Hiszpania i Stany Zjednoczone opanowane przez boty

Cyberprzestępcy mogą zdalnie kontrolować komputery zainfekowane przez boty, wykorzystując je do przesyłania spamu, rozprzestrzeniania wirusów, itp. Dane zebrane w październiku przez Laboratorium PandaLabs plasują Hiszpanię i Stany Zjednoczone w czołówce najbardziej zainfekowanych krajów. Polska znalazła się na siódmym miejscu z wynikiem poniżej 3%.

Boty to złośliwe aplikacje, które po zainfekowaniu komputera zezwalają cyberprzestępcom na zdalne sterowanie całym systemem oraz wykonywanie serii dodatkowych akcji m.in. rozsyłanie spamu, ściąganie wirusów, robaków, trojanów oraz innych złośliwych aplikacji.

Najbardziej zainfekowanym państwem w październiku była Hiszpania ze wskaźnikiem infekcji równym 44,49%. Na drugim miejscu znalazły się Stany Zjednoczone z wynikiem 14,41% komputerów opanowanych przez boty, a dalej Meksyk (9,37%) i Brazylia (4,81%). Polska znalazła się na siódmym miejscu w rankingu ze współczynnikiem 2,72 %. Do krajów najmniej zainfekowanych zaliczają się: Peru, Holandia i Szwecja, wszystkie za wskaźnikiem poniżej 1%.

Dane zostały zebrane w październiku od użytkowników systemu Panda ActiveScan, darmowego skanera antywirusowego on-line. Statystyki zawierają informacje odnośnie ilości infekcji spowodowanych przez którąkolwiek  z aktywnych rodzin i wariantów botów.

Według Macieja Sobianka, specjalisty ds. zabezpieczeń w Panda Security Polska: „Ilość zagrożeń rogueware, sieci botnet i związanych z nimi komputerów zombie wzrosła w tym roku już o ponad 30%. Sieci botnetowe są w chwili obecnej najprostszym sposobem dla cyberprzestępców na kontrolowanie komputerów, rozprzestrzenianie spamu oraz złośliwego oprogramowania. Na uwagę zasługuje fakt, iż odpowiedzialność za działanie, które wykonuje komputer, ponosi jego właściciel. Właściciel komputera zombie, za pomocą którego zostanie popełnione przestępstwo, może zostać pozbawiony prawa do korzystania z internetu lub nawet stanąć przed sądem”.

Panda Security zaleca zainstalowanie dobrego, aktualnego programu antywirusowego oraz regularne skanowanie komputera za pomocą np. Panda ActiveScan (www.activescan.com) darmowego skanera antywirusowego on-line, aby przekonać się, czy komputer nie jest zainfekowany przez boty.

Spam i złośliwe e-maile są problemem głównie w branży motoryzacyjnej

Panda przeprowadziła w 22 krajach badanie mające na celu porównanie wpływu spamu i zainfekowanych wiadomości w różnych sektorach gospodarki. Analizie poddano wiadomości e-mail przesyłane na konta pocztowe 867 firm z 11 różnych branż. Z badania wynika, że sektor motoryzacyjny i energetyczny oraz instytucje rządowe plasują się w pierwszej trójce pod względem ilości odbieranego spamu i zainfekowanych e-maili.

Firma Panda Security w okresie od lipca do września 2009 r. przeprowadziła dokładną analizę wiadomości e-mail odbieranych przez konta pocztowe 867 firm z 11 różnych branż w 22 krajach w USA i Europie. Analiza objęła w sumie 503 miliony wiadomości. Celem badania było porównanie wpływu spamu i zainfekowanych wiadomości w różnych sektorach.

Luis Corrons, dyrektor techniczny PandaLabs, powiedział: „Chcieliśmy sprawdzić, czy wszystkie firmy były narażone na spam i zainfekowane e-maile w równym stopniu, czy też istnieją jakieś czynniki, które zwiększają prawdopodobieństwo ataku. Zaskoczyło nas, że odkryliśmy istotne różnice – nawet do 12% – w ilości niepożądanej korespondencji odbieranej przez firmy w różnych sektorach.”

Z badania wynika, że sektor motoryzacyjny i energetyczny oraz instytucje rządowe plasują się w pierwszej trójce pod względem ilości odbieranego spamu i zainfekowanych e-maili. Współczynniki dla tych sektorów wynoszą odpowiednio 99,89%, 99,78% i 99,6%. Oznaczają one odsetek spamu i złośliwych wiadomości względem wszystkich odebranych e-maili. Z tych danych wynika, że zaledwie 0,11% wiadomości odbieranych przez firmy w sektorze motoryzacyjnym jest pożądana (w sektorze energetycznym i instytucjach rządowych odsetek ten wynosi odpowiednio 0,22% i 0,4%).

