ewolucja - Kaspersky Lab

Transkrypt

EWOLUCJA
ATAKÓW PHISHINGOWYCH:
2011-2013
2
Przegląd
Czerwiec 2013
Zaledwie kilka lat temu ataki phishingowe były uznawane przez specjalistów za jedno z wielu zagrożeń
spotykanych w spamie. Z technicznego punktu widzenia phishing pozostawał przez jakiś czas dość
prymitywny. Był stosunkowo rzadki i zazwyczaj stanowił zagrożenie jedynie dla najbardziej naiwnych i
niedoświadczonych użytkowników. Obecnie jednak skala takich ataków i wykorzystywane technologie
ewoluowały tak bardzo, że phishing został uznany za osobną kategorię, zasługującą na oddzielne
badanie.
Phishing to rodzaj szkodliwego ataku, w którym cyberprzestępcy tworzą fałszywą stronę internetową –
przypominającą popularny zasób internetowy (portal społecznościowy, serwis bankowości online lub
gra online) – i wykorzystują różne metody socjotechniczne w celu zwabienia użytkowników na taką
stronę. Strona phishingowa zawiera zwykle pola tekstowe przeznaczone do wprowadzenia danych
osobistych przez użytkowników. Rodzaj danych, którymi są zainteresowani cyberprzestępcy, będzie
określał typ ataku phishingowego.
Na przykład, jeżeli celem szkodliwego użytkownika jest kradzież danych umożliwiających dostęp do
konta ofiary na portalu społecznościowym, będzie on próbował nakłonić użytkowników do podania ich
adresu e-mail i hasła do portalu społecznościowego przy użyciu fałszywej strony internetowej, która
ma wyglądać jak dany portal społecznościowy.
Jeżeli celem cyberprzestępcy są pieniądze ofiary, wtedy fałszywa strona internetowa może zawierać
pole, w którym użytkownik ma wpisać imię i nazwisko, dane kontaktowe oraz informacje dotyczące
karty kredytowej.
Czasami szkodliwy użytkownik może chcieć zebrać możliwie jak najwięcej informacji od swojej ofiary –
w takim przypadku fałszywa strona może zawierać cały formularz z wieloma dziesiątkami pól do
wpisania danych.
Chociaż cele ataków phishingowych różnią się, ostateczny cel wszystkich szkodliwych użytkowników
zaangażowanych w tego rodzaju szkodliwą aktywność jest zawsze taki sam: zarobić pieniądze w
sposób nielegalny.
Mogą go osiągnąć, bezpośrednio kradnąc pieniądze od ofiary, jak ma to miejsce w przypadku fałszywych serwisów bankowości internetowej, sklepów internetowych czy subskrypcji gier online. Mogą
jednak zastosować podejście pośrednie, tj. sprzedaż skradzionych baz danych na czarnym rynku. Duża
ilość danych użytkowników może przydać się cyberprzestępcom do wielu różnych szkodliwych ataków
obejmujących wysyłki spamowe oraz rozprzestrzenianie szkodliwego oprogramowania.
Dla celów niniejszego badania przeanalizowaliśmy pochodzące z opartej na chmurze usługi Kaspersky
Security Network dane dotyczące wszystkich zagrożeń, jakie pojawiły się na komputerach z zainstalowanym produktem firmy Kaspersky Lab. Dane te są przesyłane anonimowo. Użytkownicy, którzy
zgadzają się uczestniczyć w tym projekcie przyczyniają się do zwiększenia bezpieczeństwa, szczególnie własnego komputera, ale również innych użytkowników. Im więcej danych dotyczących zagrożeń
jest dostępnych w sieci KSN, tym częściej jest ona uaktualniana i tym większa staje się liczba zagrożeń, przed którymi chronią użytkowników produkty Kaspersky Lab. Sieć Kaspersky Security Network
posiada ponad 60 milionów użytkowników na całym świecie.
Analizując dane pochodzące z usługi KSN, zdołaliśmy przeprowadzić badanie w celu określenia, jak
szeroko phishing jest rozpowszechniony, gdzie znajduje się najwięcej ofiar i źródeł phishingu, listy
głównych typów stron internetowych oraz serwisów internetowych, które są najczęściej wykorzystywane przez cyberprzestępców w celu oszukania użytkowników internetu.
© 1997-2013
Kaspersky Lab ZAO. Wszelkie prawa zastrzeżone.
3
Metodologia
Źródła danych:
Użytkownicy produktów firmy Kaspersky Lab, którzy zgodzili się anonimowo
udostępniać swoje dane dotyczące wykrytych zagrożeń opartej na chmurze usłudze
Kaspersky Security Network;
Dane zostały uzyskane od 50 milionów indywidualnych użytkowników;
Komputery działały pod kontrolą systemu operacyjnego Windows;
Badania zostały przeprowadzone przez ekspertów z Kaspersky Lab.
Czas badania: dla celów sporządzenia tego raportu przeanalizowano dane z lat 2011-2013
(dwa równe okresy, z których każdy rozciągał się od 1 maja do 30 kwietnia kolejnego roku).
Podczas badania analizie zostały poddane następujące parametry:
Łączna liczba zarejestrowanych ataków phishingowych w danym okresie;
Kanały, za pośrednictwem których dostarczane są odsyłacze do stron phishingowych;
Rozkład geograficzny i liczba ofiar ataku;
Rozkład geograficzny i liczba źródeł ataków;
Klasyfikacja celów ataków (strony imitowane najczęściej przez szkodliwych użytkowników);
Zmiany w zakresie celów ataków w zależności od atakowanego kraju.
Ważna informacja: podczas badania Kaspersky Lab zidentyfikował ogromną liczbę ataków
na banki na całym świecie. Nazwy tych banków zostały celowo usunięte z tekstu,
aby nie zaszkodzić ich reputacji.
© 1997-2013
4
Główne wyniki
W latach 2012-2013 37,3 milionów użytkowników na całym świecie zostało
poddanych atakom phishingowym – co stanowi wzrost o 87% w stosunku
do lat 2011-2012.
Ataki phishingowe były najczęściej wymierzone w użytkowników w Rosji,
Stanach Zjednoczonych, Indiach, Wietnamie oraz Wielkiej Brytanii.
Ataki phishingowe były najczęściej przeprowadzane ze Stanów Zjednoczonych, Wielkiej Brytanii, Niemiec, Rosji oraz Indii.
Yahoo!, Google, Facebook oraz Amazon to główne cele szkodliwych użytkowników. Powszechnym celem są również serwisy gier online, systemy płatności
online oraz strony internetowe banków i innych instytucji finansowych i kredytowych.
Celem ponad 20% wszystkich ataków są banki i inne organizacje finansowe
lub kredytowe.
Liczba unikatowych źródeł ataków w 2012 i 2013 roku zwiększyła się o 3,3%.
Ponad połowa (56,1%) wszystkich zidentyfikowanych źródeł ataków phishingowych została zlokalizowana w zaledwie 10 krajach.
W latach 2012-2013 102 100 użytkowników internetu na całym świecie
było poddawanych atakom phishingowym każdego dnia. Jest to dwukrotnie
więcej niż liczba celowych ofiar w poprzednim okresie.
Ponad 50% wszystkich indywidualnych celów (921 nazw z 1 739 w bazie
danych KSN) stanowiły fałszywe kopie stron internetowych banków
oraz innych organizacji finansowych lub kredytowych.
