Dění v oblasti počítačové a síťové bezpečnosti se vyplatí sledovat nejen v rámci dlouhodobého horizontu, ale také dle aktuálního vývoje. Kromě strohých statistik přispívají k aktuálnímu obrazu i samotní tvůrci bezpečnostního softwaru, kteří již z principu musí trendy detailně pozorovat – v aktuálním reportu z minulého týdne společnost AVG upozornila na několik zajímavých inovací, jimiž se podvodníci a útočníci snaží zlákat důvěřivé uživatele.
Podle citované zprávy útočníci, kteří se pohybují na Facebooku, opouštějí klasický clickjacking a přesouvají se do oblasti sociálního inženýrství. Využívají uživatelů Facebooku, kteří rádi sdílejí webové odkazy. Pokud byste se doposud nesetkali s clickjackingem, pak i přes jeho polevení buďte stále ve střehu při pokusech o podstrčení malwaru na speciálně přichystané podvodné stránce. Facebook zde funguje hlavně jako cesta, jak uživatele zlákat, slibné a na první pohled velice atraktivní stránky s různým obsahem samozřejmě i nadále patří mezi velice oblíbené součásti důmyslných plánů útočníků různého zaměření.
Podle detailů AVG se v případě clickjackingu výrazně snížilo používání skriptů, které samy automaticky odesílají zprávy na uživatelovu zeď. Místo toho používají nový trik – nalákají uživatele, aby sdílel jejich link, obvykle se jedná o video. Příkladem je manželství americké celebrity Kim Kardashian a basketbalisty Krise Humphriese, které skončilo po 72 dnech a je v současnosti ve Spojených státech téma, o kterém se v médiích nejvíce mluví. Podvodníci neváhali ani minutu a hned toho využili. Uživateli je nabídnuto falešné video s Kardashian a Humphriesem. V minulosti by uživatel na video kliknul a to by se s pomocí clickjackingu poslalo na jeho zeď. Dnešní podvodníci uživatele pouze požádají, aby video nasdílel.
Průběžně se samozřejmě objevují i automatizované varianty útočící na Facebook, jednou z nich se stal například neblaze proslulý Koobface. Tento červ rozesílal zprávy odkazující na stránky podobné klasickému videoportálu YouTube, ale pokud je příjemce facebookové zprávy následoval, došlo k otevření podvodné kopie. Namísto spuštění videa byl uživatel vyzván ke stažení doplňku pro přehrání, a tedy stažení viru. Podobně jako u e-mailu nebo instant messagingu zde autoři těží z toho, že zprávy na první pohled pocházejí od známého kontaktu. Opět zde ale platí základní pravidlo: proč by to útočníci nezkusili, když Facebook stále překypuje přespříliš důvěřivými uživateli. Chyba není v systému, spíše v jeho uživatelích.
Podvody zneužívající Facebook mohou mít různá provedení, snaží se hlavně nalákat na zajímavý obsah. Zdroj: AVG
Zkracování URL: dobrý sluha, zlý pán
Podle aktuálních statistik stoupl počet útoků, které jako základní lákadlo volí zkrácené odkazy. Jedním z cílů může být nalákání na čistě reklamní stránky, jež ve výsledku mohou přinést přímé peníze již zobrazením daného obsahu nebo případného dalšího následování zahrnutých odkazů. Kromě toho je zde ale přímé nebezpečí vyloženě rizikových stránek – pokud uživateli přijde odkaz například prostřednictvím bota na Twitteru, může získat k výsledné stránce větší důvěru a stáhnout i jinak jen méně důvěryhodný doplněk či rozšíření prohlížeče, případně jiný škodlivý kód.
U nás, v Česku, naštěstí nejde o tak velký problém, nicméně v anglicky mluvicích zemích nemusí být tak těžké následovat podvodný odkaz „Watch this: www.bit.ly/abc :)”, který se tváří, že přišel od někoho ze známých uživatelů, resp. neznámých, ale po konverzaci toužících. Uvedené zkracování URL prostřednictvím specializovaných služeb není použito náhodně, jedná se totiž o jednu z oblíbených praktik.
