Znajdź zawartość

Z ankiety przeprowadzonej na zlecenie firmy ESET wynika, że użytkownicy systemów Mac OS X są narażeni na phishing w równym stopniu, co użytkownicy systemów Windows. W ankiecie wzięło udział 1003 osób. Wykazała ona, że największe straty powodują właśnie ataki phishingowe. Phishing jest tak samo efektywny przeciwko użytkownikom systemów Mac, Linux, Windows, Solaris czy jakiegokolwiek innego. Polega on bowiem na oszukaniu użytkownika i nie zależy od szkodliwego kodu czy błędów w używanym oprogramowaniu - mówi Randy Abrams z ESET. System Mac OS X nie oferuje żadnego zabezpieczenia przed phishingiem i odsetek ofiar jest taki sam jak w przypadku innych systemów - dodaje. Z jego zdaniem zgadza się Avivah Litan z Gartnera. Zauważa on, że generalnie użytkownicy Mac OS X uważają, że są bardziej bezpieczni niż użytkownicy Windows. Po części jest to prawdą, gdyż zdecydowana większość szkodliwego kodu atakuje Internet Explorera oraz platformę Windows i po prostu nie działa na Mac OS X. Jednak phishing jest niezależny od systemu - mówi Litan. Dlatego też ryzyko w przypadku tej techniki jest takie samo dla obu systemów. Co ciekawe, badania wykazały, że osoby, które jednocześnie używają Mac OS X i Windows rzadziej padają ofiarą ataków phishingowych. Być może, jak spekulują specjaliści, jest to związane z tym, że osoby takie mają większą wiedzę techniczną od przeciętnego użytkownika komputera.

Cyberprzestępczość zagraża dosłownie każdemu użytkownikowi Sieci, a najlepszym dowodem może być ostatnia wypowiedź dyrektora FBI, Roberta Muellera. Podczas spotkania w Commonwealth Club of California przyznał on, że sam omal nie padł ofiarą phishingu. Opowiadał, że otrzymał e-maila, pochodzącego rzekomo z jego banku. List wyglądał na całkowicie prawdziwy. Proszono w nim o zweryfikowanie informacji dotyczących jego konta bankowego. Mueller zaczął wypełniać przysłany formularz, gdy zdał sobie sprawę, że może to nie być dobry pomysł. Jak mówi byłem o kilka kliknięć od stania się ofiarą klasycznego phishingu. Powinienem zachować się lepiej - dodał. Dyrektora najpotężniejszej służby policyjnej na świecie spotkała jednak kara. Nie wystarczyło, że zmienił wszystkie hasła. Jego szefowa, pani Mueller, gdy usłyszała o incydencie, stwierdziła, że to są ich wspólne pieniądze i zabroniła mu wykorzystywania elektronicznej bankowości. Mueller opowiedział o tym incydencie przy okazji konferencji, podczas której poinformowano o zakończeniu największej jak dotąd akcji antyphishingowej, Operation Phish Phry

We wszystkich popularnych przeglądarkach odkryto błąd, który znakomicie ułatwia przeprowadzenie ataków phishingowych. Nową technikę nazwano "in-session phishing". Tradycyjny phishing polega na wysyłaniu olbrzymiej liczby niechcianych wiadomości i oczekiwaniu, aż ich odbiorcy dadzą się oszukać i przekażą przestępcom interesujące dane, np. hasła i loginy. Większość spamu jest jednak wyłapywana przez filtry antyspamowe i nigdy nie dociera do odbiorców. "In-session phishing" polega na włamaniu się na stronę WWW i umieszczenie na niej kodu HTML, który wyświetli standardowe okienko pop-up np. z prośbą o podanie loginu i hasła. Największym problemem jest spowodowanie, by okienko takie wyglądało na prawdziwe, rzeczywiście pochodzące z serwisu, z którego korzystamy. Tutaj właśnie przyda się wspomniana luka w przeglądarkach. Jej odkrywca, Amit Klein z firmy Trusteer, mówi, że w silnikach JavaScript występuje błąd, dzięki któremu można sprawdzić, czy dana osoba jest zalogowana na witrynie, którą odwiedza. Dzięki temu wspomniany pop-up można przygotować tak, by nie wyświetlał się każdemu i w każdej sytuacji, bo to może wzbudzić podejrzenia, ale pokazywał się tylko tym użytkownikom, którzy już się zalogowali. Istnieje duże prawdopodobieństwo, że osoba zalogowana np. do swojego banku, widząc kolejną prośbę o logowanie, uzna ją za dodatkowe zabezpieczenie i poda swoją nazwę użytkownika i hasło, przekazując je tym samym cyberprzestępcom. Klein nie zdradza, o jaką funkcję silnika JavaScript chodzi. Poinformował o problemie producentów wadliwych przeglądarek.