Phishing zawiera kilka lokalnych akcentów: cele phisherów różnią się w zależności od państwa i zależą od popularności lokalnych zasobów internetowych.
© 1997-2013
5
Część I:
W jaki sposób przestępcy zdobywają twoje pieniądze
i dane osobiste?
Scenariusze phishingu: w jaki sposób nakłaniają cię, abyś grał w ich grę?
Zanim przejdziemy do wyników badania, warto opisać sytuacje, w których użytkownik może trafić
na phishing, oraz technologie stosowane przez phisherów. Jest wiele przykładów oszustw wykorzystujących phishing.
Phishing jest często stosowany przez cyberprzestępców parających się oszustwami związanymi z
wiadomościami tekstowymi, w których użytkownicy są podstępem nakłaniani do odwiedzenia sfałszowanej strony portalu społecznościowego, a następnie – pod różnym pretekstem – zachęcani do
subskrypcji płatnej usługi wiadomości tekstowych. Tego rodzaju szkodliwa aktywność jest często
wykorzystywana w oszustwach, w których szkodliwy użytkownik nakłania ofiarę do przekazania mu
swoich pieniędzy, udając, że jest pracownikiem urzędu skarbowego lub organów ścigania. W przypadku tego rodzaju oszustw, ofiary otrzymują wiadomość e-mail informującą o niezapłaconym podatku
lub mandacie z odsyłaczem do strony internetowej, za pośrednictwem której rzekomo otrzymają
więcej informacji lub dokonają przelewu określonej sumy na rzecz szkodliwych użytkowników.
Phishing jest również wykorzystywany w oszustwach z udziałem fałszywych produktów antywirusowych: szkodliwi użytkownicy tworzą fałszywe wersje stron dobrze znanych producentów rozwiązań
bezpieczeństwa, aby przestraszyć użytkowników komunikatami o rzekomym wykryciu zagrożeń
na ich komputerach i wyłudzić pieniądze za zapewnienie ochrony przed nimi.
Ponadto, phishing może zostać użyty jako pierwszy krok w ukierunkowanym ataku na jedną lub kilka
organizacji. Przykładem jest atak, gdy wszystko, co musi zrobić szkodliwy użytkownik, to stworzyć
fałszywy interfejs sieciowy w celu uzyskania dostępu do korporacyjnego systemu poczty e-mail
organizacji, a następnie zwabić personel na taką fałszywą stronę. Dzięki temu przestępca uzyska
co najmniej dostęp do poufnej korespondencji. W najgorszym razie dane dotyczące konta e-mail
będą odpowiadały danym autoryzacyjnym dla stacji roboczych pracowników, a szkodliwy użytkownik
będzie posiadał informacje niezbędne do zdalnego połączenia się z komputerem firmowym
tego pracownika.
W jaki sposób dokonuje się oszustw: od fałszywych stron internetowych
po szkodliwe oprogramowanie i luki XSS
Phisherzy stosują szereg różnych metod w celu oszukania swoich potencjalnych ofiar. Oprócz
oczywistej konieczności stworzenia dokładnej kopii strony internetowej, która zostanie wykorzystana
do przeprowadzenia ataku na użytkownika, przestępcy przygotowują również przykrywkę, wykorzystując podobne adresy URL, zamieniając jeden lub kilka znaków w nazwie strony internetowej
lub wykorzystując nazwy popularnych stron w subdomenach. Jeżeli kanałem, poprzez który zostaje
dostarczony odsyłacz phishingowy, jest poczta e-mail lub dokumenty elektroniczne (.doc, .odt
lub inne), szkodliwi użytkownicy często uciekają się użycia hiperłączy, dostępnych zwykle w większości edytorów tekstowych i w klientach pocztowych.
Dla ostrożnych, doświadczonych użytkowników internetu, którzy zwracają uwagę na zawartość
ciągów adresu i sprawdzają, czy odsyłacz oraz osadzony adres URL pasują do siebie, tego rodzaju
ataki mogą nie stanowić wielkiego zagrożenia. Jednak cyberprzestępcy często stosują bardziej
zaawansowane metody, które dla niewprawnego oka mogą nie być tak oczywiste.
© 1997-2013
6
Wykorzystując JavaScript, który jest wbudowany w większość współczesnych przeglądarek, szkodliwi użytkownicy mogą zmylić użytkowników, wyświetlając adres URL rzeczywistej strony internetowej w oknie z otwartą stroną phishingową. W takim przypadku oszustwo zauważą ci użytkownicy,
którzy mają wyłączony JavaScript w ustawieniach przeglądarki.
Ataki phishingowe, które wykorzystują XSS (Cross Site Scripting), stanowią jeszcze większe
zagrożenie dla sieci użytkowników – w tym przypadku zagrożeni są nawet ostrożni i świadomi
użytkownicy. W tym oszustwie cyberprzestępcy wykorzystują lukę w zabezpieczeniach rzeczywistej strony internetowej, do której uzyskuje dostęp użytkownik. Wykorzystując tę lukę w zabezpieczeniach serwera, na którym utrzymywana jest strona, phisher może zaszyć dowolne kod
w strukturze HTTP strony. Kod ten może wyświetlać fałszywe okno, w którym należy wprowadzić
dane autoryzacyjne. W praktyce, pozwala to szkodliwym użytkownikom potajemnie kraść dowolne
dane, które użytkownik podaje podczas interakcji ze stroną internetową.
Istnieje również inny, szczególnie niebezpieczny typ phishingu, który wykorzystuje modyfikację
pliku Hosts na komputerach ofiar.
W tym przypadku, komputer użytkownika jest zainfekowany specjalnym szkodliwym programem
(takim jak rodzina QHost), który zmienia plik Hosts i zastępuje go opartymi na literach adresami
URL do rzeczywistych stron internetowych, za pośrednictwem których planowane są ataki,
oraz adresami IP serwerów szkodliwych użytkowników, na których zostały umieszczone fałszywe
wersje tych stron. Dowolna przeglądarka w systemie Windows działa w taki sposób, że za każdym
razem, gdy użytkownik wprowadza adres w pole URL i klika „idź”, przeglądarka sprawdza najpierw
zawartość pliku Hosts. Jeżeli adres wprowadzony przez użytkownika jest zawarty w pliku Hosts
i jest powiązany z adresem IP serwera, wtedy przeglądarka użyje tego samego adresu IP w celu
wykonania połączenia. Funkcja ta jest domyślnie wbudowana w system Windows, również dla
ustanawiania połączeń z wewnętrznymi zasobami elektronicznymi firmy, do których nie można
uzyskać dostępu z zewnątrz. Co więcej, wykorzystanie wpisów w plikach Hosts teoretycznie
przyspieszy proces łączenia się ze stronami internetowymi, ponieważ po znalezieniu danych
potrzebnych do połączenia w pliku Hosts przeglądarka nie będzie próbowała skontaktować się ze
zdalnymi serwerami DNS w celu uzyskania danych o tym, który adres alfanumeryczny odpowiada
adresowi IP. Użytek z tego robią szkodliwi użytkownicy, którzy wykorzystują szkodliwe oprogramowanie, takie jak QHost w celu wskazania rzeczywistego adresu alfanumerycznego strony internetowej i porównania go z adresem IP własnego serwera, na którym znajduje się fałszywa kopia
zasobu internetowego. W efekcie, nawet doświadczony użytkownik nie zauważy przekierowania.
