Cyberprzestępcy skutecznie się adaptują do szybko zmieniającej się sytuacji. To najważniejszy wniosek z czerwcowej konferencji Next@Norton 2012, w czasie której firma Symantec podsumowała swoje badania nad najnowszymi zagrożeniami w globalnej sieci. W tym roku motywem przewodnim były ataki za pośrednictwem Facebooka oraz malware na systemy mobilne.
Niebezpieczny Facebook
Ataki za pośrednictwem sieci społecznościowych nie były dotąd w Polsce powszechne. To się jednak zmienia. Kilka godzin po prezentacji na temat zagrożeń na Facebooku na tablicy autora tego artykułu pojawił się podejrzany link przesłany przez jednego z członków rodziny. Wiadomość zachęcała do ściągnięcia pliku ze zdjęciami. Okazało się, że był to efekt działania szkodliwego skryptu, który się uruchamiał po kliknięciu linku na tablicy. Robak pobierał listę kontaktów z konta ofiary i podszywając się pod nieświadomą niczego osobę, rozsyłał się do wszystkich znajomych.
Powielanie wiadomości było mechanizmem propagacji i wstępem do właściwego ataku. Kliknięcie odnośnika powodowało też pobranie pliku udającego zdjęcie (nazwa zaczynała się od liter IMG*). W rzeczywistości był to program wykonywalny, który przy próbie otwarcia instalował w systemie trojana TR/Agent, który wyświetlając fałszywe komunikaty, straszy użytkownika wirusami i zachęca do kupienia fałszywego antywirusa (scareware). Szkodliwy link powielił się na dziesiątkach tysięcy profili Facebooka.
Kradzież reputacji
Robak był bardzo skuteczny dzięki temu, że rozsiewając się, korzystał z reputacji swojej ofiary. Gdyby podobny URL przyszedł e-mailem z nieznanego adresu, użytkownicy podchodziliby do niego z rezerwą. Co innego, gdy ta sama treść pojawia się na tablicy obok zdjęcia osoby, której ufamy.
Inny scenariusz kradzieży reputacji wygląda tak: po kliknięciu linku użytkownik trafia na stronę z kuszącą propozycją, np. obejrzenia intrygującego klipu wideo. Aby go uruchomić, musi wkleić wskazany URL do paska adresu przeglądarki. W rzeczywistości jest to szkodliwy kod Java Script, który pozwala atakującemu przechwycić listę znajomych ofiary w celu dalszego rozesłania linku pułapki. Na podlinkowanej stronie może być też zachęta do kliknięcia w określone miejsce, np. miniaturkę klipu. Pod nią może być ukryty przycisk Lubię to!, którym ofiara nieświadomie rekomenduje link pułapkę znajomym.
Atakujący może także uzyskać dostęp do kontaktów za pomocą szkodliwej aplikacji. Podczas instalacji taka aplikacja wyłudza zgodę na odczytanie danych użytkownika oraz prawo wysyłania wiadomości w jego imieniu.
Wyłudzanie pieniędzy
Przestępcy mogą odnieść korzyści nawet bez ingerencji w system operacyjny, np. wyłudzając pieniądze za pomocą ataku socjotechnicznego.
Na swoim profilu możesz zobaczyć link od znajomego, którego konto zostało wcześniej zhakowane, prowadzący do sugestywnej reklamy, np. hojnego rabatu. Jednak, by z niego skorzystać, musisz wypełnić formularz kontaktowy. Jedno z pól jest przeznaczone na telefon. Chwilę po przesłaniu formularza otrzymujesz SMS-em potwierdzenie, z którym przychodzi kilkuznakowy kod. Wpisanie go na stronie to ostatni krok przed otrzymaniem nagrody.
Oczywiście na końcu nie ma żadnej nagrody, jest tylko kara za naiwność. Potwierdzając kodem swój numer telefonu, użytkownik staje się abonentem płatnego serwisu, np. z bezwartościowymi poradami, za 10 dol. miesięcznie. Dodatkowo numer jest sprzedawany agencji marketingowej, która niezwłocznie zaczyna wysyłać SMS-y reklamowe.
ABC bezpieczeństwa na Facebooku
1. Czytaj, zanim klikniesz w angielskie wiadomości. Po treści komunikatu można się zorientować, że tekst nie pochodzi od znajomego.
2. Nie wierz we wspaniałe oferty. Nie podawaj nieznanym podmiotom swoich danych osobowych, telefonu czy numeru karty kredytowej.
3. Czytaj uważnie prawa, jakie przyznajesz aplikacji instalowanej w profilu. Ostrożnie przyznawaj uprawnienia pozwalające na publikowanie wiadomości w twoim imieniu.
4. Korzystaj z Facebooka tylko za pomocą zaktualizowanej przeglądarki, by zminimalizować ryzyko złapania wirusa ukrytego w podlinkowanej stronie (drive-by-download).
5. Zainstaluj skaner antywirusowy. Zablokuje on instalację trojana, nawet gdy nieopatrznie uruchomisz zainfekowany plik.