Do pewnego stopnia spadek udziału spamu w trzecim kwartale można tłumaczyć tradycyjnym spowolnieniem aktywności gospodarczej w okresie letnim. Jednak tendencja zniżkowa w ilości wysyłek spamowych wynika również ze stopniowego odchodzenia od dystrybucji reklam za pośrednictwem wiadomości e-mail na rzecz banerów (pojawiających się na portalach społecznościowych i w serwisach kuponowych) oraz reklamy kontekstowej. Dlatego też pomimo niewielkiego powakacyjnego wzrostu aktywności we wrześniu utrzymała się ogólna tendencja spadku ilości spamu.    

Reklama rezygnuje ze spamu

Odchodzenie od spamu przez reklamodawców oferujących całkowicie legalne produkty i usługi spowodowało wzrost udziału spamu przestępczego, zawierającego szkodliwe załączniki, reklamy zakazanych towarów lub oszukańcze techniki. W III kwartale 2012 r. cyberprzestępcy po raz kolejny wykazali się pomysłowością, wysyłając wiadomości spamowe pod przykrywką oficjalnych powiadomień z rozmaitych serwisów. Fałszywe
e-maile, na które trafili eksperci z Kaspersky Lab, obejmowały wiadomości pochodzące rzekomo od dostawców usług hostingowych, z systemów bankowych, portali społecznościowych, sklepów internetowych oraz wielu innych serwisów.  

W III kwartale spamerzy poświęcili szczególną uwagę tzw. serwisom kuponowym – były one wykorzystywane w celu rozprzestrzeniania szkodliwych odsyłaczy i załączników. Główny ciężar ataków skierowany był na znany serwis kuponowy Groupon – wiadomości e-mail, które wyglądały jak oficjalne powiadomienia oraz nowe oferty, przekierowywały nieświadomych użytkowników do szkodliwego zasobu online zawierającego niebezpieczne aplikacje.      

Rozkład geograficzny spamu

W III kwartale 2012 r. regionalny rozkład źródeł spamu wyraźnie się zmienił. Spośród państw, które mogły „poszczycić się” wysyłaniem największej ilości spamu, niechlubny wzrost odnotowały Stany Zjednoczone, zwiększając udział całego regionu Ameryki Północnej do ponad 27%. To wystarczyło, aby zapewnić mu drugie miejsce, tuż za tradycyjnym liderem – Azją – która odpowiada za niemal połowę wszystkich wysyłek spamowych na świecie (49,50%). Europa Zachodnia (6,86%) wyprzedziła Europę Wschodnią (3,64%) i zajęła czwarte miejsce, niemal doganiając zajmująca trzecią pozycję Amerykę Łacińską (7,34%).         

autor: Cezary Tchorek-Helm

„Spodziewamy się wielkiego powrotu plagi szkodliwych e-maili, towarzyszącej coraz częstszym i bardziej zaawansowanym atakom na konkretne cele „Z naszych doświadczeń wynika, że przestępcy w dalszym ciągu korzystają ze starych i sprawdzonych metod bezpośredniego zbierania danych wrażliwych podczas wstępnej fazy ataku ukierunkowanego. Widzimy jednocześnie, że ataki tego typu stają się coraz powszechniejsze i bardziej zaawansowane. Dane na temat firm i poszczególnych osób są na tyle łatwo dostępne, że w przestępcy bez problemu mogą stworzyć niezwykle wiarygodną korespondencję elektroniczną. Ochrona przed tego typu zagrożeniami nie powinna być ignorowana” -  mówi Rik Ferguson, dyrektor ds. badań nad bezpieczeństwem i komunikacji w Trend Micro.

E-mail spersonalizowany

Spear phishing to coraz popularniejsza forma phishingu, polegająca na wykorzystaniu informacji o ofierze w celu przeprowadzenia bardziej precyzyjnego i spersonalizowanego ataku. Może to polegać na przykład na adresowaniu ofiary z imienia i nazwiska, wykorzystaniu nazwy stanowiska czy rangi w organizacji danej osoby w e-mailach, w których zwykłe działania phishingowe polegałyby na stosowaniu bardziej ogólnych informacji.

Ostatecznym celem tych zabiegów jest skłonienie ofiary do otwarcia złośliwego załącznika, lub do kliknięcia w link prowadzący do strony zainfekowanej złośliwym oprogramowaniem, co prowadzi do naruszenia zabezpieczeń sieci, w której znajduje się urządzenie oszukanego użytkownika.

