География киберпреступлений. Западная Европа и Северная Америка
Дата: 13.02.2013Источник: Pcidss.ru
Автор: SecureList.Com
... и ошибки в настройке серверов и баз данных.
Наиболее распространенными уязвимостями, приводящими к утечке информации, являются SQL-injection, ошибки, дающие возможность прямого доступа к объектам на веб-сервере, и ошибки в системах аутентификации. Однако помимо уязвимостей, во многих случаях злоумышленники используют и ошибки в конфигурации веб-приложений, такие как неудаленные аккаунты, созданные по умолчанию, открытый доступ к директориям на сервере, хранение паролей и ценной информации в незашифрованном виде, неправильно заполненный robots.txt и т.д.
Наиболее очевидный способ использования этих данных — персонализированные атаки на пользователей. Такие атаки имеют больше шансов на успех: рассылка вредоносных или фишинговых писем, нацеленная на аккаунты определенного банка, будет эффективна только в том случае, если сообщение попадет в почтовые ящики клиентов именно этого банка.
Кроме того, персональные данные пользователей нужны для доступа к различным финансовым сервисам, поэтому они пользуются особым спросом у злоумышленников, занимающихся аферами с системами интернет-банкинга и кардингом.
Распространение лжеантивирусов
Практически все лжеантивирусы имеют англоязычный интерфейс, их мишенью в первую очередь являются пользователи западных стран. Весь «бизнес» фальшивок построен на том, что пользователи хотят быть защищенными и готовы платить за защиту компьютера достаточно большие деньги.
Распространяются фальшивые антивирусы через киберпреступные партнерские программы.
На территории Европы и Америки фальшивые антивирусы стали активно распространяться в начале 2011 года, в марте появились даже лжеантивирусы для Mac OS X, которые распространялись также через партнерские программы.
В июне 2011 года число атак лжеантивирусов достигло максимума («Лабораторией Касперского» обнаружено более 900 000 фальшивок), а затем пошло на спад и стабилизировалось на уровне начала года. Это совпало с арестом Павла Врублевского. Тогда же правоохранительные органы задержали членов двух преступных группировок, распространявших фальшивые антивирусы. В свою очередь поисковые системы стали более активно удалять вредоносные ссылки из выдачи.
Хотя в декабре 2011 — январе 2012 года был отмечен еще один всплеск атак лжеантивирусов, в дальнейшем их количество вернулось на прежний уровень.
В настоящее время лжеантивирусы перестали приносить мошенникам сверхприбыль, но дают стабильный доход, который вполне устраивает многих «партнеров». Насколько прибыльный этот бизнес, можно судить из того, что пойманная в Латвии в июне 2011 года группа киберпреступников, промышлявшая лжеантивирусами, по оценкам полицейских, за три года своей деятельности смогла обмануть около 960 000 пользователей и нанесла убытки в размере 72 миллионов долларов.
Подмена поисковой выдачи
Схема зарабатывания денег с использованием подмены выдачи или рекламы в поисковых системах в большинстве случаев также рассчитана именно на пользователей западных стран. По запросу пользователя в популярных поисковиках на первых местах в списке выдачи помещаются ссылки из рекламных сетей, а не реальные результаты поиска. Переходы по этим ссылкам оплачиваются рекламодателями, и доход от каждого клика идет киберпреступникам, которые подменили поисковую выдачу рекламными блоками.
Пример объявления на хакерском форуме о подмене выдачи для пользователей США, Канады, Великобритании и Австралии
Технически это реализуется с помощью троянских программ, которые изменяют настройки DNS-серверов/hosts-файлов таким образом, что все запросы пользователя в поисковых системах идут через серверы злоумышленников. На сервере происходит подмена ответа поисковой системы, в результате чего на страничке поисковой выдачи появляются ссылки, в которых заинтересованы злоумышленники.
Например, в конце 2011 года был обнаружен троянец Trojan-Downloader.OSX.Flashfake, который заражал компьютеры, работающие под управлением Mac OS X, и занимался подменой выдачи поисковых систем. Было выявлено более 700 000 зараженных машин, объединенных в ботнет, что составляет практически 1% пользователей Mac OS X. 84% всех зараженных компьютеров находились в Западной Европе и Северной Америке.
Trojan-Downloader.OSX.Flashfake TOP 10 стран, откуда были зафиксированы обращения зловреда к командным центрам
Еще одним примером троянца с таким функционалом может служить Backdoor.Win32.ZAccess (ZeroAccess), больший процент заражений которым приходится на США (27,7%) и Германию (11%).
Распространение троянца Backdoor.Win32.ZAccess, июль 2012
Минюст США предъявил одной из киберпреступных группировок обвинения в создании мошеннической схемы с использованием подмены поисковой выдачи. Из официальной информации правоохранительных органов следует, что за 5 лет незаконной деятельности с использованием вредоносной программы Trojan.Win32.DnsChanger злоумышленники смогли получить порядка 14 миллионов долларов.
Вымогательство под прикрытием
Последнее время в западных странах стали активно использоваться такие мошеннические программы, как троянцы-вымогатели, которые еще недавно были почти неизвестны за пределами СНГ. Принцип их работы довольно прост: после заражения они блокируют доступ к компьютеру, изменяя системные настройки или открывая свое окно поверх всех остальных.
В СНГ чаще всего встречаются блокеры двух видов: порноблокеры, которые требуют заплатить деньги за то, чтобы закрылось блокирующее работу окно с картинками непристойного содержания, и программы, которые блокируют саму загрузку ОС под предлогом использования на компьютере нелицензионного ПО.
В Европе эти уловки вряд ли сработают. В случае вымогательства законопослушный гражданин обратится в полицию, да и программное обеспечение у него, вероятнее всего, лицензионное. Поэтому злоумышленники придумали другой прием: они блокируют компьютер и якобы от имени полиции требуют оплатить штраф за посещение сайтов, содержащих детскую порнографию или сцены насилия над детьми.
На сегодняшний день известно несколько версий таких троянцев, которые используют имена и символику полиции Германии, Франции, Англии, Швейцарии, Голландии, Финляндии и Испании. К сожалению, выяснить, кто является получателем денег, очень непросто, поскольку для их перевода используются платежные системы Ukash, Epay, PayPoint, и отследить транзакции не всегда возможно. Заметим, что впервые в такой схеме Ukash была использована для получения денег от жертв троянца-шифровальщика GpCode, созданного на территории бывшего СССР.
Особенности распространения вредоносных программ
Чтобы совершить запуск вредоносной программы, злоумышленникам нужно сначала доставить ее на компьютер пользователя. Основные каналы распространения вредоносного кода повсюду в мире — это интернет и переносные носители информации. Как показало наше исследование, программы, проникающие через съемные носители информации, и классические вирусы, инфицирующие файлы, в описываемых регионах практически не работают. Антивирусные программы, установленные на большинстве компьютеров, просто не дают червям и вирусам заразить достаточное количество компьютеров для формирования самоподдерживающего процесса инфицирования, и вскоре он сам собой затухает.
Ниже на диаграмме показаны пути проникновения вредоносных программ на компьютеры пользователей в западных странах.
Для атак на европейских и американских пользователей значительно эффективнее интернет. По нашим данным, 80% всех атакованных компьютеров в первом полугодии 2012 подверглись риску заражения в процессе веб-серфинга.
Первые две строчки рейтинга занимают Италия и Испания, которые попадают в группу повышенного риска заражения при интернет-серфинге (страны, где атакованных пользователей больше 40%).
Все остальные страны, за исключением Дании, относятся к группе риска с показателем 21-40%, при этом в Швейцарии, Германии, Австрии и Люксембурге процент атакованных пользователей не превышает 30%. Дания, замыкающая список, относится к самым безопасным при веб-серфинге странам с показателем менее 20%.
Для того чтобы добиться заражения компьютеров пользователей в процессе интернет-серфинга, злоумышленники используют ряд действенных приемов:
Заражение легальных сайтов
Обман поисковых систем
Вредоносный спам в социальных сетях и твиттере
Заражение легитимных веб-ресурсов
Заражение легальных сайтов — это одновременно и самый опасный для пользователей и самый эффективный для злоумышленников прием. Злоумышленники тем или иным путем получают доступ к популярному сайту и вносят в его код небольшие изменения. Когда браузер посетителя сайта перебирает все ссылки в коде страницы и загружает их содержимое, строка с внедренным вредоносным кодом перенаправляет браузер на специально подготовленный сайт с эксплойтом — вредоносной программой, использующей уязвимости в легитимном программном обеспечении для проникновения на компьютер. При этом для пользователя атака проходит незаметно — легитимный сайт выглядит и работает, как обычно.
В таких атаках обычно используются эксплойт-паки, которые сначала ведут автоматический поиск уязвимых программ, установленных на компьютере, а затем отправляют на компьютер соответствующий эксплойт. Таким образом для достижения успеха киберпреступникам достаточно найти на машине хотя бы одно популярное и необновленное приложение.
Популярные эксплойты постоянно сменяют друг друга: в конце 2011 любимой лазейкой хакеров вместо Adobe Acrobat Reader и FlashPlayer стала Java, на которую были нацелены 4 из 5 наиболее часто используемых эксплойтов, а уже в первой половине 2012 вновь стали популярны эксплойты к продуктам Adobe.
...
Подробнее : http://www.pcidss.ru/articles/112.html
Добавить комментарий |
Всего 0 комментариев |