Szkodliwe programy zmieniające adresy serwerów DNS (takie jak np. DNSChanger), przy pomocy
których komputer kieruje żądania wysyłane za pośrednictwem przeglądarki działają w podobny
sposób, ale w nieco innym podsystemie maszyny. Domyślnie ustawienia zawierają już adresy
serwera DNS dla połączeń sieciowych zalecanych przez dostawcę usług internetowych właściciela
komputera. Trojany, takie jak DNSChanger, zamieniają te adresy na adresy serwera DNS szkodliwych użytkowników, dzięki czemu przestępcy mogą przekierowywać użytkowników na dowolną
stronę internetową, niezależnie od tego, czy adres ten został rzeczywiście wpisany do przeglądarki.
Podobnie jak w przypadku phishingu XSS, tego rodzaju zagrożenia nie można pokonać bez użycia
rozwiązań bezpieczeństwa potrafiących rozpoznać atak.
© 1997-2013
7
Jednocześnie, ze względu na swój charakter najprostsze ataki phishingowe mogą zostać przeprowadzone bez większych inwestycji w infrastrukturę lub dogłębne badania technologiczne. Sytuacja ta doprowadziła do swoistej „komercjalizacji” tego rodzaju ataków i phishing stał się obecnie
niemal zindustrializowany, zarówno przez cyberprzestępców posiadających umiejętności technolo- .
giczne na poziomie profesjonalnym oraz dyletantów w dziedzinie IT.
Ogólnie rzecz biorąc, skuteczność phishingu, w połączeniu z jego dochodowością i prostotą,
doprowadził do stałego wzrostu liczby tego typu incydentów.
© 1997-2013
8
Część II:
Wzrost zagrożeń
Użytkownicy internetu mogą trafić na odsyłacze do stron phishingowych na dwa sposoby: surfując
po sieci lub korzystając z poczty e-mail. Podczas tego badania zdołaliśmy ustalić, że zdecydowana
większość ataków phishingowych jest przeprowadzana na użytkowników, w czasie gdy surfują
po internecie.
Dwa główne sposoby rozprzestrzeniania odsyłaczy phishingowych
Przeglądarka
87,91%
Poczta e-mail
12,09%
Na odsyłacz do strony phishingowej najłatwiej natrafić podczas surfowania po internecie: banery
reklamujące legalne strony, wiadomości na forach i blogach oraz prywatne wiadomości na portalach społecznościowych mogą okazać się pułapką.
Chociaż na odsyłacze phishingowe o wiele rzadziej natkniemy się w poczcie e-mail niż w internecie, w ciągu jednego roku odsetek oszustw phishingowych w poczcie e-mail wzrósł o 1,86 punktu
procentowego w stosunku do 10,23% w latach 2011 – 2012, i w latach 2012 - 2013 zwiększył się
do 12,09%.
Punkt procentowy jest jednostką stosowaną do porównywania ilości wyrażonych
w procentach w różnych okresach. Na przykład, jeżeli ilość phishingu w poczcie
e-mail w ciągu jednego roku wynosiła 10,23%, a w następnym 12,09%, wtedy
w ciągu tego roku odsetek wzrósł o 2 punkty procentowe (chociaż w standardowym oznaczeniu procentowym wielkość wzrostu byłaby równa około 17%).
W badaniu tym w przypadku porównywania dwóch ilości wyrażonych procentowo, zmiany zostaną przedstawione w punktach procentowych.
Wykorzystując te dwa kanały jako nośniki odsyłaczy phishingowych, w latach 2012-2013 phisherzy
zaatakowali 37,3 mln użytkowników internetu na całym świecie, co stanowi wzrost w stosunku
do 19,9 mln w poprzednim roku.
© 1997-2013
9
Globalna dynamika ataków phishingowych
+87%
Mln użytkowników
19,90
2011-2012
Mln użytkowników
37,30
2012-2013
W ciągu roku liczba użytkowników zaatakowanych na całym świecie zwiększyła się o około 87%,
lub mniej więcej 17,4 mln użytkowników internetu.
Większość ofiar w okresie 2012-2013 to użytkownicy internetu mieszkający w Rosji, Stanach Zjednoczonych, Indiach, Niemczech, Wietnamie, Wielkiej Brytanii, Francji, we Włoszech, w Chinach
i na Ukrainie. W tych 10 państwach znajdowało się 64,05% wszystkich ofiar ataków phishingowych
w badanym okresie.
Oprócz wzrostu liczby atakowanych użytkowników zwiększyła się również liczba serwerów biorących udział w atakach phishingowych.
© 1997-2013
10
Liczba oddzielnych źródeł ataków
Mln unikatowych adresów IP
7,30
2011-2012
Mln unikatowych adresów IP
24,14
2012-2013
Liczba oddzielnych źródeł ataków phishingowych w okresie 2012-2013 zwiększyła się 3,3 razy.
Większość serwerów utrzymujących strony phishingowe było zlokalizowanych w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Rosji, Indiach, Kanadzie, Francji, Australii, na Ukrainie
i we Włoszech.
Liczba ataków phishingowych na użytkowników zwiększyła się niemal
dwukrotnie, a liczba źródeł ataków – trzykrotnie.
Często na serwerach tych utrzymywane były fałszywe kopie stron wyszukiwarek, takich jak
Yahoo! i Google, oprócz strony Facebooka i Amazona.
© 1997-2013
11
Najczęściej atakowane: portale społecznościowe, wyszukiwarki i banki
Inne
49,07%
Banki
20,64%
Amazon
3,86%
Yahoo!
9,85%
Facebook
9,69%
Google
6,89%
Łączna liczba zidentyfikowanych celów: 1 739
Łącznie 30,29% wszystkich zidentyfikowanych odsyłaczy phishingowych prowadziło do
stron, na których wymieniano Yahoo!, Facebook, Google i Amazon. Drugim najczęstszym celem były banki i inne organizacje finansowe, stanowiące 20,64% wszystkich
zidentyfikowanych celów ataków.
Lista najczęstszych celów obejmuje wyszukiwarki i serwisy pocztowe, portale społecznościowe, sklepy internetowe oraz portale aukcyjne, serwisy gier online, blogi, banki i inne
rodzaje organizacji finansowych i kredytowych, jak również systemy płatności, strony firm
IT oraz strony operatorów telekomunikacyjnych. W skrócie, są to główne zasoby internetowe, na których szkodliwi użytkownicy mogą wyciągnąć od użytkowników ich cenne,
osobiste dane.
Tak ogólnie wygląda rozwój zagrożeń phishingowych na globalnym poziomie. Liczba
atakowanych użytkowników wzrosła niemal dwukrotnie, natomiast liczba źródeł tych
ataków potroiła się.
Tymczasem dane uzyskane z usługi Kaspersky Security Network mogą pomóc w przeprowadzeniu bardziej dogłębnej analizy rozwoju zagrożeń phishingowych na przestrzeni
ostatnich dwóch lat.
© 1997-2013
12
Część III:
Geografia phishingu
10 najczęściej atakowanych państw
Lista 10 najczęściej atakowanych państw przez phisherów praktycznie nie zmieniła się
w okresie 2012-2013 w stosunku do 2011-2012. Jedyne zmiany, jakie miały miejsce, dotyczyły
odsetka atakowanych użytkowników w państwach, w których zostały zarejestrowane ataki
phishingowe.
