18

Pomysłowość cyberprzestępców chyba nie zna granic. Proszę, oto dowód

Oprócz brutalnych metod infekowania komputerów cyberzagrożeniami, ich twórcy dopuszczają się nierzadko naprawdę wyrafinowanych operacji, po poznaniu których można zakrzyknąć: "cwaniaki!". I tak było u mnie właśnie z przypadkiem, w którym wykorzystano black-hat SEO. Bo dlaczego nie?

Celem grupy Zeus Panda było zaatakowanie usług bankowych i ich użytkowników. Ale zamiast wykorzystać tradycyjne kanały dystrybucji swojego cyberzagrożenia, zdecydowali się oni na wykorzystanie… pozycjonowania stron. Najpierw przejęli dostęp nad pewną grupą witryn w sieci, ostrożnie wstrzykując do nich własne treści specjalnie pozycjonowane pod konkretne wyszukiwania związane z bankowością internetową. Warto wiedzieć o tym, że cyberprzestępcy zadali sobie sporo trudu w ukrywaniu efektów swojej działalności – wszystko odbywało się tak, aby ruch dotyczył bezpiecznych witryn, które nie zostaną zidentyfikowane przez Google jako takie, które mogą wywołać szkody na komputerze.

Użytkownik, który wyszukiwał daną frazę i znalazł (z reguły na pierwszym miejscu w Google!) odpowiedni link, trafiał na spreparowaną stronę, gdzie odpalał się złośliwy kod JavaScript. W tle odbywała się seria przekierowań, które ostatecznie kończyły się na próbie pobrania dokumentu programu Word na komputer. Ów plik natomiast był dokładnie taki sam, jaki otrzymywali użytkownicy skrzynek e-mail. Po jego otwarciu uruchamia się makro korzystające z ukrytych skryptów odpowiadających za pobranie konia trojańskiego Zeus Panda, który służy cyberprzestępcom do wykradania danych dotyczących usług finansowych.

trojan

Ten trojan udowadnia, że coraz trudniej jest ochronić się przed cyberzagrożeniami. Może jednak warto korzystać z pakietów bezpieczeństwa

Co prawda, użytkownik w dalszym ciągu musi wyrazić zgodę na pobranie pliku z internetu i uruchomić go. Ale z drugiej strony, istnieją jeszcze tacy posiadacze komputerów, którzy nie zdają sobie sprawy z czyhających na nich zagrożeń i zwyczajnie są w stanie kliknąć we wszystko, co im zostanie podsunięte. To właśnie takie osoby najczęściej padają ofiarą niebezpiecznych programów dystrybuowanych w sieci. Jednak także i nieco bardziej doświadczeni użytkownicy mogą mieć problem – wchodząc w link w Google raczej spodziewamy się, że uzyskamy dane dotyczące raczej zaufanych stron.

Zaogniająca się sytuacja związana z działalnością cyberprzestępców skłania mnie zatem do zastanowienia się, czy bardzo powszechne podejście, wedle którego instalowanie programu antywirusowego, czy też bardziej rozbudowanego pakietu bezpieczeństwa to tylko „fanaberia” jest właściwe. O ile sam system Windows całkiem dobrze radzi sobie z kwestiami bezpieczeństwa, nie jest w stanie ochronić nas przed wszystkim. Dlatego też, jeżeli bardzo obawiamy się o nasze bezpieczeństwo, powinniśmy zwrócić się ku podejściu mówiącym o wręcz wymogu zainstalowania dodatkowej ochrony. Tej nigdy nie jest „dość” i może się okazać, że tylko dzięki jej sprawnemu działaniu udało nam się uniknąć przykrej w skutkach infekcji.

  • pacraf

    No jasne, Kaspersky może nas ochroni, ale przy okazji FSB przejrzy nasze pliki… Nie Kaspersky? To może coś od avast? CCleaner, fajnie, ochroni ale przy okazji sprawdzi czy nie pracujemy dla Google czy Cisco i zainstaluje jakiegoś syfa… A to tylko dwa ostatnio odkryte przypadki.

    Poszukajcie wyniku analizy bezpieczeństwa popularnych antywirusów. Masakra…. Nie ma to jak higiena i zdrowy rozsądek. Do tego wystarczy Microsoftowy wbudowany w Windowsa mechanizm i ciao. Na innych systemach nie wiem, ale pewnie podobnie. A zaraz maca i pingwina nie ruszają… One z definicji są pancerne…

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Ekhm, coraz więcej ataków na maca jest ;)

    • Ale mówisz o sprawności skanerów antywirusowych? Weź pod uwagę to, że już nie ma tylko skanerów, są całe pakiety, które oferują kilka sposobów ochrony.

    • pacraf

      Nie mówię o sprawności. Sprawne są. Ale przy okazji swojej pożytecznej działalności wprowadzają nowe zagrożenia. Nie znasz tych wspomnianych dwóch przypadków? Tu nie chodzi o to że antywirus coś przegapił, ale sam był trojanem. Kasperski pewnie miał do wyboru albo samobójstwo strzałem w tył głowy, więc żalu nie można mieć, a CCleaner pewnie kret w developer teamie lub włam na serwer…. A to tylko ostatnie nowości.