Co ciekawe, sektor usług bankowych, który uważa się za główny cel ataków, zajmuje jedną z ostatnich pozycji w rankingu ze współczynnikiem 92,48%. Ranking zamykają branże edukacyjna i turystyczna ze współczynnikami 87,98% i 87,22%.

Badanie nie wykazało jednak istotnych różnic w tematyce wiadomości typu spam otrzymywanych przez firmy w poszczególnych sektorach. Większość spamu, ponad 68%, dotyczyła produktów farmaceutycznych. Na drugim miejscu znalazły się reklamy podrabianych produktów (18%) i wiadomości o treści seksualnej (11%).

Trojany bankowe stanowiły ok. 70% wykrytych złośliwych aplikacji. Na drugim miejscu znalazło się oprogramowanie adware/spyware (22%). Resztę stanowiły wirusy, robaki, itp.

Chcąc pomóc firmom radzić sobie z tymi zagrożeniami, firma Panda Security rozpoczęła kampanię edukacyjno-szkoleniową „Time for your business” (http://timeforyourbusiness.pandasecurity.com), z której można dowiedzieć się na czym polega zagrożenie i jak się przed nim chronić.

Hakerzy wykorzystują duże zainteresowanie testową wersją nowego narzędzia Google Wave.

W rozsyłanych zaproszeniach obiecują dostęp do aplikacji i możliwość ubiegania się o zyski ze sprzedaży programu, a tym samym podejmują próby rozpowszechniania złośliwych programów. Na atak przede wszystkim narażeni są użytkownicy pragnący dostać się do społeczności Google Wave.

Od 30 września do beta testów tej innowacyjnej technologii komunikacji przystąpiło znacznie szersze grono 100 tyś programistów. Pozostali chętni internauci do tej pory nie otrzymali szansy na uczestniczenie w testach Google Wave i ten fakt wykorzystują cyberprzestępcy.

Cyberprzestępcy wykorzystując Google Wave chcą uzyskać jak największy zasięg ataku.

Posługiwanie się wiarygodną marką ułatwia im to zadanie. Dzisiaj skala ataków w porównaniu z do poprzednich lat jest kilkukrotnie wyższa. Internauci aby uniknąć przykrych niespodzianek powinni zachowywać czujność i nie brać udziału w podejrzanie korzystnych ofertach.

Skontroluj swoją witrynę!

Ostatnie miesiące, to okres burzliwych zmian na rynku internetowym. Dofinansowania unijne oraz środki, które mali przedsiębiorcy mogą pozyskać z urzędów pracy, skłoniły wiele osób do założenia własnego sklepu internetowego. Nic dziwnego – polski rynek e-commerce generuje blisko 11 mld zł przychodów, wytwarzanych przez 7 tysięcy sklepów, w których zaopatruje się ponad 7 milionów Polaków. Jak przystało na tak dochodowy interes, ten sektor gospodarki stał się obecnie głównym celem ataków cyberprzestępców.

W ciągu ostatniej dekady liczba sklepów internetowych stale rosła. Dziś założenie własnego e-biznesu jest niezwykle proste, a w Internecie znaleźć można mnóstwo gotowych szablonów, które z powodzeniem można wykorzystać do stworzenia swojego własnego serwisu.

Na tych, którzy nie chcą płacić za tworzenie autorskich programów, czeka jednak niemiła niespodzianka. Bezpłatne szablony są niedoskonałe, a cyberprzestępcy chętnie wyłapują luki w skryptach oraz systemach zabezpieczeń serwerów, by w ten sposób wykorzystać wirtualne sklepy do rozsyłania złośliwego oprogramowania. Technik przeprowadzania skutecznych ataków przy użyciu malware jest wiele, a skale problemu doskonale obrazują statystyki wzrostu szkodliwego oprogramowania krążącego w Sieci.

Zatrważające jest, że wielu Polaków nadal żyje w nieświadomości otaczających ich w Sieci zagrożeń. Nierozważne postępowanie oraz brak uwagi przykładanej do odpowiedniego zabezpieczenia serwisu, z pewnością odbije się niekorzystnie nie tylko na właścicielu witryny, ale także jego klientach. Zamieszczony raport wskazuje na gwałtowny wzrost złośliwego oprogramowania w ostatnim półroczu. Dla właścicieli sklepów internetowych dane te powinny stanowić sygnał ostrzegawczy – każde niedociągnięcie systemowe w skrypcie witryny to wzrost ryzyka, że to właśnie nasz serwis zostanie zaatakowany w pierwszej kolejności.

