca ponad połowa szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem botnetu ZBot/Zeus nie została wykryta. To oznacza, że atak tego szkodliwego oprogramowania powiódł się. Zanim użytkownicy uzyskali odpowiednią ochronę od firm antywirusowych, cyberprzestępcy zdołali przechwycić wszystkie potrzebne informacje.

Aby odpowiedzieć na to pytanie, przyjrzymy się, jak wygląda proces "leczenia" przy użyciu typowych antywirusowych baz danych. Proces ten może się różnić w zależności od producenta rozwiązania antywirusowego, ogólnie jednak w każdym przypadku zawiera te same kluczowe kroki (zobacz Rysunek 3):

Przyjrzyjmy się teraz bliżej poszczególnym krokom:

• Krok 1: gdy cyberprzestępca wypuści nowy szkodliwy program, zadaniem numer jeden firmy antywirusowej jest zidentyfikowanie i uzyskanie jego próbki. Odbywa się to na wiele sposobów: plik jest wysyłany ofiarom, zostaje schwytany przez system automatycznego przechwytywania czy też gromadzenia szkodliwego oprogramowania lub firma antywirusowa uzyskuje go w ramach wymiany plików z partnerami itd. Jednak biorąc pod uwagę metody rozprzestrzeniania stosowane przez szkodliwe oprogramowanie, mimo sporej liczby kanałów, którymi mogą zostać uzyskane przykłady szkodliwego kodu, nie zawsze da się szybko uzyskać próbkę występującą na wolności (ang. ITW - In-The-Wild).

• Krok 2: po uzyskaniu próbki rozpoczyna się proces analizy. Etap ten może zostać przeprowadzony przez automatyczne systemy i analityków wirusów. Kończy się dodaniem sygnatury do antywirusowej bazy danych.

• Krok 3: po dodaniu sygnatury do antywirusowej bazy danych rozpoczyna się proces testowania. Celem testów jest zidentyfikowanie potencjalnych błędów w dodanych wpisach.

• Krok 4: po zakończeniu fazy testów aktualizacje są dostarczane użytkownikom programu antywirusowego.

Od pojawienia się szkodliwego pliku do otrzymania przez użytkownika aktualizacji antywirusowych baz danych może minąć kilka godzin. Na tak duże opóźnienie składa się czas potrzebny do przeprowadzenia każdego kroku opisanego wyżej procesu. Naturalnie, po takim czasie użytkownik uzyska niezawodną ochronę. Paradoks polega na tym, że taka ochrona przypomina zamknięcie drzwi stajni po ucieczce konia. Jeżeli komputer użytkownika jest zainfekowany, to znaczy, że cyberprzestępca ukradł już jego dane osobiste. Antywirusowa baza danych może pomóc ostrzec użytkownika, że ktoś włamał się do jego systemu, jednak dane zostały już utracone.

Cyberprzestępcy doskonale orientują się, jak wygląda, od początku do końca, proces publikowania uaktualnień. Wiedzą, ile czasu zajmuje aktualizacja bazy danych, zdają sobie również sprawę, że ich twory w końcu zostaną wykryte. Dlatego często wybierają następujący plan ataku: wypuszczają szkodliwy plik, następnie po upływie kilku godzin, gdy programy antywirusowe zaczną już go wykrywać, przeprowadzają nowy atak przy użyciu kolejnego programu, za każdym razem zyskując sobie dodatkowy czas kilku godzin - i tak dalej, i tak dalej. W rezultacie, nawet jeżeli branża antywirusowa potrafi skutecznie wykrywać zagrożenia, stare dobre technologie antywirusowe muszą walczą, aby dotrzymać kroku, co oznacza, że ochrona nie zawsze jest zapewniana natychmiast, tak jak powinna.

