Útoky šité na míru: Co přináší jejich personalizace?

Klasické podvody a pokusy o infiltraci narážejí na stále větší osvětu začínajících uživatelů, a proto získává na významu personalizované techniky. Čím se vyznačují a v čem je jejich síla?

Jedním ze základních útoků všech útočníků a internetových podvodníků je zvolit si správně cestu, kterou se do svých pařátů pokusí oběti dostat. Pohledem koncových uživatelů nebo správců sítě to známe z druhé strany – zatímco univerzální phishingovou vějičku psanou lámanou češtinou jen stěží spolkneme, cílenému e-mailu či jakoby osobnímu vzkazu na Facebooku přeci jen trochu pozornosti věnujeme. A právě vyvolání alespoň minimálního zájmu při útoku nebo podvodu je snem každého zástupce temné strany internetové barikády.

Vektory útoku je možné v závislosti na zvoleném kritériu rozdělit do několika základních kategorií, poslední dobou na oblibě stále více získávají techniky, které u uživatele vzbudí dojem, že se jedná o poměrně důvěryhodnou zprávu. Podle toho se také mění cesty infiltrace, resp. rozeslání podvodných zpráv. Takzvané personalizované útoky jsou přesněji cílené, a proto mají větší šanci na úspěch, i když ze strany tvůrců takovýchto léček je zapotřebí více fantazie a preciznější zpracování.

K personalizovaným variantám útočníci přistupují stále častěji z toho důvodu, že na klasické techniky si již začínající i pokročilí uživatelé i díky osvětě zvykli a dokážou je zdravým rozumem ve velké míře odfiltrovat vlastním úsudkem. Pokud však přijde konkrétní zpráva týkající se některého blízkého tématu například prostřednictvím instant messagingu, speciálně připraveným e-mailem s důvěrným oslovením, nebo dokonce skrze phishingovou SMS zprávu, je ostražitost ta tam.

Samozřejmě by bylo mylné domnívat se, že personalizované útoky cílí pouze na klasické uživatele, své místo si totiž získávají také v případě rozsáhlejších a přesně cílených infiltrací proti větším i menším firemním infrastrukturám. Tak na například v případě známého útoku Night Dragon si během první fáze postupného proklepávání cíle útočníci zjišťují všechny možné (i na první pohled bezvýznamné) detaily, které později mohou využít v rámci sociálního inženýrství k získání přístupu k síti, jednotlivým údajům apod.

Útočníci se tedy vžili do role svébytného režiséra, který má v hlavě novou myšlenku a vdechne jí život vhodným obsazením dostupných kandidátů – není zapotřebí piplat nové. Jakmile měli útočníci dostatečné detaily, mohli například pečlivě vybraným osobám poslat konkrétní e-maily s oslovením, popisem problému a škodlivým kódem v příloze. Šance, že se některá z těchto pár zvolených osob nachytá, je větší než v případě univerzálního spamu s infikovanou ZIP přílohou a příslibem fotky nahé celebrity…

Night Dragon
Schéma útoku Night Dragon. Zdroj: McAfee

Hrozby také „instantní“

Útoky (ať už prostřednictvím sociálního inženýrství nebo více automatizované) mají jednoho společného jmenovatele: podvodníci i pokročilejší útočníci se snaží zapůsobit tak, že první kontakt a pokus o podvržení informací nebo podstrčení škodlivého kódu na první pohled vypadá, jako by šlo o korektní zprávu od někoho z přátel. Podobně je na tom často i instant messaging, jenž se v různých vlnách objevuje v žebříčcích aktuálních trendů nebezpečí.

Instant messaging bývá zneužíván hned několika různými technikami, jejichž zpracování je často velice zajímavé. Nejjednodušší útoky mívají čistě vizuální podobu – jakmile přijdete na některou stránku, v okně maximalizovaného prohlížeče se v pravém dolním rohu objeví zpráva od neznámého kontaktu. Bez bližšího zkoumání to tedy vypadá jako upozornění přímo z hlavního panelu Windows, po klepnutí dojde k přesměrování na stránku se škodlivým kódem. Tento útok tedy podle striktní typologie nepatří mezi klasické personalizované útoky, nicméně na pomezí mezi nimi a klasickými podvody může slavit úspěch.