„Złośliwe oprogramowanie, w szczególności tzw. programy szpiegowskie są szczególnie groźne dla klientów sklepów internetowych, którzy w trakcie transakcji przesyłają poufne informacje. Złośliwy kod może być wpisany w niemal każdą stronę internetową, dlatego przed zakupami warto upewnić się czy dany sklep posiada certyfikat SSL i szyfruje przesyłane dane” – wyjaśnia Katarzyna Gruszecka – Kara, Domain and Hosting  Director firmy 2BE.PL.

Sklepy online nie bez powodu stały się ulubionym miejscem „łowów” cyberprzestępców. Gromadząc wokół siebie coraz więcej użytkowników Internetu, niejednokrotnie zawierają rozbudowane bazy adresów online, oraz innych danych swoich klientów, umożliwiających bezbłędną i szybką identyfikację ofiary. Te informacje mogą być wykorzystane zarówno do wysyłania SPAM-u, jak również przeprowadzania ataków phishinowych, czy dokonywania włamań na konta bankowe nieostrożnych Internautów.

Nowe zagrożenia wykorzystują strukturalne słabe punkty w pracy skanerów antywirusowych poszczególnych serwerów. Ponieważ skanery antywirusowe sprawdzają zawartość wtedy, gdy chce z nich skorzystać któryś z elementów systemowych (OnAccess) lub na żądanie (OnDemand), złośliwy program może być wykryty najwcześniej wtedy, gdy ma on już formę pliku. „By uniknąć tego ataku należałoby sprawdzać zawartość przepływających informacji, zanim dotrą one do przeglądarki. Niestety, jak na razie takie rozwiązanie pozostaje w sferze marzeń” zauważa Tomasz Zamarlik z G Data Software.

Po zainstalowaniu się fałszywego pliku na serwerze, już tylko krok dzieli go od błyskawicznego rozprzestrzenienia się w Sieci. Pobieranie złośliwych plików może się odbyć na kilka sposobów:

* Za pomocą bezpośredniego łącza odsyłającego do pliku ze złośliwym programem,
* Poprzez dalsze przekierowania
* Poprzez nakłanianie użytkownika, stosując w tym celu socjotechniki, do tego, by klikając przycisk lub łącze pobrał i otworzył na komputerze dany plik.

Zgoła inną formą  ataku, na jaka narażeni są świeżo upieczeni przedsiębiorcy,

są działania typu drive-by-downloads, które przebiegają w sposób niezauważony podczas surfowania w Internecie. Specjalnie zaprojektowane przez cyberprzestepców skrypty umożliwiają pobranie złośliwej wersji programu, który w wyniku uprzedniego monitorowania aktywności ofiary, udało się  odpowiednio dostosować do danej kombinacji, sprawdzając przeglądarkę oraz jej elementy pod kątem luk w zabezpieczeniach. W tym przypadku najwięcej powodów do obaw mają użytkownicy z systemu Windows oraz przeglądarki Internet Explorer. Niemniej jednak coraz częściej złośliwe programy korzystają także ze słabych punktów takich systemów jak Firefox, Opera czy Safari. Jak szacują twórcy oprogramowania antywirusowego G Data, około 80% wszystkich infekcji typu drive-by dochodzi na legalnych stronach www, które zostały zainfekowane złośliwym oprogramowaniem.

Ostatnią, niezwykle skuteczna formą zainfekowania komputera jest umieszczenie złośliwego oprogramowania na stronach znanej domeny. Jeśli atakującemu uda się przejąć kontrolę nad danym serwerem internetowym przy pomocy prostych narzędzi, do każdej strony dodaje się jeden wiersz, który powoduje pobieranie złośliwego oprogramowania z innego serwera. W międzyczasie wykorzystywane są również inne techniki, służące do napaści na serwery internetowe, które poprzez ataki słownikowe próbują odgadnąć między innymi hasło dostępu administratora. Do przejmowania serwerów internetowych wykorzystuje się także luki w zabezpieczeniach popularnych aplikacji internetowych, takich jak systemy zarządzania treścią (między innymi sklep internetowy), programy do blogów i forów oraz narzędzia administrowania. W większości przypadków ataki te nie ograniczają się do pojedynczych serwerów internetowych, lecz prowadzone są masowo i automatycznie.

Skutek tego typu działań jest oczywisty: złośliwe oprogramowanie czyha już teraz nie tylko w mrocznych zakamarkach Internetu, lecz może ukryć się na każdej domenie.