Eksperci alarmują, że coraz częściej bardzo młodzi ludzie zaczynają parać się przestępczością komputerową. Ryzykują tym samym swoją przyszłość, gdyż mają niewielkie umiejętności, więc łatwo takich domorosłych "hakerów" złapać, a konfrontacja z policją i wymiarem sprawiedliwości może negatywnie wpłynąć na przyszłość. Widzę w Sieci jak dzieciaki w wieku 11-12 lat handlują skradzionymi numerami kart kredytowych i proszą na forach o podpowiedzi dotyczące technik ataku - mówi Chris Boyd, dyrektor w firmie FaceTime Security. Wiele z tych dzieci po raz pierwszy zetknęło się z przestępczością komputerową szukając w Internecie kodów do łamania swoich ulubionych gier. Trafiają na fora, na których udostępniane są nie tylko takie kody, ale wymieniane informacje na temat ataków czy sprzedawane skradzione dane. Spora część z młodych cyberprzestępców zaczyna swoją "karierę" od poszukiwania sposobów na włamanie do portalu społecznościowego, by zrobić kawał czy dokuczyć komuś znajomemu. Boyd mówi, że spędził sporo czasu śledząc programy służące do ataku na fora i często okazywało się, że ich autorami są nieletni. Wielu młodych ludzi na tego typu działalności nie poprzestaje i z czasem zaczynają parać się "dorosłą" cyberprzestępczością - phishinigem czy rozsyłaniem spamu. Ze spostrzeżeniami Boyda zgadza się Kevin Hogan z Symantec Security Response. Także i on zauważa, że małoletnim przestępcom często brakuje podstawowej wiedzy, przez co łatwo mogą zostać złapani. Oni często nie wiedzą, jak prawidłowo obsługiwać zestaw przestępczych narzędzi. Trafialiśmy na witryny phishingowe, na których nie wyświetlały się obrazki, to odnośniki do grafik, zamiast prowadzić do adresu na oryginalnej witrynie, prowadziły do nieistniejących plików na dysku C - mówi Hogan. Symantec dysponuje całą bazą danych o młodych ludziach, którzy sami sobie zaszkodzili, bo zainfekowali swoje komputery stworzonym przez siebie szkodliwym kodem. Ponadto, jak mówi Boyd, większość z takich domorosłych przestępców, nie może się oprzeć chęci pochwalenia się światu swoimi osiągnięciami. Zamieszczając więc na YouTube filmy z dokonywanych przez siebie włamań i podpisują je tymi samymi pseudonimami, których używali podczas popełniania przestępstwa. Ponadto w swoich profilach w YouTube i podobnych serwisach umieszczają tyle informacji na swój temat, że odnalezienie ich nie stanowi większego problemu. Mathew Bevan, nawrócony cyberprzestępca, który sam jako nastolatek został aresztowany przez policję, mówi, że młodzi ludzie chcą za wszelką ceną udowodnić, że są kimś. Ich celem jest zyskanie uznania w grupie znajomych. Całymi miesiącami i latami budują swój status. Łatwo z tego nie zrezygnują - stwierdza. Graham Robb z Rady Sprawiedliwości ds. Nieletnich, mówi, że wpisanie do rejestru skazanych to dla młodej osoby jedno z najgorszych doświadczeń. Ci, którzy popełnili poważne przestępstwa figurują w takim rejestrze przez całe życie, a to może uniemożliwić im np. znalezienie pracy.