Z raportu „Spear Phishing e-mail: ulubiona przynęta w atakach APT” wynika, że 94 procent maili stosowanych w tego typu atakach zawiera szkodliwe załączniki, odpowiedzialne za rozpoczęcie infekcji. Pozostałe 6 procent wykorzystuje alternatywne metody takie jak instalacja złośliwego oprogramowania poprzez link do strony.

Kluczowe fakty

• W badanym okresie 70 procent całkowitej liczby załączników w e-mailach typu spear phishing stanowiły najpopularniejsze formaty plików. Najczęściej występujące rozszerzenia to: .rtf (38 procent), .xls (15 procent) oraz .zip (13 procent).
• Z kolei pliki .exe okazały się nie być tak popularnym narzędziem dla cyberprzestępców, najprawdopodobniej dlatego, że załączniki z plikami z tym rozszerzeniem są najczęściej wykrywane i blokowane przez zabezpieczenia.
• Najczęstszym celem ataków są organizacje rządowe i grupy aktywistów. Szczegółowe dane na temat agencji rządowych i osób piastujących ważne stanowiska można łatwo odnaleźć w internecie, często na stronach instytucji publicznych. Grupy aktywistów, bardzo aktywne w serwisach społecznościowych, również chętnie podają dane na temat swoich członków w celu ułatwienia komunikacji, rekrutacji nowych osób i organizacji kampanii. Takie praktyki zwiększają widoczność profili poszczególnych ludzi, czyniąc ich bardziej podatnymi na atak.
• W sieci można było łatwo odnaleźć adresy e-mail trzech na cztery ofiary ataku przy pomocy wyszukiwarki lub podstawiania najpopularniejszych formatów serwisów pocztowych.

Ochrona przed atakami typu spear phishing

Organizacje muszą być w stanie wykrywać i blokować próby ataków typu spear phishing, co stanowi pierwszą linię obrony przed atakami ukierunkowanymi.

W ramach rozpoczętych w październiku działań pod hasłem Spersonalizowanej Ochrony przed atakami APT, Trend Micro udoskonaliło oprogramowanie do ochrony poczty elektronicznej, które nie tylko powstrzymuje tradycyjne zagrożenia, ale jest też w stanie rozpoznać ukierunkowane ataki prowadzone przy pomocy poczty e-mail.

W przeciwieństwie do standardowych rozwiązań bezpieczeństwa, oferujących niewielkie szanse na wykrycie korespondencji typu spear phishing związanej z atakami ukierunkowanymi, rozwiązania Trend Micro automatycznie przesyłają podejrzane załączniki do systemu Deep Discovery. Wszystko to celu przeprowadzenia analiz w zdefiniowanym przez klienta środowisku i zablokowania ewentualnych prób ataku.

Poza wykrywaniem i ochroną, Deep Discovery przeprowadza też automatyczne, spersonalizowane aktualizacje innych poziomów zabezpieczeń w całej sieci organizacji. Co więcej, zebrane dane zostają skorelowane z globalną bazą analityczną Trend Micro, dostarczając zespołom odpowiedzialnym za bezpieczeństwo cennych informacji na temat rodzaju, zasięgu i źródła danego ataku. Dzięki temu możliwe jest sprawniejsze reagowanie i ochrona przed atakami w przyszłości.

Rozwiązania Trend Micro wyposażone w zabezpieczenia chroniące przed atakami typu spear phishing to:

• Trend Micro ScanMail for IBM Lotus Domino 5.5 – już w sprzedaży
• Trend Micro ScanMail for Microsoft Exchange 10.2 SP2 – dostępny w sprzedaży od końca grudnia 2012
• Trend Micro InterScan Messaging Security 8.2 SP2 – dostępny w sprzedaży od końca grudnia 2012

autor: Cezary Tchorek-Helm

Jedna rzecz jest pewna – rok 2013 przyniesie potężną armię wirusów i złośliwego oprogramowania wykorzystującą najrozmaitsze drogi ataków, poczynając od sieci społecznościowych, przez urządzenia mobilne aż po samych użytkowników. Wraz z poprawkami bezpieczeństwa dla komputerów i systemów operacyjnych, cyberprzestępcy będą wymyślali nowe techniki ich obejścia. Jest to jeden z kolejnych powodów, dla których warto uczynić bezpieczeństwo jednolitym.

Zagrożenie #1: Inżynieria społecznościowa

Wszystko zaczyna się od taktyki blackhat oraz metod prób i błędów zarówno w świecie realnym i wirtualnym – czyli inżynierii społecznościowej. Przed erą komputerów, taktyka ta polegała na przejściu przez linię obrony dzięki słownej manipulacji i wprowadzenia kogoś w błąd. Obecnie jest to sprytnie skonstruowany email czy, jak coraz częściej zauważamy, obszar portali społecznościowych, między innymi Facebook i LinkedIn.

• Atakujący coraz częściej korzystają z takich metod, które są obecnie bardziej zaawansowane niż telefonowanie do wybranych pracowników z próbą wyłudzenia informacji. Dawniej przestępcy mogli na przykład próbować zadzwonić na recepcję i poprosić o przekierowanie rozmowy do konkretnego pracownika, co w przypadku wyświetlania identyfikatora dzwoniącego mogło wyglądać dla ofiary tak, jakby telefon był wykonywany z wewnętrznej sieci firmowej. Jednak takie działania nie są już wcale potrzebne, gdyż haker w prosty sposób może znaleźć niezbędne dane wśród postów publikowanych na portalach społecznościowych. W końcu takie portale służą temu, żeby łączyć ludzi, a wyglądający wiarygodnie profil firmy lub osoby, który jest obserwowany przez kogoś znajomego czy też zaproszenie do grona znajomych mogą być wystarczające, aby rozpocząć atak z wykorzystaniem inżynierii społecznościowej.

Zagrożenie #2: APTs

Świadomość na temat technik inżynierii społecznościowej jest oczywiście bardzo ważna, ponieważ taki atak może być pierwszym etapem bardziej złożonego planu mającego na celu ominięcie zabezpieczeń firmy. W ciągu ostatniego roku można było zaobserwować kilka dokładnie wyprofilowanych ataków (np. Gauss i Flame) wymierzonych w korporacje i organizacje rządowe. Taki rodzaj zagrożenia określa się jako Zaawansowane Długotrwałe Ataki (Advanced Persistent Threats - APT). Ataki te są bardzo skomplikowane i dokładnie zaprojektowane. Założeniem APT jest zdobycie dostępu do sieci, a następnie ciche wykradanie danych. Ataki te są trudne do wykrycia, gdyż dane wykradane są powoli i małymi porcjami, co znacznie zwiększa prawdopodobieństwo ich sukcesu.

• Co więcej, APT wcale nie muszą wykorzystywać luk w powszechnie znanym oprogramowaniu, takim jak na przykład Microsoft Word. Mogą atakować innymi kanałami, chociażby uderzając w systemy osadzone. W świecie, w którym coraz więcej urządzeń posiada adres IP, tworzenie zabezpieczeń dla tego typu systemów jest bardziej istotne niż dotychczas.
• Dopóki organizacje rządowe i dobrze usytuowane finansowo firmy będą korzystały z Internetu, ataki APT będą wciąż wykorzystywane do szpiegowania. Tak naprawdę ataki APT działają nawet teraz, więc warto zwrócić uwagę na to, czy w naszej sieci nie ma żadnego podejrzanego ruchu.

Zagrożenie #3: Zagrożenia wewnętrzne

Niektóre z najgroźniejszych ataków mają swoje źródło wewnątrz firmy. Mogą być one najbardziej destrukcyjne, ze względu na rozmiar szkód, jakie może poczynić uprzywilejowany użytkownik z dostępem do danych. W badaniu przeprowadzonym przez Wydział Bezpieczeństwa Wewnętrznego USA, CERT Insider Threat Center Instytutu Inżynierii Oprogramowania na Uniwersytecie Canegie Mellon oraz tajne służby USA, zaufani użytkownicy działający na szkodę instytucji finansowych zostają zdemaskowani średnio po około 32 miesiącach aktywności. Zaufanie jest bardzo ważne, ale zbyt dużo zaufania naraża na niebezpieczeństwo.
Zagrożenie #4: BYOD

Problem związany z zaufaniem wchodzi w grę również w kontekście urządzeń mobilnych. Wiele przedsiębiorstw ma problem z doborem odpowiedniej technologii i polityk bezpieczeństwa przy coraz popularniejszym trendzie przynoszenia do pracy własnego sprzętu (bring-your-own-device: BYOD). Użytkownicy coraz częściej korzystają z urządzeń tak, jakby to były ich prywatne komputery PC, co w konsekwencji naraża ich na ataki oparte na technologii web w dokładnie w takim samym stopniu, jakby korzystali z komputerów stacjonarnych.