Uważaj na linki, maile, kodeki

Zbliżający się Halloween, jak każde popularne wydarzenie, prawdopodobnie zostanie wykorzystany przez cyberprzestępców do przypuszczenia kolejnych ataków na internautów. Szczególne powody do troski mają mieszkańcy krajów anglosaskich, którzy w najbliższym tygodniu mogą natrafić na pułapki zastawiane na nich w sieci m.in. za pośrednictwem serwisów Twitter czy Facebook.

Cyberprzestępcy najprawdopodobniej zaatakują w przeciągu kilku najbliższych dni. Swoje działania skierują do nieostrożnych internautów – głównie mieszkańców krajów anglosaskich, ale z racji istnienia globalnej sieci, nie wykluczone, że szczątkowe ilości ataków dotrą również do polskich użytkowników Internetu. Do infekowania komputerów mogą zostać wykorzystane spreparowane strony www, wiadomości e-mail, kartki elektroniczne oraz znane serwisy społecznościowe takie jak Facebook oraz Twitter. Tradycyjnie już wszystkie te działania zostaną okraszone solidną dawką socjotechniki oraz szczyptą cmentarnego humoru. Wszystko po to, aby pozyskać od nieostrożnych internautów ich cenne dane lub stworzyć nowe sieci zombie.

Wnioskując na podstawie ubiegłych lat, najpopularniejszym działaniem cyberprzestępców w okresie Hallowen będą prawdopodobnie próby dotarcia do internautów poprzez wiadomości e-mail oraz powiadomienia w serwisach społecznościowych i komunikatorach. Wiadomości te będą miały na celu przekonanie użytkowników do kliknięcia w link i obejrzenia „zabawnego” filmu, kartki lub zagrania w halloweenową grę. Po wybraniu takiego odnośnika internauta może trafić na stronę zawierającą złośliwe oprogramowanie (konie trojańskie, robaki internetowe itp.) lub kodeki, „niezbędne” do odtworzenia otrzymanego mailem filmu, za które trzeba oczywiście dodatkowo zapłacić.

- Problem halloweenowych ataków i zagrożeń dotyczy przede wszystkim Amerykanów, ale nie możemy wykluczyć, że dotkną one również polskich internautów. Najlepszym sposobem ochrony przed takimi pułapkami, zastawianymi w sieci regularnie co kilka miesięcy, jest po prostu zdrowy rozsądek. Nie klikajmy we wszystkie linki otrzymywane pocztą elektroniczną lub za pośrednictwem komunikatorów. Być może jeden z nich będzie nieszkodliwy, ale pozostałe niekoniecznie przysłużą się nam i naszemu komputerowi – mówi Paweł Rybczyk, inżynier systemowy firmy DAGMA, dystrybutora rozwiązań firmy ESET.

Jeśli jednak przez przypadek kliknąłeś w podejrzany link, a nie posiadasz programu antywirusowego, możesz sprawdzić swój komputer bezpłatnym skanerem online, który wykryje i usunie ewentualne zagrożenia.

Przejmują i blokują komputery

PandaLabs odkryło nowy, bardziej agresywny trend w sprzedaży fałszywych antywirusów i aplikacji typu rogueware. Aplikacje te blokują dostęp do danych użytkownika. Manualne oczyszczenie zainfekowanego komputera jest niezwykle trudne, bowiem aplikacje zmuszają ofiarę ataku do uiszczenia opłaty lub sformatowania komputera. Laboratorium PandaLabs zamieściło na swoim blogu numery seryjne niezbędne do odblokowania przejętego komputera.

Laboratorium badawcze firmy Panda, odkryło bardzo agresywny trend w sprzedaży fałszywych antywirusów i aplikacji typu rogueware. Dotychczas, w przypadku zainfekowania złośliwym oprogramowaniem tego typu, na ekranie komputera pojawiała się seria komunikatów zalecających użytkownikowi wykupienie płatnej wersji programu. Obecnie programy te działają w połączeniu z aplikacjami typu ransomware, które przejmują komputer i uniemożliwiają korzystanie z niego, dopóki ofiara ataku nie dokona płatności.

Po zainfekowaniu komputera użytkownik nie może uruchamiać programów ani otwierać dokumentów. Komputer wyświetla jedynie komunikat, który zawiera nieprawdziwą informację o zainfekowaniu wszystkich plików i konieczności zakupu fałszywego antywirusa.