Firma Netcraft informuje o odkryciu wyjątkowo niebezpiecznej metody phishingu. Przypomnijmy, że terminem phishing określamy ataki, których celem jest wyłudzenie danych. Bardzo często phisherzy próbują w ten sposób zdobyć informacje konieczne do skorzystania z kont bankowości elektronicznej swoich ofiar. Nowa technika jest trudna do wykrycia i przez to bardzo niebezpieczna. Podczas wspomnianego ataku cyberprzestępcy skierowali się przeciwko klientom Banca Fideuram. Początek wyglądał dość typowo: do klientów wysłano autentycznie wyglądające maile, których autorzy podszywali się pod wspomnianą firmę. Dzięki nim zachęcali użytkowników do zalogowania się na swoje konto. W e-mailu umieszczano odnośnik do strony, na której należy się zalogować. I tutaj kończą się podobieństwa. Zwykle bowiem w takich przypadkach odnośnik prowadzi na fałszywy serwer, który wyświetla witrynę do złudzenia przypominającą stronę, na której zwykle użytkownik się loguje i dochodzi do kradzieży haseł. Tym razem było inaczej. Cyberprzestępcy użyli... prawdziwego certyfikatu SSL atakowanego banku. Pomimo niego atakującym udało się załadować na witrynę banku własny formularz, w którym następuje logowanie. Cała wyświetlana witryna jest więc autentyczna, z wyjątkiem hostowanego na tajwańskim serwerze formularza. Dowodzi to, jak poważne konsekwencje mogą mieć błędy typu XSS (cross-site scripting) występujące na stronach banków. Przykład ten pokazuje, że bezpieczeństwo nie może być zagwarantowane tylko przez fakt wyświetlenia się symbolu kłódki i nagłówka HTTPS: w pasku adresu czy też przez upewnienie się, że znajduje się tam właściwy adres – mówi Paul Mutton z Netcrafta. Informuje on, że podczas ataku wykorzystano nie tylko popularną lukę IFRAME, ale również błędy w parametrze GET. Ponadto cyberprzestępcy wykorzystali kilka dodatkowych technik, które uczyniły atak bardzo trudnym do wykrycia nawet przez filtry zabezpieczające.

IBM-owski zespół X-Force informuje o gwałtownym wzroście liczby witryn zajmujących się phishingiem, czyli wyłudzaniem informacji. Pomiędzy 12 a 18 czerwca znaleziono 114 013 nowych witryn tego typu. Aż 85% ataków było skierowanych przeciwko bankowi Regions. Działający na południu i środkowym zachodzie USA bank zarządza aktywami wartości 140 miliardów dolarów. Specjaliści IBM-a znaleźli też dowody na to, że wśród cyberprzestępców bardzo popularne są automatyczne narzędzia do tworzenia szkodliwych witryn. Aż 99% stron phishingowych zostało stworzonych przy pomocy komercyjnie dostępnych zestawów takich narzędzi. X-Force uważa, że za atakami stoi stosunkowo niewielka grupa ludzi. Wszystkie 114 tysięcy witryn znajdowało się w zaledwie 111 domenach. Połowa z nich byłą hostowana w Chinach i na Tajwanie.

Specjaliści informują, że google’owski serwis blogowy Blogger jest wykorzystywany przez cyberprzestępców do rozpowszechniania szkodliwego kodu. Według firmy Fortinet, przestępcy założyli na Bloggerze setki blogów, na które wejście kończy się zarażeniem komputera szkodliwym oprogramowaniem. Odróżnienie ich od blogów tworzonych przez uczciwe osoby jest dla przeciętnego internauty niemożliwe. Jeden z takich fałszywych blogów został rzekomo założony przez miłośnika motocykla Honda CR450 i próbuje zarazić komputer wizytującego koniem trojańskim Wonka. Inny rzekomy blog przekierowuje swoje ofiary na stronę Pharmacy Express, która z jednej strony wyłudza dane osobowe, a z drugiej zaraża rozsyłającym spam koniem trojańskim Stration. To nie są prawdziwe blogi, które padły ofiarą cyberprzestępcą. To fałszywe blogi zajmujące się phishingiem – mówi przedstawiciel Google’a. Zapowiada śledztwo i usunięcie rzekomych blogów. Ataki na Bloggera to kolejny przykład, w jaki sposób sieci społecznościowe są wykorzystywane przez cyberprzestępców. Warto tu przypomnieć, że przed kilkoma miesiącami poinformowano o podobnych atakach na YouTube czy MySpace.

