Hlavní navigace

Databáze loginů: Kolik byste zaplatili?

Pavel Čepský 14. 2. 2012

Škodlivý kód už jen zřídkakdy promaže vaše data, spíše se zajímá o zajímavé informace. Na vzestupu je malware cílící na krádež přihlašovacích údajů, tedy ceněného a populárního artiklu.

Facebook je velice často spojován s potenciálními hrozbami ochrany soukromí, za které si uživatelé nemohou sami, i takovými, které jdou čistě na jejich vrub. Jak jsme vás nedávno informovali v aktuální zprávičce, byl společností Trusteer Research objeven takzvaný „Factory Outlet“, který ve velkém nabízí kradené účty nejen právě v rámci Facebooku, ale i Twitteru. Databáze navíc obsahují také přístupové údaje pro účty cPanel – jedno z populárních administračních rozhraní.

Trusteer Research správně upozorňuje na to, že speciálně připravený škodlivý kód, který je zaměřený na dolování peněz, může efektivně útočit na stránky nabízející služby internetového bankovnictví. Společně s tím samozřejmě na infikovaném počítači dokáže sbírat také další přihlašovací údaje, a právě tento krok je často na začátku řetězu obchodu s databázemi přihlašovacích informací, které jsou nadále nejen zpeněžitelné, ale také samostatně zneužitelné.

Jak se vlastně začínající i pokročilí uživatelé mohou nachytat, tedy se stát součástí sítě infikovaných počítačů, které potají sbírají přihlašovací údaje? Typickou ukázku představuje například velice slavný Zeus: trojský kůň, který v uplynulých letech postihl mnoho nic netušících lidí. Tvůrci trojského koně Zeus zvolili tento typ malwaru záměrně, jelikož své nebezpečí šíří prostřednictvím zpráv a programů, které na první pohled vykonávají jinou činnost. Poprvé byl Zeus identifikován ve phishingových odkazech a podvržených odkazech ke stažení jakoby legitimního softwaru, a to v polovině roku 2007. Od té doby došlo k vybudování velkého botnetu, které nyní dle odhadů obsahuje miliony kompromitovaných počítačů.

Zajímavé na vykradači hesel názvem Zeus je možnost jeho přizpůsobení. Odpovídající zdrojový kód totiž v květnu loňského roku unikl a malwaroví tvůrci si jej tedy mohou přizpůsobit (a přizpůsobují) dle svých potřeb. Právě to je oním pomyslným svatým grálem při krádeži citlivých informací, díky pár modifikacím si původní malware mohou pokročilejší virotvůrci upravit k útoku na prakticky libovolnou webovou službu vyžadující přihlašování prostřednictvím klasických formulářů. Navíc lze Zeus v kombinaci s tím i zakoupit, například dle Wikipedie se cena na undergroundových fórech pohybuje od 700 dolarů do 15 000 dolarů v závislosti na verzi a její vybavenosti.

Podíl Rustocku na spamu
Botnety mají velký podíl na všech „akcích“, hlavně na rozesílání spamu. Mnoho radosti v historii přineslo například odstavení Rustocku. Zdroj: Symantec

Kterou verzi za kolik?

Na začátku zpeněžení uživatelových přihlašovacích údajů je tedy získání odpovídajících informací, typicky dle scénáře, který byl popsán v principu fungování malwaru Zeus. Jakmile je odpovídající databáze vybudovaná, přichází na řadu nejdůležitější krok: jak ji zpeněžit? Právě konkrétní ukázku poskytla aktuální, výše citovaná zpráva Trusteer Research. Útočníci nabízejí přihlašovací údaje k Facebooku, Twitteru a dalším službám, které patří uživatelům z celého světa.

S trochou nadsázky nelegální obchod s databázemi připomíná prodej kteréhokoliv jiného artiklu. Je libo základní výbavu v podobě přihlašovacích údajů uživatelů dle služby? Nebo konkrétní podskupinu podle vybrané geografické oblasti? Či si připlatíte za rozšíření ztělesněné přidruženými e-mailovými adresami? Přesně taková je nabídka jednotlivých variant aktuálně dostupné ucelené databáze, prodávající přitom neprozrazují počet infikovaných strojů, chlubí se však dostupností 80 GB dat odcizených jednotlivým uživatelům.

