Ботнеты на службе у фишеров

Согласно статистике компании Cyveillance, за истекшие три года операторы ботнетов провели фишинговые атаки против 1750 финансовых учреждений и правительственных организаций, в том числе против 106 новых — в IV квартале 2007 года. За последние 4 месяца эксперты RSA зафиксировали пять ботнетов, которые начали использовать фишеры.

В декабре прошлого года фишинговым атакам подверглись крупнейшие банки США, Великобритании, Италии и Испании. Используя зараженные различными модификациями троянца Zbot ресурсы, злоумышленники от имени служб безопасности банков рассылали ложные извещения об обновлении персонального цифрового идентификатора. После перехода по указанной в письме ссылке пользователь попадал на поддельную страницу, имитирующую сайт того или иного банка, и лишался всех своих сбережений.

В начале текущего года фишеры атаковали клиентскую базу банков Великобритании. По данным экспертов, созданные злоумышленниками для хищения банковских реквизитов веб-страницы были размещены на серверах «штормового» ботнета.

Специалисты RSA отмечают тенденцию к расширению использования ботнетов для проведения фишинговых рассылок, хостинга поддельных страниц и хранения похищенных персональных данных. По данным компании, в минувшем феврале фишеры атаковали 188 банковских организаций из разных стран, причем 20 из них — впервые. Наибольшей популярностью у злоумышленников пользуются банки и кредитные организации США, на долю которых приходится 59% совокупной фишерской активности. Мишенью номер два являются британские банковские структуры: 12% предпринятых в течение прошлого года атак были нацелены именно на их клиентов.

Непревзойденным лидером по хостингу поддельных веб-страниц также являются США, на порядок опережая другие страны. Компьютерные ресурсы Гонконга и Филиппин широко используются фишерами для хостинга многочисленных сайтов с «разовыми» URL, создаваемых по канонам технологии, введенной в киберкриминальный обиход одиозной группировкой Rock Phish.

Что касается фишерского инструментария, исследователи RSA отмечают расширение использования злоумышленниками готовых комплектов для проведения сетевых атак с зашифрованным php-скриптом. Шифрование защищает от обнаружения фишерские почтовые аккаунты, а также позволяет скрывать имена файлов с похищенными пользовательскими реквизитами и адреса фальшивых веб-страниц. Кроме того, во избежание отсеивания злонамеренных посланий спам-фильтрами фишеры все чаще прибегают к «зашумлению» текстов своих писем (в частности, с помощью невидимых получателю html-тэгов).

Источник: USA Today

Источник: RSA Online Fraud Report (pdf)