U nás v Česku mají tyto pokusy samozřejmě z pohledu útočníků hned několik nevýhod, na prvním místě použití anglického jazyka jako univerzální varianty. Další z rizik, která se zaměřují hlavně na začínající a anglicky komunikující uživatele a jež útočí skrze instant messaging, představuje nepopulární spam. Naštěstí se nejedná o tolik rozšířený nešvar, avšak nevyžádané zprávy rozesílané prostřednictvím různých protokolů a skrze rozličné klienty bývají odhadovány jako jedny z dalších, hodně intruzivních variant hromadné reklamy.

První vlaštovky tohoto takzvaného spIMu mají jednoduchý princip – okno klienta nebo jeho imitace se zobrazí s popisem reklamy a odkazem na stránku s daným produktem. Nabídky jsou tím zrádnější, pokud je pro sběr adres využit škodlivý kód dolující seznamy kontaktů a rozesílající automaticky generované zprávy s hlavičkou daného, cílovému uživateli známého přítele. K provedení tohoto personalizovaného útoku jsou již zapotřebí detailní technické znalosti, aby daný malware dokázal při infiltraci vydolovat seznam kontaktů (lokálně uložený) a následně ho zneužít k rozeslání přizpůsobené zprávy.

Z této kategorie lze zmínit například červa Kelvir.B, který prostřednictvím MSN Messengeru rozesílal na všechny kontakty zprávu obsahující URL adresu, po jejímž navštívení se stáhne soubor omg.pif. Po spuštění tohoto souboru dojde k pokusu o stažení obrázku me.jpg a jeho následnému uložení jako c:dumprep.exe – jedná se o variantu W32.Spybot.Worm. Pravidelně aktualizovaný antivirový program by již v současné době neměl mít s odhalením této hrozby problém, nicméně jedná se o příkladnou inspiraci pro další personalizované útoky do budoucna.


Krádeže informací z lokálních účtů IM klientů nejsou jejich  jedinou hrozbou

Content

Překvapení do budoucna

Výše představené do detailu přizpůsobené e-maily, automaticky generované IM zprávy nebo podvržená varování imitující osobní facebooková upozornění v rámci personalizovaných útoků doplňuje také SMiShing. Jedná se spamové reklamní a podvodné zprávy, které mohou obsahovat odkaz přímo na web a jež jsou zasílány prostřednictvím SMS. Pokud se útočník dostane k libovolné databázi telefonních čísel sdružující například klienty konkrétní služby, lze velice elegantně (i když s nutnou znalostí technických detailů) rozeslat personalizované podvodné SMS zprávy, které oběť pod libovolnou záminkou nasměrují na potřebnou stránku.

Očima útočníků mají personalizované techniky výhodu v tom, že oproti standardním vektorům útoku nabízejí méně okoukané prvky a cílí na menší, případně speciálně vybranou množinu uživatelů. Ve finále tak mohou přes různé komunikační kanály získat potřebné oběti. I když jsou na vzestupu, je zde stále pozitivum, že se nejedná o každodenní masové hrozby – nezbytné jsou pokročilé technické znalosti a také dostatečná efektivita při dlouhodobějším plánování. Bude zajímavé sledovat, jak se personalizované útoky budou nadále vyvíjet a čím nás jejich tvůrci překvapí.

Zasílat nově přidané názory e-mailem

Školení: Právo vs. online marketing

  •  
    Jak chránit vlastní značku a obsah.
  • Jak využívat cizí díla pro svoje prezentace.
  • Na co si dát pozor při tvorbě reklamy na internetu.

Více o školení Právo vs. online marketing »