Na przykład Rosja nadal znajduje się na pierwszym miejscu pod względem liczby zaatakowanych użytkowników, nawet jeśli udział ataków zmniejszył się o 3,74 punktu procentowego.
Również Chiny odnotowały znaczny spadek: w okresie 2011 – 2012 odsetek użytkowników
w Chinach poddanych atakom phishingowym wynosił 3,85% łącznej liczby ofiar phishingu
w tym okresie, dzięki czemu państwo to uplasowało się na piątym miejscu wśród najczęściej
atakowanych państw. Jednak pod koniec następnego okresu chińscy użytkownicy stanowili
już zaledwie 2,30% wszystkich ofiar ataków, przez co państwo to znalazło się na dziewiątym
miejscu w rankingu. Pozostałe państwa, które zarejestrowały niewielki spadek liczby ataków,
to Wielka Brytania, Francja oraz Ukraina.
10 najczęściej atakowanych państw w okresie 2012-2013
Federacja
Rosyjska
Inne
35,95%
18,72%
Stany
Zjednoczone
12,29%
Ukraina
Indie
9,92%
2,25%
Niemcy
Chiny
6,22%
2,30%
Włochy
2,49%
Francja
3,25%
Wielka
Brytania
3,26%
Wietnam
3,35%
Dane pochodzące z 240 państw w okresie 2012-2013
Odsetek ataków na użytkowników w Stanach Zjednoczonych zwiększył się z 9,83% w okresie
2011-2012 do 12,29% w okresie 2012-2013. Odsetek użytkowników zaatakowanych w Indiach,
Niemczech oraz Wietnamie również rósł, ale wolniej.
© 1997-2013
13
10 zaatakowanych państw w okresie 2011-2013
25%
20%
15%
2011-2012
2012-2013
10%
5%
Federacja Rosyjska
Stany Zjednoczone
Indie
Niemcy
Wietnam
Wielka Brytania
Francja
Włochy
Chiny
Ukraina
0%
Mimo spadku odsetka celów phishingowych w wielu krajach liczba ataków w różnych państwach
nadal wzrasta. Na przykład, liczba użytkowników zaatakowanych w Rosji w ciągu minionego roku
zwiększyła się o 56,1% z 4,47 do 6,98 mln użytkowników. Chociaż Rosja znajduje się na pierwszym miejscu pod względem liczby ofiar, 50% wzrost odnotowany przez to państwo wciąż nie
stanowi największego wzrostu w tej kategorii. Liczba użytkowników poddanych atakom phishingowym w Wietnamie zwiększyła się 2,5 razy w ciągu ostatniego roku z 480 000 do 1,2 mln.
W okresie 2012-2013, codziennie 102 100 użytkowników na świecie było poddanych
atakom phishigowym. To dwukrotnie więcej niż liczba ofiar w okresie 2011 - 2012.
W Stanach Zjednoczonych liczba użytkowników stanowiących cel ataków phishingowych zwiększyła
się 2,3 razy z 1,9 mln do 4,5 mln. Wskaźnik ten był dwukrotnie wyższy niż w Indiach, gdzie liczba ofiar
phishingu zwiększyła się z 1,62 mln do 3,7 mln. Liczba użytkowników internetu poddanych atakom
phishingowym podwoiła się zarówno w Niemczech (2,3 mln w okresie 2012-2013) oraz we Włoszech
(930 000 w 2012-2013).
Federacja Rosyjska
8 mln
7 mln
6 mln
5 mln
4 mln
3 mln
2 mln
1 mln
0
Stany Zjednoczone
Indie
Niemcy
Chiny
Francja
Wielka Brytania
Ukraina
Wietnam
Włochy
© 1997-2013
2011-2012
2012-2013
14
Nastąpił stosunkowo niewielki wzrost liczby ataków zarejestrowanych w Chinach, gdzie „zaledwie” 858 000 użytkowników było poddanych atakom phishingowym w okresie 2012-2013. Dla
porównania, w okresie 2011-2012 liczba ta wynosiła 767 000. Lista 10 państw o najwyższym
współczynniku wzrostu liczby ataków phishingowych opiera się liczbie użytkowników, którzy
zostali zaatakowani w ciągu roku, dlatego nietrudno obliczyć, jak wielu użytkowników było poddawanych atakom w ciągu jednego dnia.
Rosja
+56%
Niemcy
Francja
+61%
Ukraina
+107%
+41%
Włochy
Wielka Brytania
Stany Zjednoczone
+95%
+70%
+134%
Chiny
+12%
Indie
+128%
Wietnam
+160%
W okresie 2012-2013 atakom phishingowym poddawanych było dziennie 102 100 użytkowników na świecie. W Rosji każdego dnia atakowanych było 19 000 użytkowników, w Stanach
Zjednoczonych – 12 000, w Indiach – 10 000, w Niemczech – 6 000, we Francji – 3 000,
a kolejne 3 000 w Wielkiej Brytanii. W poprzednim roku liczby te były znacznie niższe. W okresie od 1 maja 2011 r. do 30 kwietnia 2012 roku prawie 52 000 użytkowników na świecie było
poddawanych atakom phishingowym każdego dnia. Średnio 12 000 użytkowników było atakowanych w Rosji, 5 000 w Stanach Zjednoczonych, 4 000 w Indiach, 3 000 w Niemczech, 2 000
we Francji oraz 1 000 użytkowników w Wielkiej Brytanii.
Ogólnie, ilość i intensywność ataków phishingowych zwiększyły się ponad dwukrotnie w ciągu
ostatnich dwóch lat. Mimo to „całościowy obraz” ewolucji zagrożeń phishingowych byłby niepełny bez analizy lokalizacji źródeł takich ataków.
© 1997-2013
15
Skąd pochodzą ataki phishingowe?
10 państw, w których zlokalizowanych jest najwięcej szkodliwych serwerów, bardzo różni się
od 10 najczęściej atakowanych państw.
Lokalizacja wrogich serwerów w okresie 2012-2013
Stany
Zjednoczone
Inne
43,38%
18,67%
Włochy
2,30%
Wielka
Brytania
Ukraina
2,48%
6,69%
Australia
Niemcy
6,03%
Federacja
Rosyjska
5,59%
3,21%
Indie
4,77%
Kanada
3,58%
Francja
3,29%
Jak pokazuje powyższy wykres, Stany Zjednoczone stanowiły główne źródło ataków phishingowych w okresie 2012-2013. Stany Zjednoczony nie tylko znajdują się na prowadzeniu pod
względem liczby wrogich hostów phishingowych, ale w porównaniu z okresem 2011-2012,
odnotowały również wzrost o 5,89 punktu procentowego łącznej liczby wszystkich zidentyfikowanych źródeł ataków. Żadne inne państwo nie zarejestrowało tak dużego wzrostu łącznej
liczby źródeł phishingu.
Łącznie, 10 największych źródeł phishingu stanowi 56,61% wszystkich
azidentyfikowanych źródeł ataków phishingowych.
W pierwszej dziesiątce mieszczą się również państwa, które odnotowały znaczny spadek tzw.
