Публикации

Кража собственности в компьютерных сетях, часть II

В первой части данной статьи внимание было уделено атакам, мишенью которых являются компьютеры обычных пользователей: было рассмотрено, какие именно данные пользуются повышенным спросом у киберпреступников, чем мотивированы действия злоумышленников, были приведены факты и статистические данные, характеризующие подобные атаки.

Во второй части статьи мы рассмотрим атаки (под атакой на организацию мы понимаем любые действия киберпреступников, которые могут привести к потере или искажению данных, а также повредить репутации организации или привести к иным нежелательным для нее последствиям; к таким действиям относится создание подложных сайтов, кража данных, DDoS-атаки и целый ряд других киберпреступлений) криминала на организации. Эти атаки можно разделить на два вида: атаки на сами организации и целевые атаки на их клиентов. Мы приведем большое количество статистики, чтобы помочь читателю оценить серьезность проблемы.

Целевые атаки на клиентов компаний

Для компаний атаки на их клиентов чреваты прежде всего потерей доверия со стороны последних. Клиент желает получить в пользование систему надежную, которая будет помогать в решении его задач, а вовсе не ту, которая станет для него источником головной боли и переживаний за сохранность данных.

Среди атак на клиентов самыми популярными на протяжении длительного времени остаются кражи.

Как именно в электронном мире происходят кражи, какие вредоносные программы используются для их осуществления и как пользователь может «подхватить» эти программы, было подробно рассмотрено в первой части статьи. Здесь мы лишь кратко напомним последовательность действий, которые совершает злоумышленник при воровстве виртуальной собственности.

В настоящее время этот вид преступлений осуществляется по определенному сценарию, когда на первом этапе злоумышленнику необходимо каким-либо образом получить учетные данные клиента для последующего доступа к соответствующим ресурсам. Для получения клиентских данных может быть использована фишинговая спам-рассылка, задачей которой является заманить жертву на сайт киберпреступников, либо осуществлено заражение компьютера пользователя вредоносной программой, которая передаст злоумышленнику все необходимые ему данные таким образом, что жертва об этом не узнает. После получения учетных данных, на втором этапе, злоумышленник осуществляет доступ к соответствующему ресурсу и, собственно, совершает кражу той виртуальной собственности, за которой он охотился.

В подавляющем большинстве случаев целью охоты являются ресурсы финансового характера. Если представить в виде гистограммы число компаний, на чьих клиентов производились атаки с целью получения их денежной собственности, то эта гистограмма примет следующий вид:

Рост числа финансовых компаний (если несколько организаций входит в одну финансовую группу, то все атаки на них засчитываются как атаки на одну организацию), на клиентов которых были совершены атаки с использованием ворующих информацию вредоносных программ
(источник: «Лаборатория Касперского»)

Из приведенных на графике данных видно, что из года в год число жертв злоумышленников увеличивается. Более того, число атак на клиентов организаций растет по мере увеличения популярности того или иного банка, электронного «обменника», платежной или иной системы.

Организации, в первую очередь банки, оказались настолько измучены непрекращающимися атаками на своих клиентов, что с середины 2005 года начали вводить различные меры защиты, чтобы усложнить вывод пользовательских средств, если ранее произошла утечка информации. В качестве примера можно привести двухшаговую аутентификацию. Некоторые компании пошли даже на ограничение размера и периодичности платежей. Главные страницы многих банков и организаций, действующих в финансовой сфере, пестрят сообщениями, которые предупреждают о действиях киберпреступников. Фрагмент одного из таких сообщений приведен на рисунке:

Предупредительное сообщения на главной странице сайта одной из финансовых организаций

Как долго будут защищать пользователей принятые меры, покажет время. Но уже сейчас можно говорить о том, что предпринятые шаги дали положительные результаты: в первом полугодии 2006 года впервые за три года в общем числе вредоносных программ сократилась доля финансовых зловредов (вредоносных программ, разработанных злоумышленниками для целевых атак на клиентов финансовых систем), что подтверждается приведенными на графике данными:

Сокращение в 2006 году доли финансовых зловредов в общем потоке новых вредоносных программ
(источник: «Лаборатория Касперского»)

Киберпреступники находятся в постоянном поиске методов обхода возникших на их пути препятствий. Несмотря на то что доля вредоносных программ, атакующих клиентов финансового сектора, незначительно сократилась, их абсолютное число продолжает расти, поскольку растет число вредоносных программ в целом.