Fałszywy program o nazwie Total Security 2009 kosztuje 79,95 euro. Ofiary mogą wykupić dodatkowo usługę wsparcia technicznego za kolejne 19,95 euro. Użytkownicy, którzy uiszczą opłatę, otrzymują numer seryjny, którego wprowadzenie do aplikacji powoduje odblokowanie danych oraz plików wykonywalnych, umożliwiając normalne korzystanie z komputera i odzyskanie dostępu do danych. Fałszywy antywirus pozostaje jednak w systemie.

„Sposób działania takich aplikacji typu rogueware stanowi podwójne ryzyko. Po pierwsze, użytkownicy są zmuszeni do zapłacenia za możliwość korzystania z własnego komputera. Po drugie, mogą oni sądzić, że na komputerze zainstalowane jest autentyczne oprogramowanie antywirusowe, gdy w rzeczywistości system jest pozbawiony ochrony” – wyjaśnia Louis Corrons, dyrektor techniczny PandaLabs

„Często do zarażenia dochodzi nieświadomie, zwykle po wejściu na zainfekowaną stronę. Po zainfekowaniu systemu usunięcie zagrożenia jest niezwykle trudne, nawet dla osób posiadających pewną wiedzę techniczną” – podkreśla Corrons. „Ponadto użytkownicy nie mogą korzystać z żadnych narzędzi do wykrywania i usuwania złośliwych kodów, ponieważ wszystkie programy są zablokowane. Jedyną działającą aplikacją jest przeglądarka internetowa, która umożliwia ofierze ataku dokonanie opłaty za fałszywy antywirus. Dlatego na blogu PandaLabs umieściliśmy numery seryjne niezbędne do odblokowania przejętego komputera. Użytkownicy mogą również zainstalować autentyczne oprogramowanie ochronne w celu dokładnego przeskanowania komputera i usunięcia wszelkich pozostałości fałszywego antywirusa.”

Laboratorium PandaLabs opublikowało niedawno raport na temat dochodowego biznesu aplikacji typu rogueware. „Zwrot w kierunku blokowania komputerów jest dowodem na to, że użytkownicy potrafią lepiej rozpoznawać zagrożenia, a firmy specjalizujące się w zabezpieczeniach są coraz skuteczniejsze. To by wyjaśniało, dlaczego hakerzy stosują coraz agresywniejsze metody wymuszania opłat od użytkowników.” Raport PandaLabs dostępny jest pod adresem: http://www.pandasecurity.com/img/enc/The%20Business%20of%20Rogueware.pdf

Popularne serwisy WWW zbyt często zainfekowane

Złośliwe programy czają się nie tylko w ciemniejszych zakamarkach Internetu, mamy do czynienia z nowym, bardzo niebezpiecznym sposobem rozpowszechniania się złośliwego oprogramowania. Skala zjawiska jest zaskakująca. Dla milionów użytkowników planujących świąteczne zakupy w Internecie może się to okazać wielkim zagrożeniem.

Nowa polityka rozpowszechniania złośliwego oprogramowania jest znana, jednak nigdy nie była obserwowana w tak dużej skali. Robaki wstrzykiwane są do naszych komputerów dzięki atakom „drive-by download” przez co jest to praktycznie niewidoczne dla użytkownika. Najniebezpieczniejsze w całym procederze jest to, że złośliwy kod wstrzykiwany jest coraz częściej z renomowanych stron internetowych.

Eksperci postanowili przeprowadzić badanie wyjaśniające w jaki sposób cyberprzestępcy osiągają swój cel tak łatwo. Skuteczność ataków szacuje się bowiem na około 80%. Tempo rozpowszechniania oprogramowania po sieci również przyprawia o zawrót głowy.

Pierwszym krokiem był kontakt z właścicielami stron i serwerów, które rozpowszechniają złośliwe oprogramowanie. Większość z właścicieli posiadała wiedze o tym, że za pośrednictwem ich serwerów atakowani są użytkownicy. Dlaczego więc złośliwe oprogramowanie wciąż jest dystrybuowane za ich pośrednictwem? 45% administratorów stwierdziło, że usunięcie szkodliwego oprogramowania działającego jak „pistolety natryskowe” zajmuje im bardzo dużo czasu – od kilku dni do kliku tygodni. Znaleźli się i tacy, którzy poddali się i pogodzili z tym faktem.

Przestępcy coraz częściej stosują nowe metody rozpowszechnia złośliwych programów, zamiast tradycyjnych masowych wysyłek poczty elektronicznej. Przedstawiana technika cieszy się szczególną popularnością w Polsce i reszcie krajów Europy Środkowej.

„Przestępcy rozpowszechniający złośliwe programy przez strony internetowe wykorzystują 3 słabe punkty serwisów. Jeden z nich to zabezpieczanie serwerów stron słabymi hasłami, np. admin123. Takie hasła można złamać przy pomocy automatycznie przeprowadzonej słownikowej metody ataku w przeciągu kilku sekund“, twierdzi Ralf Benzmüller.