„udziału” w łącznej liczbie źródeł odsyłaczy phishingowych. Największy spadek odnotowała Rosja
– jej udział spadł z 9,55% do 5,59%. Liczba źródeł ataków w Indiach również spadła o 0,92
punktu procentowego, do 4,77%, natomiast we Francji - o 0,89 punktu procentowego, do 3,29%.
Z kolei udział źródeł phishingu znajdujących się w Wielkiej Brytanii zmniejszył się o 0,88 punktu
procentowego i wynosił 6,69%.
© 1997-2013
16
W porównaniu z listą 10 państw atakowanych najczęściej przez phisherów zestawienie
10 największych źródeł phishingu posiada dwie nowości: Kanadę i Australię, które znajdują się
odpowiednio na 6 i 8 miejscu. Kanada stanowi 3,58% źródeł, natomiast Australia 3,21%.
Oba te państwa odnotowały wzrost liczby źródeł ataków phishingowych w stosunku
do poprzedniego okresu: Kanada o 0,31 punktu procentowego, natomiast Australia o 1,14
punktu procentowego.
Stany Zjednoczone nie tylko znajdują się na pierwszym miejscu pod względem
liczby wrogich hostów phishingowych (18,67% wszystkich źródeł ataków
phishingowych), ale również odnotowały największy wzrost od roku 2011-2012
– 5,89 punktu procentowego pod względem liczby identyfikowalnych źródeł
ataków phishingowych.
Lokalizacja wrogich serwerów w okresie 2011-2013
20 %
15 %
2011-2012
2012-2013
10 %
5%
Stany Zjednoczone
0%
Wielka Brytania
Niemcy
Federacja Rosyjska
Indie
Kanada
Francja
Australia
Ukraina
Włochy
Tak jak w przypadku liczby zaatakowanych użytkowników, spadek udziału niektórych państw
w łącznej liczbie identyfikowalnych źródeł ataków phishingowych nie oznacza rzeczywistego
spadku liczby źródeł. Wskaźnik ten wzrósł we wszystkich państwach.
© 1997-2013
17
Liczba różnych hostów w okresie 2011-2013
Stany Zjednoczone
2011-2012
4.5 mln
4 mln
3.5 mln
3 mln
2.5 mln
2 mln
1.5 mln
1 mln
0
2012-2013
Wielka Brytania
Niemcy
Federacja Rosyjska
Indie
Kanada
Francja
Australia
Ukraina
Włochy
10 państw hostujących najwięcej ataków phishingowych
oraz posiadających najwięcej identyfikowalnych źródeł ataków:
Rosja
+94%
Kanada
+386%
Niemcy
Francja
+160%
Ukraina
+219%
+230%
Włochy
Wielka Brytania
Stany Zjednoczone
+264%
+192%
+383%
Indie
+177%
Australia
+266%
© 1997-2013
18
Kanada, Stany Zjednoczone oraz Australia znajdują się na wyraźnym prowadzeniu w tej kategorii, zdecydowanie przed innymi państwami na liście Top 10. Najwolniejszy wzrost został odnotowany w Indiach, we Francji i w Rosji.
Istnieje kilka możliwych powodów zmian na liście 10 największych źródeł ataków phishingowych,
jakie miały miejsce w ostatnim roku; różnice te mogły zostać wywołane przez zmiany w przepisach i polityce, które miały wpływ na internet i sprawiły, że phishing stał się bardziej ryzykowny
pod względem odpowiedzialności karnej, a tym samym wymagał więcej czasu i pracy na rozwój
odpowiedniej infrastruktury. Pewną rolę mógł również odegrać wzrost liczby dostępnych usług
hostingowych oferujących wysoki poziom anonimowości klienta oraz inne czynniki. Jednak
niezależnie od powodów liczby pokazują, że w ciągu ostatniego roku lista państw hostujących
największą liczbę stron phishingowych nie zmieniła się. Łącznie, państwa z pierwszej dziesiątki
stanowią około 56,61% identyfikowalnych źródeł ataków phishingowych.
Informacje o liczbie i rozkładzie geograficznym ofiar oraz źródeł ataków phishingowych pomagają nam zrozumieć skalę zagrożenia, jakie stanowi phishing, chociaż pytanie o to, w jaki sposób
cyberprzestępcy uzyskują cenne dane, które chcą przechwycić podczas swoich prób przyciągnięcia uwagi użytkowników oraz oszukania swoich potencjalnych ofiar, pozostaje bez odpowiedzi. Zdobyliśmy jednak pewne wskazówki, analizując dane dotyczące stron internetowych, które
są najczęściej podrabiane przez phisherów.
© 1997-2013
19
Część IV:
Główne cele ataków phishingowych
W ciągu ostatniego roku sieć Kaspersky Security Network zidentyfikowała 1 739 unikatowych
celów (firm i serwisów, których strony były imitowane przez phisherów), czyli 250 razy więcej niż
w poprzednim roku. Tym razem, tak jak można przypuszczać, wśród celów znajdowały się portale
społecznościowe, wyszukiwarki i serwisy pocztowe, firmy telekomunikacyjne, serwisy e-płatności,
banki oraz inne instytucje finansowe i kredytowe. Pojawiło się jednak kilka niespodzianek, takich
jak urzędy podatkowe i celne, rządy różnych państw, firmy motoryzacyjne, firmy ubezpieczeniowe,
instytucje medyczne, koncerny naftowe oraz firmy transportowe (w tym niektóre linie lotnicze).
Celem cyberprzestępców są nie tylko zwykli użytkownicy. W okresie
2012-2013 Kaspersky Security Network zarejestrował ponad 9 000
oddzielnych ataków (prawie pięciokrotnie więcej niż w poprzednim roku)
na Liberty Reserve. Elektroniczna waluta tego serwisu jest aktywnie
wykorzystywana przez cyberprzestępców na całym świecie do płacenia
za różne nielegalne usługi oraz wykonywania przekrętów finansowych.
Co więcej, szkodliwi użytkownicy podrabiali również strony internetowe organizacji z branży
mediów, serwisy informacyjne w branży finansowej i bezpieczeństwa, jak również internetowe
witryny sklepowe służące do sprzedaży obuwia, odzieży, elektroniki, mebli – a w jednym przypadku kanału telewizyjnego z muzyką country.
Różnorodność branżowa i tematyczna dotycząca celów pokazuje, że phisherzy wykorzystają
każdą sposobność, aby ukraść dane osobiste i pieniądze innych osób – nawet jeśli oznacza to,
że dane i pieniądze należą do innych graczy w świecie internetowym. Na przykład w okresie
2012-2013 Kaspersky Security Network zarejestrował ponad 9 000 unikatowych ataków (niemal
pięciokrotnie więcej niż w poprzednim roku) na Liberty Reserve. Serwis ten oferował elektroniczną
walutę do czasu, gdy wiosną został zamknięty przez władze amerykańskie. Przez lata waluta ta
była powszechnie wykorzystywana przez cyberprzestępców na całym świecie do płacenia
za różne nielegalne usługi i dokonywania przekrętów finansowych.
Co ciekawe, różnorodność rodzajów celów nic nie mówi na temat najczęściej spotykanych preferencji wśród cyberprzestępców podczas wybierania celów.
Wobec powyższego więcej powie nam następująca liczba: ponad 50% łącznej liczby indywidualnych celów (921 z 1 739 znajdujących się w bazie Kaspersky Security Network) stanowiły fałszywe kopie stron internetowych banków oraz innych organizacji finansowych i kredytowych na
całym świecie. Liczba ta nie uwzględnia systemów e-płatności, takich jak Visa czy MasterCard,
oraz innych rodzajów pieniędzy elektronicznych.