Další z publikovaných informací, s nimiž se nyní dle aktuální analýzy čile obchoduje, představují přihlašovací údaje k administračnímu rozhraní cPanel, které slouží ke správě hostovaných webových stránek. Útočníci po vybudování databáze nyní prodávají potřebné dvojice v podobě adresy daných stránek a přihlašovacích údajů. Pokud pak někdo prostřednictvím těchto informací získá kompletní přístup do administrace, může upravit konfiguraci například tak, že stránky budou sloužit jako zdroj malwaru či zprostředkují jakékoliv jiné riziko.

Někdy je až s podivem, že podobné nabídky a výsledné obchody nekončí hromadným zatýkáním a dalšími postihy jednotlivých kyberzločinců, kteří nabízení informace zjevně nelegálním způsobem ukradli. Identitu samozřejmě co nejvíc skrývají, například v případě zmíněné nabídky publikované společností Trusteer Research byl jako kontakt uveden účet v rámci JabberID a možnost oslovení prostřednictvím ICQ. K tomu jsou standardem konkrétní možnosti platby a jejich omezení.

Nabídka databáze
Původní screenshot s nabídkou databáze. Zdroj: Trusteer Research

Ochrana jako kdykoliv jindy

Čas již dostatečně prokázal, že právě botnety mohou být nejvíce problematické, a to kvůli popsané tiché hrozbě. Jejich tvůrci navíc nemusí usilovat „pouze“ o krádeže hesel, rozesílání spamu nebo hromadné útoky, v čele například s DDoS, ale nabízí se jim také možnost pronájmu takto systematicky vytvořených sítí – pokud chce někdo další rozeslat nevyžádanou poštu, případně odrovnat konkurenci odepřením služby, stáčí se veškeré otázky jen k ceně. Jakmile je však již botnet vybudovaný a postupně díky původnímu škodlivému kódu dlouhodobě sbírá uživatelovy přístupové údaje, lze obchodem s takovýmito databázemi vydělat okamžité peníze.

Základem obrany by podobně jako v případě jiných hrozeb mělo být zamezení vzniku botnetů, které pak jsou využitelné k čemukoliv, a tedy u koncových uživatelů. Paradoxně si tak brání i své soukromí, jelikož botnetem později ukradené přihlašovací informace mohou patřit právě jim. Z druhé strany pak stojí další trend dneška: uživatelé se často sami dobrovolně do botnetů zapojují, aktuálně hlavně v případě organizovaných DDoS útoků. Botnety tak mohou mít dvě tváře, záleží na tom, kdo od nich co očekává a jakou cestou získat potenciální oběti.

Jak tedy zabránit krádežím hesel a dalším útokům z botnetů? V první řadě by uživatelé i síťoví administrátoři měli dbát na to, aby se nestali jeho součástí – v případě trojských koňů a dalších cest, jak zotročit další počítač, dokáže v drtivé většině případů ochranu poskytnout pravidelně aktualizovaný a správně nastavený antivir. Jestliže z počítačů vytváří součásti botnetu síťový červ, poskytnou obranu komplexnější řešení a pravidelně záplatovaný systém. Krádeží hesel a botnetů se jen tak nezbavíme, útočníci budou chtít stále vydělávat, a tak jim to zbytečně neusnadňujme.

Našli jste v článku chybu?

14. 2. 2012 16:34

NN (neregistrovaný)

Nerozumiem, prečo policajti tie údaje nekupujú cez nastrčených agentov. Je problém niekomu takto nelegálnu činnosť dokázať?

15. 2. 2012 8:18

Ondřej Bouda (neregistrovaný)

Ano, je to problém. Ze dvou důvodů:

1. Je malá šance, že se povede příjemce peněz vystopovat - buď se používají bílí koně (putuje to řetězově přes několik účtů, včetně výběrů hotovosti a vložení na jiný účet v jiné bance; problémem je spolupráce s bankami z různých zemí) nebo se využijí různé "úložny" (teď nemůžu vylovit z paměti název), ze kterých lze vybírat v podstatě anonymně (vkladatel umožní vybrat částku tomu, kdo zná číslo transakce a zvolené heslo - legální využití je např. pro rychlé …

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Nenechte se ošidit, když vám staví dům

Nenechte se ošidit, když vám staví dům

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU