Ransomware stracił świeżość. Cyberprzestępcy wolą tradycyjny sposób

Magia ataków ransomware trochę się wyczerpała. Według ostatnich raportów, do łask powracają trojany bankowe, czyli aplikacje, które podszywają się pod oficjalne programy, by skutecznie ukraść nasze dane.

Ransomware stracił świeżość. Cyberprzestępcy wolą tradycyjny sposób
Źródło zdjęć: © WP.PL
Grzegorz Burtan

26.06.2018 | aktual.: 28.06.2018 08:39

To o tyle interesujące, że sam rodzaj ataku nie jest niczym. To raczej powracająca fala, która co kilka lat notuje wzrost koniunktury wśród cyberprzestępców i w konsekwencji ich ofiar. Czym w ogóle są trojany bankowe? Definicję podaje Piotr Kupczyk z Kaspersky Lab Polska.

Aplikacja z drugim dnem

- Mechanizm infekcji nie różni się w przypadku trojanów bankowych od sposobów dostarczania innych szkodliwych programów – tłumaczy w komentarzu dla WP Tech. - Źródłem infekcji może być zatem załącznik lub odnośnik w wiadomości e-mail, zarażona strona WWW czy link wysłany za pośrednictwem komunikatora lub portalu społecznościowego. Jak sama nazwa wskazuje, mamy do czynienia z końmi trojańskimi, czyli szkodliwymi programami, które "udają" pożyteczne aplikacje, a w rzeczywistości realizują szkodliwe czynności dla cyberprzestępców – podkreśla.

W tym konkretnym przypadku szkodliwa aktywność to kradzież danych finansowych lub informacji uwierzytelniających użytkowników w serwisach bankowości online. W niektórych przypadkach mamy do czynienia z wyrafinowanymi atakami hybrydowymi. Wtedy infekowany jest zarówno komputer jak i smartfon użytkownika, celem obejścia uwierzytelniania dwuskładnikowego (zazwyczaj to logowanie + SMS). Infekcja komputera pozwala atakującym zdobyć login i hasło, a zarażony smartfon przekazuje przestępcom kody jednorazowe wysyłane przez bank w wiadomościach SMS, podaje przykład ekspert.

Przykłady można oczywiście mnożyć – dość wspomnieć o sytuacji, o której informowano na początku 2018 roku. Użytkownik smartfona z Androidem zainstalował na nim program do śledzenia rynku kryptowalut. Nie wiedział jednak, że to trojan bankowy, który rozpoznawał dane logowania do jednego z 11 banków, a potem wyprowadzał pieniądze z konta ofiary. W tym konkretnym przypadku z konta poszkodowanego wyparowało 10 tysięcy złotych.

Kampanie spamowe propagujące tzw. trojany bankowe to nowy cyberprzestępczy hit – wynika z najnowszego raportu firmy bezpieczeństwa IT Proofpoint. W pierwszym kwartale 2018 ataki na bankowość elektroniczną i systemy płatności online stanowiły 59 proc. wykrytych zagrożeń, wyprzedzając niepokonany od dwóch lat ransomware.

Od stycznia do marca z próbami wyłudzeń spotkało się aż 90 proc. badanych firm i organizacji, doświadczając średnio 28 prób oszustwa - praktycznie jednej co drugi dzień roboczy. Analiza ataków dowodzi, że ich autorzy też czytają ostrzeżenia przed otwieraniem dziwnych załączników - stanowiły one tylko 20 proc. przygotowanych pułapek, pozostałe 80 proc. oddając hiperłączom do fałszywych stron. Tymczasem ogólna liczba infekcji bazujących na poczcie mailowej wzrosła w stosunku do czwartego kwartału 2017 roku o 20 proc.

Obraz
© Sklep Google Play

Aplikacja, obiecująca "Darmowe Doładowania".

- W ostatnich tygodniach obserwujemy większą niż zwykle aktywność kampanii ze spamem zawierającym złośliwe załączniki. Wielokrotnie natknęliśmy się na trojana bankowego. Wiele z tych wiadomości jest ze sobą powiązanych i najprawdopodobniej są wysyłane przez tę samą osobę, tak jak miało to miejsce w przeszłości podczas podobnych kampanii - tłumaczy WP Tech Adrian Ścibor, naczelny portalu AVLab.pl. - I chociaż porównywalnych fałszywych wiadomości e-mail analizujemy setki każdego dnia, to zazwyczaj różnią się one tylko wizerunkami firm, pod które podszywają się cyberprzestępcy. Na tak dużą ilość wysłanych wiadomości ze spamem zawsze mamy do czynienia z tym samym lub kilkoma odmianami trojanów bankowych, a te ciągle ulegają modyfikacji dostosowując się do aktualnych trendów i zabezpieczeń systemów operacyjnych - dodaje.

Jest też dobra wiadomość, pociesza Ścibor: wektor ataku pozostaje niezmienny — 97-98% prób dostarczania szkodliwego oprogramowania na komputery użytkowników końcowych pod postacią trojanów bankowych, odbywa się za pośrednictwem poczty internetowej. Dużą bezpiecznikową rolę do odegrania mają właściciele serwerów pocztowych, którzy nie zawsze stosują dodatkowe zabezpieczenia w postaci protokołów DKIM, SPF i list serwerów RBL.

Stare metody nie wychodzą z mody

Dlaczego ransomware traci na popularności? Zdaniem specjalistów z firmy ANZENA, główne przyczyny to większe obecnie szanse powodzenia innych typów ataku i względnie niższe ryzyko wykrycia sprawców. Spora część cyberprzestępczego ruchu odpłynęła w kierunku wirusowych koparek kryptowalut oraz ataków "bankowych".

Cudzysłów nie jest przypadkowy – ofiarami są głównie klienci instytucji finansowych. Logika agresorów jest prosta: po co atakować silnie chronione systemy, gdy można uderzyć w ich nieświadomych użytkowników? Przykładem jest wykryte przez firmę ESET zagrożenie BackSwap, atakujące klientów m.in. mBanku, ING Banku Śląskiego, BZ WBK, PKO BP, Pekao SA. Napisano je w taki sposób, że w trakcie wykonywania przelewu przez ofiarę mogło podmieniać docelowy numer rachunku na konto oszusta.Ta metoda kradzieży jest znacznie prostsza niż straszenie ofiary zaszyfrowaniem jej plików w nadziei, że nie zrobiła backupu swoich danych. To już nie jest już tak oczywiste, jak na przykład w maju 2017. Dwuletnia plaga szyfrowania zapewniła backupowi medialną promocję, o jakiej inne metody zabezpieczeń mogą tylko marzyć.

- Trojany bankowe to w dalszym ciągu dość popularne narzędzie w arsenale cyberprzestępczym. W pierwszym kwartale 2018 r. badacze z Kaspersky Lab wykryli ataki tego rodzaju na komputerach niemal 205 tysięcy użytkowników – przedstawia dane Kupczyk. - W pierwszej dziesiątce krajów, w których zidentyfikowano najwięcej ataków trojanów bankowych, znalazły się takie kraje jak Kamerun, Niemcy, Korea Południowa, Libia, Armenia oraz Gruzja – wylicza.

Brak Polski nie oznacza jednak, że jesteśmy bezpieczni, przestrzega ekspert. Zagrożenie dotyczy także urządzeń mobilnych. W tym samym okresie wykryto niemal 19 tysięcy pakietów instalacyjnych dla systemu Android, zawierających trojany bankowe. W pierwszej dziesiątce krajów, w których zidentyfikowano najwięcej ataków mobilnych trojanów bankowych, znalazły się takie kraje jak Rosja, Stany Zjednoczone, Chiny, Ukraina, Turcja oraz Polska.

Ścibor zauważa również inny popularny sposób na oszustwo, występujący w naszym kraju.

- Jeśli chodzi o Polskę, to od kilku miesięcy wśród zagrożeń prym wiodą zagrożenia polegające na wykorzystywaniu mocy obliczeniowej urządzenia - nie tylko PC, ale też Internetu Rzeczy oraz Smart TV. Złośliwe skrypty wydobywające kryptowaluty pojawiły się nawet na przystawkach Amazon FireTV do telewizorów - ostrzega. - Ochrona przed zagrożeniami cryptominer jest stosunkowo łatwa dla specjalistów i entuzjastów bezpieczeństwa, a ci stanowią tylko promil wszystkich użytkowników sprzętu elektronicznego. Doskonale wiedzą o tym autorzy szkodliwego oprogramowania. Pod względem liczby unikalnych wystąpień, malware z roku na rok bije kolejne rekordy - podkreśla.

Popularność Trojanów bankowych nie jest raczej chwilowym trendem. Jak podaje firma IT Cylance, korzystanie z bankowości mobilnej jest coraz popularniejsze. W połączeniu z nieuniknionymi opóźnieniami w łataniu systemowych luk Androida (obecnie mającego 85,9% udziału w rynku urządzeń mobilnych) oznaczają, że liczba użytkowników podatnych na ataki bankowe będzie rosła.

Rozwiązaniem tego problemu pozostaje na pierwszej linii zdrowy rozsądek. Zdecydowanie pomaga instalowanie aplikacji tylko z zaufanego źródła (czyli sklepu Google Play bądź App Store), warto również sprawdzić, jakie uprawnienia aplikacja wymaga – zbyt duża liczba powinna od razu wzbudzić nasze podejrzenia.

Wybrane dla Ciebie
Komentarze (0)