W tej podkategorii lwia część (co najmniej 70%) różnych celów to strony internetowe banków,
a w pozostałych przypadkach cele obejmowały fałszywe kopie stron internetowych różnych
funduszy inwestycyjnych, spółdzielni kredytowych i innych organizacji wykonujących operacje
finansowe. W porównaniu z poprzednim okresem (2011-2012) nie zaszły znaczące zmiany,
ponieważ ponad połowę łącznej liczby unikatowych celów stanowiły banki.
© 1997-2013
20
Jednocześnie, duża liczba indywidualnych celów w branży finansowej nie oznacza, że połowa
wszystkich ataków phishingowych jest wymierzona przeciwko bankom. Chociaż statystyki KSN
zawierają nazwy różnych banków, większość takich ataków była przeprowadzona na bardzo
niewielką skalę, a liczba unikatowych incydentów w jednym roku wynosiła mniej niż 10.
Jednocześnie, atak można uznać za zagrożenie, jeżeli dotyczy dużej liczby użytkowników.
Z tego punktu widzenia odsetek ataków na banki oraz organizacje kredytowe i finansowe jest
znacznie niższy niż 50%, aczkolwiek duży. Około 20,64% wszystkich ataków zarejestrowanych
w okresie 2012-2013 zostało przeprowadzonych na tego rodzaju cele. Tylko dobrze znane
strony, takie jak Yahoo!, Facebook, Google oraz Amazon częściej padają ofiarą ataków
phishingowych (30,29% wszystkich ataków), a zatem są inni „liderzy”.
Liczba użytkowników = wartość celu
Im popularniejsza strona internetowa, tym częściej podrabiają ją szkodliwi użytkownicy i –
tym samym – większe prawdopodobieństwo, że użytkownik trafi na fałszywą wersję,
surfując po internecie.
Ponad 50% łącznej liczby indywidualnych ataków (921 na 1 739 w bazie
Kaspersky Security Network) to fałszywe kopie stron internetowych banków
oraz instytucji kredytowych i finansowych na całym świecie.
W celu przedstawienia możliwie najbardziej realistycznego ogólnego obrazu sytuacji
uszeregowaliśmy rodzaje celów, które stanowią największe zagrożenie, i stworzyliśmy
30 najczęściej atakowanych stron internetowych i pogrupowaliśmy je według typu. 30
najpopularniejszych celów stanowi 65% wszystkich ataków zarejestrowanych w ciągu roku.
Wybrana metoda pomaga dokładniej określić rodzaj celów najczęściej
spotykanych przez użytkowników w badanym okresie. Nasz ranking
najczęstszych rodzajów celów z całej listy ataków nie dałby żadnych
znaczących wyników, ponieważ jak pokazuje przykład z phishingiem
bankowym, duża liczba różnych celów niekoniecznie oznacza,
że przeprowadzono dużą liczbę ataków. Duża liczba różnych celów,
na które przypuszczono niewielką liczbę ataków w ciągu roku daje znaczną
wartość, nie pokazuje jednak, jak intensywne były ataki i nie oddaje
rzeczywistej skali zagrożenia w przeciwieństwie do rankingów sporządzonych
dla pierwszej 30.
© 1997-2013
21
Na podstawie analizy najczęściej podrabiane strony internetowe można podzielić na dziewięć
różnych rodzajów zasobów online:
Rodzaje celów w okresie 2012-2013
Wyszukiwarki,
Poczta
Serwisy
społecznościowe
Usługi
telekomunikacyjne
Banki
i instytucje
finansowe
29,89%
20,38%
4,82%
12,17%
Blogi
Strony
firm IT
5,08%
8,20%
Usługi
płatności
5,52%
Sklepy
i aukcje online
6,89%
Gry
7,04%
W porównaniu z danymi liczbowymi z okresu 2011-2012 nastąpiły znaczące zmiany pod
względem rodzajów stron najczęściej podrabianych przez szkodliwych użytkowników w zeszłym
roku. W szczególności, odsetek wyszukiwarek i serwisów pocztowych zmniejszył się o 10,53
punktu procentowego, z 40,42% do 29,89%. Oprócz serwisów pocztowych i wyszukiwarek
znaczny spadek odnotowała liczba serwisów e-płatności, która w okresie 2012-2013 zmniejszyła się z 7,83% do 5,52%
Z kolei odsetek portali społecznościowych zwiększył się nieznacznie z 18,16% do 20,38%.
Odsetek fałszywych sklepów internetowych oraz aukcji zwiększył się ponad dwukrotnie, stanowiąc 6,89% wszystkich ataków phishingowych w okresie 2012-2013. Dla porównania, w okresie 2011-2012 wynosił 3,60%. Liczba fałszywych stron internetowych imitujących strony
banków oraz innych organizacji finansowych również zwiększyła się znacząco, z 9,78% takich
ataków w pierwszej 30 w okresie 2011-2012 do 12,17% w okresie 2012-2013.
Dane te pokazują, że cyberprzestępcy częściej uciekają się do phishingu, gdy próbują kraść
pieniądze lub cenne informacje finansowe bezpośrednio od użytkowników. Współczynnik
wzrostu liczby ataków na sklepy internetowe oraz banki świadczy o wzroście zainteresowania
tego typu stronami internetowymi wśród szkodliwych użytkowników.
© 1997-2013
22
Wykres poniżej pokazuje najczęściej atakowane strony internetowe, bez podziału pierwszej 30
według typu.
30 najpopularniejszych celów w okresie 2012-2013
Facebook - 11.49
Yahoo - 11.69
Google Inc - 8.17
Amazon.com - 4.58
12
Microsoft - 4.24
Xbox live - 3.40
8
American Express - 2.94
PayPal - 2.64
4
Twitter - 2.46
Bank F - 0.70
EarthLink - 0.75
RBC
Financial - 0.78
Group
Skype - 0.86
Wow-Europe - 2.29
Odnoklassniki.ru - 2.28
0
Bank A - 2.05
Milionów unikatowych ataków
Apple - 0.92
Bank D - 0.97
eBay - 0.99
Yandex - 1.05
Bank C - 1.14
Bank B - 1.26
© 1997-2013
Mail.ru - 1.91
VKontakte - 1.85
MasterCard - 1.82
WordPress - 1.65
Orange - 1.60
British Telecom - 1.54
Dell Inc. - 1.47
AOL.com - 1.35
23
W ciągu ostatniego roku nie odnotowaliśmy poważniejszych zmian w rankingu 30 najczęściej
podrabianych stron. Podobnie jak w poprzednich rankingach jedyne odnotowane zmiany dotyczyły
odsetka atakowanych stron internetowych w całkowitej liczbie ataków.
Np. odsetek ataków z użyciem stron imitujących serwisy Yahoo! zmniejszył się z 15,29% w okresie
2011-2012 do 9,85% w okresie 2012-2013. Mimo to Yahoo! zachował swoją pozycję najczęściej
atakowanej strony internetowej. Również Google odnotował znaczny spadek jako cel ataków
wykorzystujących imitowane strony: z 9,17% do 6,89% wszystkich ataków. Jednocześnie wzrosła
liczba ataków wykorzystujących podrabiane strony Facebooka, które stanowiły 9,69% w okresie
2012-2013. Wzrost ten pozwolił Facebookowi „awansować” z trzeciego miejsca na drugie
w rankingu.