      A inne pakiety? Rok temu jedna osoba z talentem zbadała temat. https://www.wired.com/2016/06/symantecs-woes-expose-antivirus-software-security-gaps/

      Ktoś powie że to już załatane. Jasne, ale jeśli zły talent siądzie dziś, to pewnie drugie tyle znajdzie. I wykorzysta.

  • gom1

    Użytkownik (…) trafiał na spreparowaną stronę, gdzie odpalał się złośliwy kod JavaScript

    Strach teraz bez uMatriksa/NoScripta chodzić do sieci.

    • Zasadniczo racja. :)

    • gom1

      Skutkiem ubocznym uMatriksa jest blokowanie reklam ;-)

    • Mateusz Cichocki

      miałem uMatriksa 1 dzień i wyłączyłem bo za dużo blokował. Wchodząc na strone zastanawiałem się czy widze całą treść. Obsługa tego rozszerzenia nie była dla mnie jasna.
      Kiedyś można było ustawić tak że wszelakie filmiki i inne aplety włączą się dopiero jak się w nie kliknie. Funkcję “click-2-play” dla Chrome można było kiedyś gdzieś włączyć, teraz tego nigdzie nie widze. Jak ktoś coś wie to proszę o napisanie.

    • gom1

      Obsługa uMatriksa nie jest trudna, ale jest upierdliwa. Natomiast już wielokrotnie uratował mi tyłek, bo wlazłem na portal, który w tle uruchamiał koparkę kryptowaluty. Niestety dopóki strony WWW będą przeładowane javascriptem, dopóty musimy się przyzwyczaić do życia z tak agresywnymi blokerami jakim jest uMatrix.

  • qwerty

    „zwyczajnie są w stanie kliknąć we wszystko, co im zostanie podsunięte”
    Selekcja naturalna. Tak samo jak wejście bezpośrednio przed nadjeżdżający samochód.

    • No, nie do końca. Po prostu brak odpowiedniego wyedukowania. :)

    • Cezary Sucharek

      To nie jest kwestia edukacji ale kwestia braku myślenia. Niestety.

  • Huggarn

    „wchodząc w link w Google raczej spodziewamy się, że uzyskamy dane dotyczące raczej zaufanych stron.” – nowi w internecie?

  • Trzeba włączyć myślenie! Żaden pakiet bezpieczeństwa nie ochroni!

  • Mateusz Cichocki

    Cześć, ostatnio zastanawiałem się nad zwiększeniem bezpieczeństwa swojego komputera, zainstalowałem m.in. program EMET ale pomyślałem że najlepszym rozwiązaniem byłoby mieć coś w rodzaju Bootowalny PenDrive z innym OS i przeglądarką tylko do np. bankowości elektronicznej dla większego bezpieczeństwa. Nigdy nie bawiłem się w coś takiego. Czy ktoś z was testował takie rozwiązanie?
    Dodatkowo myślałem nad przeglądarką od Avast-a mianowicie Safe Zone, samego ich antywirusa nie mam ale mam ich rozszerzenie do Chrome – Avast Online Security i polecam (trzeba wyłączyć tylko aby automatycznie nie blokowało wszystkich sieci społecznościowych bo wam np komentarze Dizqus nie będą działały)

    Polecam się zapoznać (10 poraz bezpieczeństwa): https://docs.google.com/document/d/1iiKYZJWGihNculKbEyA5agI-32EjaYuEvcTy-XTu23Y/edit

    • gom1

      pomyślałem że najlepszym rozwiązaniem byłoby mieć coś w rodzaju Bootowalny PenDrive z innym OS i przeglądarką tylko do np. bankowości elektronicznej dla większego bezpieczeństwa. Nigdy nie bawiłem się w coś takiego. Czy ktoś z was testował takie rozwiązanie?

      Od lat czekam, aż bankowcy wpadną na pomysł dodawania pendrive z lekką dystrybucją linuksa do nowozałożonego konta.

      Sam na co dzień noszę przy sobie pena z Tailsem. Na zaszyfrowanej partycji mam dodatkowo plik dla Keepasa z hasłami. To wszystko na wypadek konieczności skorzystania z cudzego komputera do wrażliwych operacji.

  • Iks

    Nie żadna pomysłowość (metoda znana od lat) tylko jednoczesne: brak zabezpieczeń danej przeglądarki, ułomność danej wyszukiwarki i wada skanowania stron przez antywirusa. Może autor zaproponowałby konkretną konfigurację powyższych trzech, dla których ów wirus mógłby się zainstalować się bez świadomej akcji użyszkodnika…

  • Jarek

    Bawi mnie gdy do jakiegoś wirusa jest przyklejana jakaś plakietka typu virus panda i tp. Byle amator może napisać niewykrywalnego trojana wystarczy użyć portu który nie jest kontrolowany przez antywirusy np. http. Zapytajcie kogoś od technologi wstecznej co myśli o antywirusach… Straszne jest to co ludziom można wmówić a raczej sami sobie to wmawiają.