Pokud by uživatel na první pohled viděl nějakou čínskou nebo japonskou doménu, nejspíš zbystří, nicméně takto je vše pěkně skryto. Jedná se o rafinovanější metodu než jen klasické skrývání odkazu za jiný text v HREF tagu, oblibě se ze strany útočníků těší v automatickém komentářovém spamu, maskování odkazů na Twitteru, Facebooku apod. Všichni uživatelé, kteří si odkaz před následováním rádi ověří, mohou v případě zkráceného URL na Bit.ly využít rozšiřujícího znaku + za cílovou adresou, čímž se zobrazí interní statistika odkazu, opravdovou cílovou adresu nevyjímaje. Pokud má tedy neznámý, narychlo maskovaný odkaz podobu bit.ly/abc, stačí pro výpis detailů použít bit.ly/abc+. Perfektním pomocníkem se také stává univerzální služba na adrese www.longurl.org.
Řada uživatelů bere nevyžádané e-maily stále jako významné přímé šiřitele virové infekce, nicméně podíl takovýchto infiltrovaných hromadně rozesílaných zpráv není nijak veliký. Důvodem je hlavně zvyšující se spolehlivé filtrování na straně jednotlivých poštovních serverů, kdy již nejen profesionální řešení na straně firemních sítí nebo freemailů zdarma nabízejí vysoké procento úspěšnosti, ale také vyšší povědomí uživatelů. I kdyby se k uživateli dostala zpráva s nebezpečnou přílohou ZIP nebo EXE od neznámého odesilatele, v naivní víře ji otevře jen velmi malý zlomek příjemců.
Ukázka německého ransomwaru, který se tváří jako zpráva od Policie a požaduje 100 eur výměnou za odemknutí počítače. Zdroj: AVG
Klasické vydírání moderně
Znovuzrození po delší době prožívá ransomware, tedy zvláštní vyděračské techniky, které pod pohrůžkou ztráty dat po postižených uživatelích požadují konkrétní finanční obnos. Původ označení ransomware se váže ke spojení dvou anglických slov ransom (výkupné) a software. Na místě je v tomto případě tedy otázka, jakými cestami je požadování výkupného prováděno – útočník přece svou oběť nějak musí donutit, aby zaplatila. Typický příklad představuje podloudné šifrování uživatelských dat, kdy sice oběť data nadále vlastní, nicméně k nim samozřejmě nemá přístup. Útočník pak požaduje určitou sumu výměnou za odpovídající heslo. Princip až překvapivě jednoduchý, nicméně při kvalitním šifrování a utajení útočníkovy identity dokáže slavit úspěch.
Jedním z nejdiskutovanějších dřívějších případů ransomwaru byl například trojský kůň Cryzip, který ukázal možnosti použití tohoto typu škodlivého kódu. Prvním zajímavým aspektem bylo upuštění od vlastního šifrovacího algoritmu a použití poněkud pohodlnějšího řešení v podobě volání již hotového šifrování archívů ZIP. Automatické šifrování a vydírání ve velkém by se mohlo stát pohromou především v rozsáhlejších nezabezpečených systémech, které uchovávají data velkého počtu uživatelů. Pokud autor konkrétního ransomwaru pro šifrování použije vždy stejné heslo, je možné pak napadená data hromadně „léčit“. Horší situace by však mohla nastat v případě, kdy se použitý šifrovací algoritmus nepodaří prolomit a klíč bude odvozován pro každý napadený systém zvlášť.
V případě ransomwaru platí, že pro úspěšnou obranu je zapotřebí nebezpečí předcházet, tedy se preventivně bránit instalací všech nezbytností – firewallu, antiviru i antispywaru. Již z principu byste dále neměli vynechat pravidelnou zálohu všech osobních dat a důležitých dokumentů. Dá se totiž předpokládat, že právě takovéto soubory budou pro záškodníka prioritou a záminkou k vydírání.