Odnotowaliśmy również spore zmiany w odsetku ataków z użyciem fałszywych stron podszywających się pod serwis Amazon.com. Od 1 maja 2011 r. do 30 kwietnia 2012 r. odsetek ataków
wykorzystujących podrobioną stronę Amazona wynosił 1,44% - dla porównania, w okresie 2012-2013 wynosił 3,57%. W ciągu jednego roku Amazon awansował z 15 miejsca w rankingu na 14.
Współczynnik wzrostu liczby ataków na sklepy internetowe oraz banki świadczy
o zwiększonym zainteresowaniu stronami tego typu wśród szkodliwych
użytkowników.
Szkodliwi użytkownicy zaczęli również podrabiać strony serwisów systemu MasterCard, znanego
banku (Bank A), rosyjskiego portalu społecznościowego VKontakte oraz Twittera – odsetki
ataków z użyciem tych zasobów zmieniły się nieznacznie, ale wszystkie odnotowały wzrost.
30 najczęściej podrabianych przez phisherów stron internetowych to głównie powszechnie znane
serwisy i firmy. Liczba ataków na ten czy inny zasób online może bezpośrednio zależeć od jego
popularności. Np. odsetek ataków z wykorzystaniem podrobionych stron Yahoo! w łącznej liczbie
ataków phishingowych zmniejszył się wraz ze spadkiem udziału tej firmy w rynku wyszukiwarek
oraz innych usługach online, natomiast odsetek firmy Amazon zwiększył się znacząco, odzwierciedlając sukces tej firmy na rynku e-handlu oraz udane wprowadzenie na rynek jej tabletów.
Warto podkreślić, że zależność między pozycją firmy na rynku a wahaniami w liczbie ataków
phishingowych z użyciem kopii stron takiej firmy jest względna. Chociaż z pewnością istnieje
ogólny związek między popularnością strony a liczbą przeprowadzanych na nie ataków phishingowych, phisherzy nie są zainteresowani nieznanymi zasobami online.
Cechy narodowe
Aby zwiększyć skuteczność ataków phishingowych, cyberprzestępcy próbują przeprowadzać je
w taki sposób, aby zapewnić jak największą liczbę potencjalnych ofiar. Jednak w zależności od
państwa, lista odwiedzanych stron internetowych może się różnić – zwykle zależy to od preferencji użytkowników lokalnych. Badanie przeprowadzone przez Kaspersky Lab pokazuje, że szkodliwi użytkownicy uwzględniają te aspekty, przez co najczęściej podrabiane strony internetowe
różnią się w zależności od państwa.
© 1997-2013
24
Ani na rosyjskiej, ani ukraińskiej liście 10 najczęściej podrabianych stron
internetowych nie występuje nawet jedna organizacja finansowa,
podczas gdy lokalne rankingi w innych częściej atakowanych państwach
zawierają kilka organizacji finansowych.
Na przykład, ranking lokalnych zagrożeń typowych dla Stanów Zjednoczonych w okresie 2012-2013 pokrywał się z globalną listą Top 10 tylko w przypadku czterech pierwszych pozycji:
Yahoo!, Facebook, Google i Amazon są najczęściej wykorzystywane w atakach phishingowych
na użytkowników mieszkających w Stanach Zjednoczonych.
Jednak niżej na liście można zauważyć kilka dużych różnic. W szczególności, w większym stopniu niż gdzie indziej na świecie, obywatele Stanów Zjednoczonych są celem ataków phishingowych wykorzystujących fałszywe wersje World of Warcraft, Microsoft, AOL oraz firm z branży
finansowej, takich jak American Express, oraz portali społecznościowych, takich jak Twitter.
W porównaniu z poprzednim badanym okresem, Amazon odnotował znaczny wzrost i awansował z 10 miejsca na 4.
Ta sama sytuacja ma miejsce w przypadku innych lokalnych rankingów – np. brytyjska Top 10.
Na najwyższych pozycjach znajdują się te same trzy strony co w Stanach Zjednoczonych,
jednak na dole listy można zauważyć kilka znaczących różnic. W szczególności, najczęściej
podrabiane strony internetowe obejmują zasoby internetowe firmy British Telecom oraz jednego
z najbardziej znanych brytyjskich konglomeratów finansowych (Bank E).
Poniżej znajduje się tabela porównawcza stron internetowych najczęściej atakowanych
przez phisherów w Stanach Zjednoczonych i Wielkiej Brytanii.
Stany
Zjednoczone
Wielka
Brytania
1
Yahoo!
Facebook
2
Facebook
Yahoo!
3
Google Inc
Google Inc
4
Amazon.com: Sklep online
Amazon.com: Sklep online
5
Wow-Europe
American Express
6
Microsoft Corporation
PayPal
7
AOL.com
BT.com
8
American Express
Microsoft Corporation
9
Bank A
Twitter
10
Twitter
Bank E
© 1997-2013
25
Jeśli przyjrzymy się najwyższym pozycjom w innych krajach, zobaczymy tam jeszcze bardziej
lokalne strony.
Na przykład, we Francji strony phishingowe wykorzystujące nazwę Yahoo! występują stosunkowo
rzadko w porównaniu ze Stanami Zjednoczonymi oraz Wielką Brytanią. Na liście 10 najczęstszych
celów phishingowych we Francji Yahoo! znajduje się na szóstym miejscu. Z kolei krajowy serwis
pocztowy La Poste znajduje się na trzecim miejscu, tuż za Facebookiem oraz Google.
W szczególności, na pierwszych trzech miejscach znalazły się popularne portale społecznościowe: Odnoklassniki.ru (dla kolegów z klasy) oraz VKontakte, jak również wyszukiwarka Google Inc.
Ponadto rankingi te ukazują jeszcze bardziej specyficzne dla danego kraju aspekty: serwis pocztowy Mail.ru znalazł się na czwartym miejscu, natomiast Yandex na piątym. Yahoo! i Facebook
również uplasowały się w pierwszej dziesiątce, jednak dopiero na szóstym i siódmym miejscu.
Ukraińska lista Top 10 wygląda mniej więcej tak samo.
Co ciekawe, ani rosyjska ani ukraińska lista 10 najczęściej podrabianych stron internetowych nie
zawiera ani jednej organizacji finansowej, podczas gdy lokalne rankingi innych najczęściej atakowanych państw zwykle zawierają kilka organizacji finansowych. Co więcej, zagrożenia te są
często charakterystyczne dla danych państw.
Na przykład, jeden z największych lokalnych banków znajduje się w indyjskim rankingu Top 10
dla rocznego okresu 2012-2013, tuż za innym bankiem, który działa globalnie. Inny duży bank
(największy w kraju) znajduje się na siódmym miejscu niemieckiego rankingu Top 10. Fałszywe
strony podszywające się pod lokalne instytucje finansowe można spotkać również na włoskiej,
francuskiej oraz chińskiej liście Top 10.
Ogólnie, w przypadku rankingów Top 10 ośmiu z dziesięciu różnych państw, których mieszkańcy
byli najczęściej poddawani atakom phishingowym, celem ataków była kradzież pieniędzy lub
cennych informacji finansowych. Wskazuje to na niebezpieczny ogólny trend.