W Internet Explorerze 7 znaleziono lukę, która może zostać wykorzystana do przeprowadzenie ataków phishingowych. Problem leży w sposobie, w jakim IE7 przechowuje informację o błędzie, która jest pokazywana, gdy użytkownik przerwie ładowanie strony WWW. Komunikat głosi, że ładowanie strony zostało przerwane przez użytkownika i proponuje jej odświeżenie. Błąd polega na tym, że atakujący może w miejsce odnośnika, który umożliwia odświeżenie, podstawić inny adres i skierować użytkownika na fałszywą stronę. Aviv Raff, odkrywca luki, informuje, że w ten sposób można skierować użytkownika na stronę, która wygląda identycznie, jak witryna np. banku czy serwisu aukcyjnego. Błąd pozwala na zarażenie komputera skryptem, który, po naciśnięciu przycisku "odśwież”, będzie wyświetlał użytkownikowi takie strony, jakich zażyczy sobie atakujący. Metoda taka zwana jest XSS (cross-site scripting). Błąd występuje w IE7 dla Windows XP i Visty.

Kradzieże tożsamości i związane z nimi straty stają się coraz poważniejszym problemem. W przyszłym tygodniu podczas RSA Conference urzędnicy amerykańskiej Federalej Komisji Handlu (FTC) przedstawią zebrane na ten temat informacje. Zgromadzone one zostały bazie danych o nazwie Consumer Sentinel i pochodzą od samych klientów, którzy składali skargi. Surowe dane poznamy już wkrótce, a pełen raport, podobny do tego z 2003 roku, zostanie przygotowany w ciągu kilku miesięcy. Już teraz wiadomo, że informacje są przerażające dla przeciętnego internauty, a bardzo zachęcające dla cyberprzestępców. Jeśli weźmiemy pod uwagę fakt, że np. w 2005 roku do FTC złożono 650 000 skarg, a straty skarżących wyniosły około 680 milionów dolarów, to przestajemy się dziwić, że działające w Internecie gangi coraz chętniej budują botnety i dokonują ataków phishingowych. Specjaliści nie ustalili jeszcze metodologii badań nad kradzieżami tożsamości. Jeśli bowiem zastosować metodologię przyjętą w raporcie FTC w 2003 roku to, jak informuje firma Javelin Strategy & Research, należałoby przyznać, że w 2006 roku spadła liczba ataków phishingowych. Opierając się na tej metodologii Javeli uważa, że w minionym roku na całym świecie straty spowodowane kradzieżą tożsamości spadły o 12% i wyniosły 49,3 miliarda dolarów. W samych Stanach Zjednoczonych poszkodowanych zostało o 500 000 osób mniej, niż w roku 2005. Z wnioskami tymi nie zgadza sie Avivah Litan z firmy Gartner. Otrzymante przez Javelin wyniki są sprzeczne z obserwowanymi trendami – mówi Litan. Brytyjskie banki właśnie opublikowały raport, z którego wynika, że liczba defraudacji związanych z kradzieżą tożsamości wzrosła o 20 procent.