Более того, за последний год заметно выросло число вредоносных программ, способных атаковать клиентов сразу нескольких платежных систем (см. график ниже). В качестве примера здесь можно привести Trojan-Spy.Win32.Banker.asq, которого интересуют сразу около полутора сотен систем, среди которых paypal, caixabank, немецкий postbank и многие другие организации со всего мира.

Рост доли вредоносных программ, атакующих одновременно несколько компаний, в общем потоке новых финансовых зловредов
(источник: «Лаборатория Касперского»)

Такая тактика позволяет увеличить вероятность нахождения жертвы, так как встретить в сети Интернет клиента конкретной платежной системы сложнее, чем, скажем, найти клиента одной их четырех систем.

В этой части статьи мы акцентировали внимание на атаках на клиентов финансовых компаний потому, что такие атаки распространены больше, чем атаки на клиентов любых других компаний. Но круг жертв киберпреступников значительно шире. Фактически если компания, работающая не на финансовом рынке, имеет возможность онлайн-оплаты своих услуг, то она представляет интерес для злоумышленников. Аналитиками «Лаборатории Касперского» обнаружены вредоносные программы, которые атакуют клиентов туристических и транспортных компаний, ломбарды и интернет-магазины, а также целый ряд других компаний.

К сожалению, в настоящее время не обнаружено никаких тенденций, позволяющих надеяться на сокращение числа вредоносных программ, созданных для совершения подобного рода преступлений. Рекомендации пользователю, как не стать жертвой, которые приведены в первой части статьи, актуальны и для данного раздела.

Атаки на компании

Мошенничество, вымогательство и шантаж со стороны киберкриминала по отношению к компаниям — явления довольно частые. Однако самым распространенным видом киберпреступлений, которым подвергаются компании, остаются кражи конфиденциальной информации.

Кражи

В последнее время все большей популярностью у мошенников стали пользоваться всевозможные личные данные клиентов: адреса электронной почты, номера социального страхования, учетные записи для доступа к онлайн-играм и даже PIN-коды, которые, как оказалось, целый ряд организаций хранит во внутренних базах данных. Сбыт украденных баз не составляет в наше время труда — существует значительный спрос на них, приносящий немалые деньги злоумышленникам, что подталкивает их к совершению дальнейших аналогичных преступлений.

Россию можно приводить в качестве примера того, каких масштабов может достигать кража информации, которая совершается даже из таких труднодоступных мест, как налоговые и таможенные службы. На российских черных рынках беспрепятственно можно купить кредитные истории граждан, базы данных с таможенными декларациями, базы данных регистрации автомобилей, мобильных телефонов с адресами владельцев, а также базы данных паспортной службы. Объемы продаваемых данных, порой, настолько значительны, что они не вмещаются ни на один оптический носитель, и их продают на жестких дисках. Стоимость краденой информации варьируется от нескольких десятков долларов до нескольких тысяч долларов в зависимости от ценности и актуальности информации.

Не стоит думать, что подобную информацию крадут только в России. Такие данные пользуются значительным спросом и в других странах: чего стоят громкие скандалы с кражами номеров кредитных карт и номеров социального страхования, произошедшие в 2006 году в целом ряде развитых стран. Один из таких случаев произошел в Великобритании. Используя уязвимость в системе защиты, злоумышленники украли данные с кредитных карт MasterCard у двух тысяч покупателей одного из крупных магазинов.

Покупателями похищенных данных зачастую становятся преступники, которые используют полученную информацию в своих аферах уже не в виртуальном, а в реальном мире.

Немаловажную роль в совершении краж внутренних баз данных играют сотрудники, имеющие доступ к таким базам данных и не считающиеся с нормами морали. Все чаще аналитики «Лаборатории Касперского» обнаруживают шпионские программы, написанные со знанием инсайдерской информации. Например, были выявлены вредоносные программы, при создании которых злоумышленники использовали внутренние логины и пароли атакуемой организации, а также знания о формате структур внутренних баз данных этой организации. Противостоять кражам, которые поддерживаются каким-либо инсайдером, весьма проблематично, но все-таки возможно.

Если пользователя в какой-то мере можно защитить, дав ему ряд простых рекомендаций, которые существенно снижают вероятность потери виртуальной собственности, то для организаций следует использовать комплексную защиту, включающую антивирусные средства, сетевые экраны, спам-фильтры, системы мониторинга и аудита сетевой инфраструктуры предприятий.

В последнее время заметно увеличилось число заражений пользователей через веб. Схема очень простая: злоумышленники взламывают какой-нибудь популярный веб-сайт и устанавливают там вредоносную программу, далее эта программа загружается на компьютер всякого посетителя сайта без его ведома. В связи с этим организации (или компании) следует устанавливать у себя антивирус с обязательным наличием в нем веб-компоненты или отдельный продукт для проверки веб-контента на наличие вредоносного кода.

В заключение этого раздела, к сожалению, можно сказать только одно: сложившаяся ситуация позволяет строить прогнозы лишь в сторону увеличения числа совершаемых краж.

Шантаж и вымогательство

Если внимание мошенников сосредоточено на обычных пользователях в большей мере, чем на организациях, то с шантажом и вымогательством ситуация обстоит в точности до наоборот — организации подвержены им в значительно больших объемах.

Самый распространенный метод, используемый шантажистами, — DDoS-атаки. Подобные атаки сводятся к выдвижению определенных требований, которые следует выполнить за указанный срок (как правило, это требование заплатить определенную сумму) под угрозой блокирования доступа к сетевым ресурсам жертвы в случае отказа выполнить требования злоумышленников. При проведении атак по подобному сценарию Интернет позволяет злоумышленнику без особых проблем сохранять анонимность.

Популярными мишенями кибершантажистов являются интернет-магазины, букмекерские конторы и любые другие организации, которые имеют бизнес в Сети и для которых блокирование доступа к ресурсам чревато потерей значительных сумм.

Рост числа подобного рода атак на организации обусловлен нередким согласием жертвы откупиться. Может быть, действительно в данном случае проще пойти на уступки и выполнить условия злоумышленников, заплатив им? Но как показало исследование, проведенное компанией IBM, исправные плательщики подвергаются атакам значительно чаще тех, кто платить отказывается.

Но DDoS-атаки — не единственная тактика, имеющаяся на вооружении шантажистов. В первой части статьи мы рассмотрели вредоносные программы, которые шифруют данные на компьютерах жертв. Авторы таких программ требуют заплатить определенные суммы для восстановления «взятых в заложники» файлов. Нередко жертвами программ-«шантажистов» становятся организации. И если пользователи в подавляющем большинстве ждут помощи от антивирусных компаний, то пострадавшие организации с зашифрованными данными, ключевыми для ведения бизнеса, ждать не могут и идут на удовлетворение требований преступников, что подталкивает последних к созданию новых версий программ-«шантажистов».

Прочее

В предыдущих разделах основное внимание было сосредоточено на потере виртуальной собственности. У организаций кроме этого есть и другие ценности, которые не относятся к категории ценностей материальных. Во сколько, например, можно оценить испорченную репутацию?

В последние пару лет количество взломов информационных порталов с целью последующей загрузки посетителям сайта вредоносных программ растет угрожающими темпами. И речь здесь идет даже не о небольших компаниях. Все чаще в число жертв криминала попадают крупные коммерческие и государственные организации: отмечены случаи внедрения вредоносных программ на сайтах MS, целого ряда сайтов, принадлежащих силовым ведомствам и других организаций. Часто это свидетельствует о том, что компании, несмотря на хорошую осведомленность о существующих рисках, не уделяют должного внимания безопасности.

Отмечены факты, когда злоумышленники, взломав сервера компании, устанавливают на них специальные вредоносные программы для рассылки спама. Далее эти программы рассылают спам уже от имени жертвы, которая, разумеется, об этом ничего не знает. В результате таких действий киберпреступников сервера и компании теряют доверие пользователей и клиентов. Репутация компании страдает, а вернуть себе доверие клиента — дело не слишком легкое.

Заключение

Существующие тенденции, к сожалению, говорят только об увеличении числа атак и разнообразии вредоносных программ, которые используются злоумышленниками.

Находясь в постоянном развитии и привлекая в свои ряды специалистов с очень хорошей квалификацией, киберпреступники постоянно изобретают все более изощренные способы проведения атак. Число жертв и частота нападений продолжают увеличиваться из года в год, охватывая новых игроков финансового рынка, что грозит компаниям финансовыми потерями, испорченной репутацией и сбоями в работе IT-инфраструктуры.

Выжить в этой непростой ситуации поможет только должное отношение к безопасности и использование необходимых средств защиты: антивирусных средств, спам-фильтров, сетевых экранов, систем мониторинга активности и аудита сетевой инфраструктуры предприятий. Хотелось бы подчеркнуть, что лишь комплексный подход поможет эффективно противостоять набирающему силу киберкриминалу.

Кража собственности в компьютерных сетях, часть II

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике