Hlavní navigace

Nebezpečný spam na ústupu? Ale kdeže, jen se specializuje

24. 5. 2011
Doba čtení: 4 minuty

Sdílet

Po odstavení jednoho z nejaktivnějších botnetů sice ubylo nevyžádané pošty, o to nebezpečnější však může být. Jak útočníci zareagovali a čeho se obávat?

Minulý měsíc bezpečnostní společnosti oznámily úspěšné odstavení obávaného botnetu Rustock, který patřil mezi nejvýznamnější svého druhu. Botnet Rustock se na výsluní dostal v první polovině roku 2010, kdy mu první místo nechtěně přepustil Cutwail. Stalo se tak díky počtu zotročených zombie počítačů, stejně jako stoupajícím objemem rozeslaných zpráv. Po kompletním odstavení Rustocku se tento podíl pohyboval pod padesáti procentní hranicí, denně byl odpovědný za rozeslání desítek miliard nevyžádaných e-mailů.

Rozsáhlé botnety využívají miliony zotročených počítačů a stejně jako jejich menší varianty se staly žádaným zbožím. Pronájem botnetu ušetří práci nejen při nutnosti rozeslat spam, ale také v dalších hromadných útocích, typicky například DDoS. Jakmile došlo k odstavení Rustocku, vyvstaly otázky, jaký trend bude následovat a zda se objeví nový král mezi zásobovači nevyžádanou poštou. 

Díky aktuálním statistikám nyní máme drobnou nápovědu: celosvětový objem spamu klesl na 72,9 %, což je o více než šest procent méně než v březnu. Kdo podrobně sleduje statistiky světa bezpečnosti, tuší, že celkový objem nevyžádané pošty často atakuje hranici devadesáti procent. V praxi to tedy znamená, že méně než jedna zpráva z deseti mívala svého korektního odesilatele a příjemce. Podíl spamu tedy klesl, nicméně nebezpečí s ním spojená přímo úměrně bohužel nemizí.

Například společnost Symantec upozorňuje, že populární zkrácené URL adresy jsou zneužívány pro kliknutí na reklamní odkazy. Během posledních šesti měsíců došlo k nárůstu cílených útoků o více než deset procent, jejich častým prostředkem šíření se stává právě nevyžádaná pošta, která dokáže oslovit obrovské množství uživatelů, a to poměrně jednoduchou a rychlou cestou. Naštěstí však může jít pouze o lokální dorovnání výpadku v jiných typech spamu:

„Nárůst počtu cílených útoků může být jen aktuálním trendem, protože počet cílených útoků je v tomto ročním období vždy vyšší,“ říká Paul Wood, MessageLabs Intelligence Senior Analyst, Symantec.cloud. „V mnoha zemích se blíží konec fiskálního roku, takže je možné, že to souvisí s finančními výsledky společností, které hledají počítačoví zločinci a snaží se tyto informace získat důmyslnými útoky.“

Pokles Rustocku
Pokles spamu po odstavení botnetu Rustock. Zdroj: Symantec

Magické plus v URL

Podle aktuálních statistik stoupl počet již zmíněných útoků, které jako základní lákadlo volí zkrácené odkazy. Jedním z cílů může být nalákání na čistě reklamní stránky, jež ve výsledku mohou přinést přímé peníze již zobrazením daného obsahu nebo případného dalšího následování zahrnutých odkazů. Kromě toho je zde ale přímé nebezpečí vyloženě rizikových stránek – pokud uživateli přijde odkaz například prostřednictvím bota na Twitteru, může získat k výsledné stránce větší důvěru a stáhnout i jinak jen méně důvěryhodný doplněk či rozšíření prohlížeče, případně jiný škodlivý kód.

U nás, v Česku, naštěstí nejde o tak velký problém, nicméně v anglicky mluvicích zemích nemusí být tak těžké následovat podvodný odkaz „Watch this: www.bit.ly/abc :)”, který se tváří, že přišel od někoho ze známých uživatelů, resp. neznámých, ale po konverzaci toužících. Uvedené zkracování URL prostřednictvím specializovaných služeb není použito náhodně, jedná se totiž o jednu z oblíbených praktik.

Pokud by uživatel na první pohled viděl nějakou čínskou nebo japonskou doménu, nejspíš zbystří, nicméně takto je vše pěkně skryto. Jedná se o rafinovanější metodu než jen klasické skrývání odkazu za jiný text v HREF tagu, oblibě se ze strany útočníků těší v automatickém komentářovém spamu, maskování odkazů na Twitteru, Facebooku apod. Všichni uživatelé, kteří si odkaz před následováním rádi ověří, mohou v případě zkráceného URL na Bit.ly využít rozšiřujícího znaku + za cílovou adresou, čímž se zobrazí interní statistika odkazu, opravdovou cílovou adresu nevyjímaje. Pokud má tedy neznámý, narychlo maskovaný odkaz podobu bit.ly/abc, stačí pro výpis detailů použít bit.ly/abc+.

něco
Snadné a rychlé vytvoření zkráceného odkazu pro každého

Nejlepší filtr nevyžaduje instalaci

Koncové uživatele zpravidla nevyžádaná pošta zas až tolik netrápí, jelikož stávající filtry ji v drtivé většině případů správně zahodí do spamové složky. Jde však o potlačení následků problému, nikoliv jeho vyřešení. Důležitým milníkem se při rozesílání pošty v minulosti stalo právě systematické zneužití botnetů. Dříve testované metody DDoS útoků, kdy síť dobrovolně spojených počítačů odstavila hlavní zdroje rozesílání, by postihly i nic netušící uživatele, jejichž stroje se „jen“ staly hračkou ovládanou na dálku.

CS24 tip temata

Řada uživatelů bere nevyžádané e-maily stále jako významné přímé šiřitele virové infekce, nicméně podíl takovýchto infiltrovaných hromadně rozesílaných zpráv není nijak veliký. Důvodem je hlavně zvyšující se spolehlivé filtrování na straně jednotlivých poštovních serverů, kdy již nejen profesionální řešení na straně firemních sítí nebo freemailů zdarma nabízejí vysoké procento úspěšnosti, ale také vyšší povědomí uživatelů. I kdyby se k uživateli dostala zpráva s nebezpečnou přílohou ZIP nebo EXE od neznámého odesilatele, v naivní víře ji otevře jen velmi malý zlomek příjemců. Útočníci tak od podobných pokusů upouštějí, aktuálně je podíl přímo infikovaných e-mailů těsně nad 0,5% procentní hranicí všech kolujících zpráv.

Spustitelné soubory nebo podezřelé přílohy tedy filtry většinou odříznou, mnohem hůře si však vedou v blokaci již zmíněných falešných odkazů, které jsou na stálém vzestupu – ať už v e-mailech, různých fórech, Facebooku či mikroblogovacích službách. Ať už se nás útočníci a podvodníci budou snažit nalákat nejrůznějšími praktikami, vždy se spoléhejme hlavně sami na sebe a své rozhodnutí, nikoliv software, který by to měl udělat za nás. Ten může bez problémů nastoupit až jako reaktivní obrana, proaktivní složka by měla spadat především na naše bedra. Nejlepším filtrem je totiž náš vlastní mozek a jeho správné použití v kritických okamžicích. Ať už pak útočníci a podvodníci přijdou se sebelepšími inovacemi, dokáže správné rozhodnutí v kritický okamžik vyřešit mnoho problémů.

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).