© 1997-2013
26
Wnioski
Informacje uzyskane z opartej na chmurze usługi Kaspersky Security Network pomogły nam
lepiej zrozumieć globalny krajobraz zagrożeń phishingowych z wielu różnych perspektyw. Obraz
ten nie jest jednak szczególnie optymistyczny. Zarówno sam phishing jak i różne rodzaje ataków
phishingowych odnotowują szybki wzrost i dotykają ogromną liczbę użytkowników i organizacji
na całym świecie.
Warto również zauważyć, że badanie to dotyczyło tylko ataków przechwyconych przy użyciu
wbudowanych w produkty firmy Kaspersky Lab technologii heurystycznych. Naturalnie Kaspersky Security Network nie jest w stanie dostarczyć danych dotyczących skutecznych ataków
phishingowych lub ataków na osoby niekorzystające z rozwiązań bezpieczeństwa firmy Kaspersky Lab.
Stosunkowa łatwość zorganizowania tego typu ataków oraz wysokie prawdopodobieństwo
uzyskania pewnego rodzaju korzyści z udanego ataku phishingowego przyciąga coraz więcej
szkodliwych użytkowników do phishingu. Strony internetowe i inne serwisy online nie znikną
i stanowią obecnie część naszego codziennego życia. Korzystanie z portali społecznościowych,
sprawdzanie poczty e-mail, dokonywanie zakupów online oraz przeprowadzanie innych operacji
finansowych za pośrednictwem interfejsów sieciowych stały się codziennością i łatwo przeoczyć
kilka niewielkich zmian w wyglądzie znanego serwisu lub adresu URL strony internetowej –
dzięki temu cyberprzestępcy mogą manipulować użytkownikami internetu.
© 1997-2013
27
Zalecenia
dla klientów
1. Edukacja
Znajomość taktyk phishingowych może pomóc ci zabezpieczyć się
przed tego typu atakami.
Nawet gdy odwiedzasz znaną ci stronę, nie zapomnij zwrócić uwagę na wszelkie nietypowe znaki, aby mieć pewność, że nie jest sfałszowana: adres w polu URL nie powinien
zawierać żadnych błędów czy dziwnych znaków.
Jeżeli twój znajomy z serwisu społecznościowego lub komunikatora internetowego przesyła ci link, warto poświęcić dodatkową chwilę i zapytać, do czego on prowadzi. Jeżeli link
dociera od znajomego lub od kogoś, kogo nie znasz, ale kieruje do zaufanej domeny
(takiej jak bank, w którym posiadasz konto), lub gdy otrzymujesz e-maila z aktywnym
hiperłączem w treści, sprawdź dokąd rzeczywiście prowadzi taki odnośnik (możesz przejrzeć źródło wiadomości przy użyciu swojego klienta poczty). Jeżeli link w treści e-maila
pokazuje inny adres niż widać to w źródle wiadomości, masz do czynienia z phishingiem.
2. Zaawansowane metody ochrony
Niestety, istnieje wiele różnych metod phishingu, których nie da się wykryć bez specjalistycznych
narzędzi. Dlatego, aby korzystanie z zasobów online nie wiązało się z ryzykiem, komputer,
jak również urządzenie mobilne, musi być wyposażony w rozwiązanie bezpieczeństwa wysokiej jakości.
Mówiąc bardziej precyzyjnie, rozwiązanie bezpieczeństwa powinno być wyposażone
w moduł chroniący przez phishingiem. Technologie antyphishingowe wbudowane w rozwiązania Kaspersky Lab potrafią rozpoznawać phishingowe strony WWW i zawierają zestaw
specjalnych reguł heurystycznych. Innymi słowy, technologia ta może identyfikować nawet
nieznane ataki phishingowe.
Moduł URL Advisor wbudowany w produkty Kaspersky Internet Security oraz Kaspersky
Anti-Virus to kolejna technologia, która zapewnia efektywną ochornę przed phishingiem.
Moduł ten korzysta z chmury Kaspersky Security Network do określania reputacji wszystkich odsyłaczy na stronach otwieranych w przeglądarce internetowej. Jeżeli dana strona jest
powiązana z atakiem phishingowym, URL Advisor natychmiast powiadamia użytkownika.
Technologia Bezpieczne pieniądze, dostępna w produktach Kaspersky Internet Security
oraz Kaspersky PURE, chroni przed najniebezpieczniejszymi atakami phishingowymi,
których celem są pieniądze użytkowników. Mechanizm ten korzysta z uaktualnianej na
bieżąco bazy danych zaufanych adresów systemów bankowych online oraz usług oferujących e-płatności i automatycznie aktywuje się, gdy tylko użytkownik otworzy jakąkolwiek
stronę tego typu. Dodatkowo, technologia Bezpieczne pieniądze automatycznie przełącza
przeglądarkę w tryb bezpieczny, który gwarantuje, że żaden szkodliwy kod nie zostanie
uruchomiony podczas sesji bankowych online.
Kaspersky Mobile Security — nasze rozwiązanie bezpieczeństwa dla urządzeń mobilnych –
oferuje technologie antyphishingowe oraz mechanizmy wykorzystujące chmurę do skanowania instalowanych aplikacji.
© 1997-2013
28
Zalecenia
dla firm
1. Edukacja
Wspomniana powyżej kwestia dotycząca konieczności
edukowania użytkowników internetu odnosi się także do pracowników
firm – pracownik, który wie, czym jest phishing i rozumie związane z nim
zagrożenia będzie rozważnie korzystał z komputera i firmowych zasobów.
2. Profesjonalne rozwiązanie bezpieczeństwa
Phishing może stanowić jeden z etapów ataku ukierunkowanego na firmę. Celem takiego ataku
może być szpiegostwo przemysłowe lub kradzież pieniędzy z firmowych kont. Dlatego na firmowych stacjach roboczych powinno działać rozwiązanie bezpieczeństwa najwyższej klasy,
które zapewnia ochronę przed phishingiem i spamem, a także oferuje szeroki wachlarz technologii
ochrony. Przykładem takiego rozwiązania jest Kaspersky Endpoint Security for Business.
Produkty Kaspersky Lab zapewniają ochronę wszystkich składników korporacyjnej
infrastruktury IT, na wszystkich jej poziomach, łącznie z bramami i stacjami roboczymi.
Dzięki temu możliwe jest przeprowadzanie skanowania w poszukiwaniu niechcianego
ruchu. Co więcej, specjalizowane rozwiązanie Kaspersky Security for Mail Server
efektywnie eliminuje ataki phishingowe z firmowego ruchu pocztowego.
Ataki phishingowe mogą także docierać do użytkowników urządzeń mobilnych,
które są często wykorzystywane zamiast laptopów. Produkt Kaspersky Security
for Mobile powstał z myślą o ochronie i zarządzaniu smatrfonami oraz tabletami. Poza
wieloma innymi funkcjami, produkt ten chroni przed spamem oraz phishingiem,
a także wyposażony jest w kontrolę aplikacji, która uniemożliwia uruchomienie szkodliwego programu (na przykład oprogramowania szpiegowskiego) na firmowym smartfonie
lub tablecie. Kaspersky Security for Mobile jest kompatybilny z większością popularnych
platform mobilnych.
© 1997-2013

ewolucja - Kaspersky Lab

Transkrypt

Podobne dokumenty