Oprócz krótkich i prostych haseł, słabością serwisów webowych jest też wykorzystywane oprogramowanie – sklepy internetowe, systemy Content Management, programy obsługujące blogi i fora internetowe. „Najczęściej stosowane są domyślne ustawienia oprogramowania do obsługi serwisu. Programy często nie są aktualizowane, przez co powstają istotne luki w zabezpieczeniach serwisów. Za pomocą specjalnego zapytania, wyszukiwarka internetowa pozwala w prosty sposób wyszukać w Internecie strony podatne na ataki i przejąć nad nimi kontrolę. Regularna aktualizacja oprogramowania to bardzo ważny czynnik. Kolejny słaby punkt to niefiltrowane dane wpisywane na stronach przez użytkowników serwisów, np. w formularzach stron internetowych. Można je wykorzystać do przeprowadzenia ataków typu Cross-Site-Scripting lub SQL Injection. Niestety ilość dostępnych narzędzi filtrujących jest ograniczona, więc jest to najbardziej skuteczna metoda używana do kompromitacji serwisów internetowych.“

Oczywiście proste hasła, luki w zabezpieczeniach oprogramowania serwerów stron oraz niewystarczające filtrowanie przekazywanych danych, to tylko niektóre z przyczyn częstego przejmowania kontroli nad serwisami internetowymi.

Pomimo ostrzeżeń: Opieszałość administratorów
Użytkownicy komputerów są wprawdzie wyczuleni na zagrożenia, ale nie spodziewają się ataków ze strony zaufanych dostawców usług internetowych, witryn hoteli czy portali społecznościowych. Badania prowadzone przez G Data w ramach inicjatywy Malware Information dowodzą, że coraz częściej źródłem infekcji są popularne i zaufane strony internetowe. Aby zminimalizować skalę zagrożenia, G Data regularnie kontaktuje się z właścicielami i administratorami skompromitowanych serwisów. Reakcje bywają zróżnicowane. Zaledwie 55 na 100 obsługujących serwisy internetowe reaguje w przeciągu jednego tygodnia od zgłoszenia problemu.

„W miarę możliwości, jeżeli wykryjemy, że poprzez serwis rozpowszechniany jest złośliwy kod informujemy osoby odpowiedzialne za bezpieczeństwo tych witryn. W wielu przypadkach środki zaradcze podejmowane są bardzo późno lub nawet wcale. W jednym przypadku popularny serwis nadal infekował użytkowników pomimo, że od zgłoszenia minęły 3 tygodnie. Trudno oszacować, ilu użytkowników mogło zostać zarażonych przez ten czas.“, reasumuje Ralf Benzmüller. „Dobrze by było, żeby więcej administratorów traktowało swoich użytkowników poważnie i odpowiedzialnie. Brak reakcji i nieprawidłowa konserwacja serwisów internetowych na pewno nie pomaga zminimalizować zagrożenia, a wręcz pomaga przestępcom.“

Stosowanie się do poniższych porad zdecydowanie utrudni przestępcom skompromitowanie serwisu internetowego:

1.Aktualizuj oprogramowanie stosowane do obsługi serwisu, zwłaszcza w zakresie łatania luk bezpieczeństwa. Tylko w ten sposób zabezpieczysz się przed narzędziami do wykorzystywania słabych punktów systemu. Poprawki najlepiej instalować tuż po ich wyprodukowaniu przez producentów.
2.Stosuj oprogramowanie antywirusowe także na serwerze stron internetowych. Dbaj o regularne aktualizowanie baz zagrożeń programu antywirusowego.
3.Skanuj regularnie kopię offline Twojego serwisu na obecność wirusów.
4.W przypadku wykrycia infekcji zmień wszystkie hasła administratorskie Twoich serwisów. W ten sposób zamkniesz dostęp autorom ataku i nie narazisz bezpieczeństwa użytkowników.

Porady dla użytkowników serwisów webowych:

5.Uaktualniaj regularnie system operacyjny, przeglądarki internetowe i wtyczki do przeglądarek internetowych. Przestarzałe oprogramowanie ułatwia zainfekowanie komputera korzystającego z serwisu.
6.Stosuj oprogramowanie antywirusowe wyposażone w mechanizm skanujący strony internetowe przed otwarciem. Dzięki temu możesz uniknąć infekcji podczas odwiedzania skompromitowanego serwisu.