• Atakujący najprawdopodobniej będą coraz częściej starali się obejść zabezpieczenia najnowszych odsłon oprogramowania oraz mechanizmy detekcji, których używają mobilni dostawcy w celu chronienia swoich aplikacji. Wszystko to oznacza, że wysyp iPhone’ów, telefonów z systemem Google Android oraz innych urządzeń przynoszonych do pracy otworzy nową potencjalną drogę dla atakujących, którą koniecznie trzeba zabezpieczyć. Wystarczy pomyśleć – smartfon ma cyfrową kamerę. Ma również mikrofon. Można za jego pomocą nagrywać rozmowy. A teraz dodajmy do tego wszystkiego dostęp do korporacyjnej sieci i mamy idealną drogę pozwalającą ominąć zabezpieczenia.

Zagrożenie #5: Bezpieczeństwo w chmurach

Zjawisko BYOD to nie jedyna rzecz, która zmusza firmy do coraz mocniejszego obwarowywania krytycznych danych. Jest jeszcze jeden mały trend znany jako środowiska chmurowe. Ze względu na to, że coraz więcej firm umieszcza dane w chmurach dostarczanych przez publicznych usługodawców, takie usługi stają się smakowitym kąskiem dla hakerów i mogą stanowić jedyny słaby punkt bezpieczeństwa korporacji. Dla przedsiębiorstw oznacza to, że bezpieczeństwo musi w dalszym ciągu być bardzo ważnym punktem w dyskusjach z dostawcami usług osadzonych w chmurach, a potrzeby biznesowe muszą być jasno sprecyzowane.
Zagrożenie #6: HTML5

Powszechne przyjęcie standardu HTML5powiększy obszar zagrożeń zupełnie tak samo, jak coraz częstsze korzystanie z usług osadzonych w chmurach. Na początku tego roku na konferencji Black Hat, czyli spotkaniu specjalistów na którym dyskutuje się potencjalne zagrożenia, stwierdzono że HTML5, jako technologia wieloplatformowa i integrująca różne technologie, otwiera nowe możliwości ataków – chociażby nadużycie funkcjonalności Web Worker. Nawet pomimo największej uwagi przykładanej do bezpieczeństwa HTML5, sam fakt, że ta technologia jest nowa, sprawia że programiści tworząc swój kod mogą popełniać błędy, które następnie mogą być wykorzystane przez hakerów. Możemy się spodziewać w nadchodzącym roku prawdziwego zatrzęsienia ataków wymierzonych w HTML5. Miejmy nadzieję, że będą one na bieżąco odpierane za pomocą nowych aktualizacji i poprawek bezpieczeństwa.
Zagrożenie #7: Botnety

Mimo wyścigu zbrojeń na innowacje pomiędzy badaczami i atakującymi, można spodziewać się, że cyberprzestępcy spędzą mnóstwo czasu w doskonaleniu tego, co już świetnie znają i wykorzystują, na przykład upewnianiu się, że ich sieci botów mają wysoką dostępność i wciąż się rozrastają. Chociaż firmy takie jak Microsoft podjęły odpowiednie kroki prawne, co zaowocowało chwilową dezorganizację w działaniach spamerskich i wykorzystywaniu złośliwego oprogramowania, bardzo naiwnym byłoby oczekiwać, że hakerzy nie wyciągną wniosków i nie wykorzystają tych regulacji do udoskonalenia swoich ataków. Botnety wciąż będą miały swoje miejsce w świecie zagrożeń.
Zagrożenie #8: Dokładnie wymierzone pod ofiarę złośliwe oprogramowanie

Atakujący wyciągają również wnioski z analiz złośliwego oprogramowania wykonywanych przez twórców systemów bezpieczeństwa. Chodzi między innymi o technikę, która utrudnia analizę, gdyż złośliwe oprogramowanie jest zaprojektowane tak, że działa poprawnie jedynie na środowisku, dla którego zostało zaprojektowane. Przykładami takich ataków wśród wielu innych są Flashback i Gauss. Oba ataki odniosły sukces, szczególnie Gauss. Udało im się bowiem uniknąć wykrycia przez systemy automatycznej analizy tego typu złośliwego oprogramowania. W nadciągającym roku hakerzy będą ulepszać i wykorzystywać te techniki, czyniąc swoje wirusy jeszcze precyzyjniej wymierzone pod konkretną ofiarę, dzięki czemu ataki będą przeprowadzane jedynie na komputerach z określoną konfiguracją.

autor: Cezary Tchorek-Helm

Warto wiedzieć, z jakimi zagrożeniami sieciowymi branża będzie musiała się zmierzyć w 2013 roku.