Prowadzisz firmę ? Zajrzyj na e-mojafirma.infor.pl/mala-firma

• Czas reakcji większości technologii antywirusowych, takich jak wykrywanie oparte na sygnaturach i wykrywanie generyczne, nie spełnia dzisiejszych potrzeb. To oznacza, że szkodliwy program często kradnie dane użytkowników i przekazuje je cyberprzestępcom, zanim nowy wpis zostanie dodany do antywirusowej bazy danych, a użytkownik końcowy otrzyma uaktualnienia;

• Liczba ataków z wykorzystaniem oprogramowania crimeware na klientów organizacji finansowych rośnie wykładniczo.

Mając na względzie opisywaną sytuację, tj. aktualizacje antywirusowe nie są w stanie sprostać obecnemu poziomowi zagrożeń, organizacje finansowe próbują opracować i stosować własne metody uwierzytelniania klientów w celu zminimalizowania ryzyka i zmaksymalizowania ich odporności na wysiłki cyberprzestępców.
Trzeba podkreślić, że ostatnio wiele czołowych organizacji finansowych zaczęło wprowadzać dodatkowe rozwiązania i metody elektronicznego uwierzytelniania swoich klientów. Poniżej przedstawiamy kilka z nich:

• Wprowadzenie kodów TAN (Transaction Authorization Numbers, jednorazowe hasło potwierdzenia transakcji)
• Wirtualne klawiatury
• Powiązanie klientów ze stałym adresem IP
• Tajne pytania i hasła
• Wykorzystywanie kluczy sprzętowych lub urządzeń USB w celu dodatkowej autoryzacji
• Biometryczne systemy uwierzytelniania

 Trzeba jednak zaznaczyć, że cyberprzestępcy wiedzą, w jaki sposób skutecznie "przechytrzyć" istniejące systemy ochrony. Bez wątpienia kroki podjęte przez instytucje finansowe znacznie utrudniły życie cyberprzestępców, nie stanowią jednak panaceum na wszystkie zagrożenia. Wiadomości o stratach na skutek takich ataków nadal napływają, podobnie jak doniesienia z pierwszej linii frontu.

• FDIC: w trzecim kwartale 2009 roku amerykańskie firmy straciły 120 milionów dolarów (prawie wszystkie z nich miały związek ze szkodliwym kodem) computerworld.com;

• Brytyjskie stowarzyszenie emitentów kart kredytowych: straty w sektorze bankowości online w Wielkiej Brytanii w 2009 roku zwiększyły się o14%, wynosząc około 60 milionów funtów ;

• FBI: w 2009 roku cyberprzestępcy w Stanach Zjednoczonych ukradli użytkownikom ponad połowę miliarda dolarów, dwa razy więcej niż w 2008 roku. Celem ataków są głównie brazylijskie banki. Według danych dostarczanych przez Kaspersky Lab, liczba banków, które ucierpiały w wyniku podobnych ataków w ciągu pierwszych trzech miesięcy 2010 roku zbliża się do tysiąca.

Cyberprzestępcy nieustannie znajdują nowe i bardziej zaawansowane sposoby przechwytywania informacji użytkowników, mimo że stowarzyszenie banków wprowadza dodatkowe zabezpieczenia w celu ochrony swoich klientów online.

Podsumowując:

• Instytucje finansowe wprowadziły dodatkowe sposoby autoryzacji, na co cyberprzestępcy znaleźli nowe sposoby obejścia uaktualnionych metod bezpieczeństwa. Proces ten będzie kontynuowany: zwiększanie bezpieczeństwa - znajdowanie nowych luk - zwiększanie bezpieczeństwa - znajdowanie nowych luk itd.
• Wysokość strat spowodowanych działaniami cyberprzestępców nieustannie wzrasta.

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Accreo

Accreo to firma doradcza, oferująca usługi dedykowane przedsiębiorstwom i klientom indywidualnym w zakresie doradztwa podatkowego i prawnego, business restructuringu oraz doradztwa europejskiego przede wszystkim w obszarze pozyskiwania dotacji i funduszy unijnych.

Zostań ekspertem portalu Infor.pl »