W przypadku wykrycia wirusa na stronie internetowej niezwłocznie powiadom właściciela lub administratora serwisu internetowego.

BZ WBK znowu na celowniku cyberprzestępców,
użyto tajwańskich serwerów.

Eksperci z laboratoriów antywirusowych ostrzegają przed nowym atakiem na klientów bankowości internetowej Banku Zachodniego WBK. Cyberprzestępcy do wyłudzenia danych wykorzystują  standardową metodę ataku tzw. phishing. To nie pierwsza próba ataku na BZ WBK, cyberprzestępcy już kilkukrotnie podejmowali działania zagrażające użytkownikom tego banku. Tym razem, można jednak zaobserwować bardzo dobrą selekcję Klientów, którzy otrzymają wiadomość.

Największą grupą będą użytkownicy Warszawy i Wrocławia. Dobrze wyselekcjonowani Klienci Banku z niedzieli na poniedziałek otrzymali elektroniczną wiadomość z prośbą uaktywnienia konta BZ WBK. G Data szacuje, że z serwerów ulokowanych w Tajwanie zostało wysłanych około 17 tysięcy takich wiadomości.

Wiadomość
Użytkownik, chcąc dokonać operacji na swoim koncie, klika w link podany w wiadomości lub przekleja  adres do przeglądarki. W wyniku czego trafia na sfałszowaną stronę banku.

Fałszywa strona WWW
Łukasz Nowatkowski z G Data „Wyłapany przez nasze serwery atak na Klientów BZ WBK to standardowa metoda wyłudzania danych realizowana poprzez atak phishingowy. Zauważyć jednak można bardzo dobrą selekcję użytkowników, co sugeruje, że wszyscy oni mogą być Klientami jednej sieci składających się z zainfekowanych komputerów.”

Producenci oprogramowania zabezpieczającego wspomagają swoje produkty również działalnością społeczności internetowych, które  zgłaszają sfałszowane i podejrzane strony. Zespoły specjalistów weryfikują zgłoszenia i dodają strony do list wykorzystywanych przez mechanizmy filtrujące. Jednakże weryfikacja zgłoszenia trwa zazwyczaj dość długo, w przypadku aplikacji Phishtank średnio 2 dni. Przez ten czas przestępy mogą oszukać niejednego użytkownika Internetu.

W II kwartale br. cyberprzestępcy włączyli do botnetów 14 mln maszyn, o 16% więcej niż w ubiegłym kwartale. Oznacza to, że każdego dnia zostaje zainfekowanych średnio 150 tys. komputerów – wynika z najnowszego raportu McAfee.

Największą aktywność botnetów odnotowała Korea Południowa – liczba nowo zarażonych komputerów wzrosła w tym kraju o 45% (choć w skali świata stanowi to tylko 3,8%). Jak podaje McAfee, na początku lipca botnety te posłużyły do przeprowadzenia ataków DDoS na strony internetowe Białego Domu, Nowojorskiej Giełdy Papierów Wartościowych oraz rządu Korei Południowej.

W niechlubnym zestawieniu krajów z największym przyrostem zainfekowanych maszyn przodują Stany Zjednoczone, w których powstało 15,7% nowych komputerów-zombie. Kolejne miejsca w rankingu przypadły Chinom (9,3%) i Brazylii (8,2%). Do pierwszej dziesiątki załapały się jeszcze Rosja, Niemcy, Włochy, wspomniana już Korea Południowa, Indie, Wielka Brytania i Hiszpania.

Liczba komputerów w botnetach wciąż rośnie, dlatego twórcy szkodliwego oprogramowania zaczęli udostępniać swoje aplikacje jako usługi dla kontrolujących je osób. Programy takie, jak Zeus – łatwe w użyciu narzędzie do tworzenia koni trojańskich, sprawiają, że opracowywanie i rozpowszechnianie złośliwych kodów staje się coraz prostsze.

Do najczęściej wykrywanych szkodników należą jednak aplikacje infekujące pliki automatycznego startu różnego typu nośników (w tym przenośnych pamięci USB). Osławiony Conficker może poszczycić się czterokrotnie mniejszą liczbą odnotowanych ataków. Jak obliczyli analitycy firmy McAfee, w ciągu 30 dni szkodliwe oprogramowanie wykorzystujące autostart zaraziło ponad 27 mln plików.

Rozszerzanie się botnetów jest natomiast głównym powodem rosnącej liczby niechcianych wiadomości, które stanowią już 92% poczty elektronicznej. Ilość spamu o 20% przekroczyła dotychczasowy rekord i wzrasta każdego miesiąca o ok. 33%. Oznacza to, że liczba e-maili kwalifikowanych jako spam zwiększa się codziennie o ponad 117 miliardów.