Stare nowe zagrożenia

Jednym z głównych trendów w 2012 r. było BYOD, czyli możliwość wykorzystania w pracy prywatnych urządzeń mobilnych, takich jak smartfon i tablet oraz powstawanie heterogenicznych środowisk IT, gdzie oprócz systemów Windows, coraz częściej występowały także Mac OS X, iOS i Android.

W kolejnym roku spodziewam się dalszego wzrostu popularności urządzeń przenośnych i nowych systemów operacyjnych, a co za tym idzie także nowych zagrożeń i dedykowanego im złośliwego kodu, takiego jak na przykład koń trojański Flashback, który w kwietniu 2012 r. zainfekował ponad 600 000 komputerów Mac. Ponadto, będziemy mieli do czynienia z większą ilością przypadków wycieku firmowych danych poprzez prywatne urządzenia pracowników, które nie zawsze są zabezpieczone zgodnie z wytycznymi administratorów IT.

Botnety wykorzystujące cloud computing

Botnety to grupy zainfekowanych komputerów zwanych botami lub zombie, które wykonują polecenie wysyłane przez właściciela botnetu (master). Infekują one komputery wykorzystując luki i słabości systemów operacyjnych i aplikacji sieciowych. Używane są m.in. do rozsyłania spamu, hostingu fałszywych stron www (np. podszywających się pod witryny banków) lub przeprowadzania ataków DDoS, które mają za zadanie zablokować serwery firmy.

W jaki sposób botnety mogą wykorzystywać cloud computing do swoich celów? Z jednej strony mogą przejmować zasoby dostawców cloud computingu zgromadzone w ramach posiadanych przez nich centrów danych. Z drugiej natomiast istotnym zagrożeniem staje się możliwość płatnego „wynajmu” zainfekowanych wcześniej maszyn (zombie) do celów przestępczych. Cyberprzestępcy mogą określić wymaganą moc obliczeniową, czas pracy i zadania, które mają zostać wykonane np. wysłanie spamu lub złamanie zabezpieczeń kryptograficznych. Następnie płacą za takie usługi dostawcom botnetów, podobnie jak firmy - za pomocą kart kredytowych lub płatności elektronicznych.

Bitcoin – waluta cyberprzestępców

We wrześniu 2012 r. grupa hakerów twierdziła, że zdobyła zeznania podatkowe kandydata na prezydenta USA Mitta Romneya. Wysłała  zaszyfrowane kopie do mediów i partii demokratycznej, grożąc ich opublikowaniem, jeżeli na podane konto nie zostanie wpłacona równowartość miliona dolarów w Bitcoin’ach. Powyższe zdarzenie jest jednym z przykładów praktycznego użycia wirtualnej waluty Bitcoin, która powstała w 2009 r. i umożliwia natychmiastowe płatności w wirtualnym świecie poprzez sieci P2P. Istnieją serwisy, które umożliwiają wymianę Bitcoin’ów na standardowe waluty.

Brak centralnego serwera powoduje spore trudności w namierzaniu transakcji elektronicznych i ustalenie tożsamości ich uczestników. Dzięki temu Bitcoin staje się idealną platformą płatniczą (a właściwie „elektroniczną pralnią pieniędzy”) dla właścicieli botnetów, twórców złośliwego kodu, serwisów internetowych wykorzystywanych do handlu narkotykami i innych działań grup cyberprzestępczych.

Proaktywna ochrona sieci

Przegląd zagrożeń sieciowych z pewnością pomoże przy proaktywnym zabezpieczaniu swojej sieci i danych. O ile nie jest możliwe dokładne przewidzenie tego, co przyniesie przyszłość, to jeden aspekt wydaje się dość pewny - powinniśmy skupić nasze działania na ochronie użytkowników, niezależnie od tego, jakie urządzenia, systemy operacyjne i aplikacje wykorzystują i w jakim miejscu wykonują swoją pracę. Warto o tym pamiętać podczas tworzenia polityk bezpieczeństwa i wybierania rozwiązań zabezpieczających, które zostaną wdrożone w danej organizacji.

autor: Paweł Śmigielski/Cyberoam