Microsoft udostępnił długo oczekiwaną finalną wersję swojej najnowszej przeglądarki – Internet Explorera 7. To pierwsza nowa edycja Explorera od kilku lat. W IE7 nastąpiło wiele zmian, które mają pomóc Microsoftowi w walce ze zdobywającym coraz więcej zwolenników konkurencyjnym Firefoksem. Przeglądarka Microsoftu ma być przede wszystkim bardziej bezpieczna od IE6. Producent wbudował w nią filtr antyphishingowy, chroniący użytkownika przed wyłudzeniami danych, a domyślne ustawienia nie pozwalają na automatyczną instalację kontrolek ActiveX. Microsoft zapewnia, że cała obsługa ActiveX została poprawiona tak, że wykorzystanie tej technologii do przeprowadzenia ataku będzie znacznie trudniejsze. Nawet, jeśli konkretna kontrolka będzie zawierała błędy. W IE dodano również opcję "Delete Browsing History", która umożliwia błyskawiczne wykasowanie wszelkich danych gromadzonych przez program podczas przeglądania Sieci. Użytkownicy alternatywnych przeglądarek zauważą, że koncern Gatesa zastosował w IE7 rozwiązania, znane chociażby z Opery czy Firefoksa. W końcu można za pomocą produktu Microsoftu surfować po Internecie wykorzystując karty otwarte w jednym oknie. W IE7 znalazło się też wbudowane okienko wyszukiwarki, dzięki któremu nie trzeba najpierw odwiedzać MSN-u czy Googla, by zadać interesujące nas zapytanie. Producent zastosował również obsługę kanałów RSS. Gdy odwiedzimy stronę, która pozwala na subskrybowanie wiadomości, IE7 poinformuje nas zmieniając kolor ikony na pasku narzędzi. Poprawiono także obsługę obowiązujących standardów CSS czy HTML. Ich nieprzestrzeganie i tworzenie własnych jest jednym z najczęściej powtarzanych zarzutów wobec Explorera. Przekonamy się, czy IE7 zmieni tą sytuację. Użytkownicy systemu Windows XP, którzy będą chcieli skorzystać z siódmej wersji Explorera, muszą mieć zainstalowany Service Pack 2. Z systemami Windows XP Pro 64 i Windows Server 2003 przeglądarka współpracuje tylko wtedy, gdy zainstalowano w nich SP1. Obecnie dostępna jest jedynie anglojęzyczna wersja przeglądarki, którą można pobrać bezpośrednio z witryny Microsoftu. Jeszcze przed końcem bieżącego miesiąca ukaże się kolejna wersja największego konkurenta Internet Explorera – Firefox 2.0.

Narzędzia antyphishignowe zastosowane w Internet Explorerze 7.0 nie mają sobie równych – stwierdzają autorzy pierwszego znaczącego studium mającego na celu ocenę tego właśnie elementu przeglądarek. Phishing to rodzaj ataku na użytkownika, którego celem jest wyłudzenie od niego informacji osobistych lub finansowych. Firma 3Sharp LLC porównała osiem filtrów antyphishingowych znajdujących się w programach: Earthlink SamBlocker, eBay Toolbar, GeoTrust TrustWatch, Google Safe Browsing, Internet Explorer 7 Beta RC3 z Microsoft Phishing Filter, McAfee Site Advisor, Netcraft Toolbar oraz Netscape 8.1. Każdy z filtrów został sprawdzony na 100 witrynach, o których wiadomo, że wykorzystują one ataki phshingowe, oraz na 500 bezpiecznych stronach. Pozwoliło to na ocenę, jak filtry radzą sobie z odróżnianiem strony bezpiecznej od niebezpiecznej. Każdy z produktów został następnie oceniony w skali od 0 do 200 punktów. Najwyżej w rankingu, ze 172 punktami, uplasował się Internet Explorer. Na drugim miejscu znalazł się Netcraft Toolbar, który przegrał jedynie 4 punktami. Trzecie miejsce zajął Google Safe Browsing, który testowano na przeglądarce Firefox. Uzyskał on 106 punktów. Najgorzej z całej ósemki wypadł McAfee Site Advisor (zaledwie 3 punkty). Wyprzedził go siódmy w kolejności Nestcape 8.1 (56 pkt.) oraz GeoTrust TrustWatch (67 punktów). Przed nimi znalazły się narzędzia Earthlink ScamBlocker (76 pkt.) i eBay Toolbar (92 punkty).