W rankingu krajów rozsyłających najwięcej spamu tradycyjnie pierwsze miejsce zajmują Stany Zjednoczone – pochodzi stamtąd 25,5% niechcianych wiadomości. Na podium znalazły się jeszcze Brazylia (9,8%) i Turcja (5,8%). Polska uplasowała się na 5. miejscu (4,9%), podczas gdy ubiegłym kwartale zajmowała 10. pozycję (1,8%). Warto w tym miejscu przypomnieć, że w zestawieniu największych spamerów świata, które przygotowała firma Sophos, nasz kraj ulokował się na 8. miejscu.

Raport na temat cyberzagrożeń w II kwartale br. można znaleźć na stronie firmy McAfee (PDF).

Wakacje analityków?

W Czerwcu odbył się 10 zjazd analityków szkodliwego oprogramowania. To organizowane co pół roku spotkanie tym razem miało miejsce w Dubrowniku, w Chorwacji. W ramach imprezy firma Kaspersky Lab zorganizowała „media tour” dla dziennikarzy z całego świata, który obejmował prezentacje czterech czołowych analityków szkodliwego oprogramowania pracujących w firmie Kaspersky Lab.

Roel Schouwenberg, główny analityk zagrożeń z Ameryki Północnej, przedstawił prezentację na temat najbardziej rozpowszechnionych luk w zabezpieczeniach oprogramowania, które są obecnie najczęściej wykorzystywane przez twórców szkodliwego oprogramowania. Roel wspomniał o pomocy, jakiej użytkownicy udzielają firmie Kaspersky Lab, uczestnicząc w projekcie Kaspersky Security Network, który pozwala analitykom uzyskiwać informacje i przydatne statystyki dotyczące luk w zabezpieczeniach.

Denis Maslennikow, starszy analityk szkodliwego oprogramowania i menedżer Mobile Research Group, przedstawił dziennikarzom rozwój mobilnych zagrożeń w 2009 roku. Według Denisa, mobilne zagrożenia, które obecnie stają się cyberzagrożeniami, mają za zadanie głównie umożliwienie cyberprzestępcom zarobienia pieniędzy. Prezentacja dotyczyła różnych aspektów współczesnych zagrożeń mobilnych, łącznie z phishingiem i spamem wysyłanym za pośrednictwem wiadomości SMS.

Stefan Tanase, analityk szkodliwego oprogramowania z EEMEA, mówił o kwestiach bezpieczeństwa związanych z portalami społecznościowymi. Stefan zauważył, że portale te, popularne wśród użytkowników Web 2.0, zaczęły przenikać do sektora korporacyjnego, otwierając tym samym nowe horyzonty przed przestępcami. Użytkownicy portali społecznościowych, obdarzając się nawzajem zaufaniem, dają zielone światło również intruzom, a w rezultacie ponoszą konsekwencje działań cyberprzestępczych.

Siergiej Golowanow, szef Non-Intel Platforms Threats Research Group, przedstawił strategie i metody wykorzystywane przez przestępców w obecnej cyberprzestrzeni. Siergiej zauważył, że za „niesławnymi” botnetami, takimi jak Kido (Conficker), stoją zorganizowane grupy przestępcze, działające w oparciu o „programy partnerskie”, tj. specjalne modele biznesowe, w których każdy uczestnik jest odpowiedzialny za rozwój określonego segmentu biznesu cyberprzestępczego i posiada udział w zyskach końcowych.

Podczas zorganizowanego w ramach zjazdu dnia otwartego wymienieni analitycy wirusów, wraz z ekspertem ds. wirusów i szefem globalnego zespołu ds. badań i analizy z Kaspersky Lab EEMEA Witalijem Kamliukiem, uczestniczyli w dyskusjach przy okrągłym stole z udziałem prasy.

Prezentacje ekspertów Kaspersky Lab zgromadziły ponad 30 przedstawicieli największych mediów biznesowych, komputerowych i ogólnych. Każdy miał możliwość przeprowadzenia osobistego wywiadu z Jewgienijem Kasperskim, dyrektorem generalnym Kaspersky Lab, oraz z czołowymi ekspertami z dziedziny bezpieczeństwa IT.

Uczestnicy imprezy mieli również jeden dzień wolny, w którym mogli wypocząć na piaszczystej plaży słonecznej Chorwacji i sprawdzić się  jako żeglarze w miniregatach.   Więcej informacji na temat 10 zjazdu analityków zagrożeń, prezentacje i zdjęcia, można znaleźć na stronie www.kasperskypresstour.com.