Kradzież danych poprzez bankomat (skimming)
Skimming nie jest procederem bardzo rozpowszechnionym, gdyż aby go uprawiać przestępca zmuszony jest do podjęcia działań w świecie rzeczywistym. W bankomacie instaluje się urządzenie techniczne, takie jak na przykład czytnik kart oraz kamerę. Czytnik kart zapisuje dane z karty ofiary, podczas gdy kamera filmuje wprowadzenie PIN-u. Z powodu jawności działania bariera w przypadku tego rodzaju oszustw jest znacznie wyższa niż w przypadku zwyczajnych przestępstw w sieci. Bardzo wysokie są ponadto koszty urządzeń. Na forach tematycznych mówi się, że do zakupu niezbędnego sprzętu potrzebnych jest kilkadziesiąt tysięcy euro. Przestępcy są poza tym ciągle narażeni na ryzyko wykrycia i skonfiskowania zestawu do skimmingu. O wiele większe ryzyko stanowi jednak instalacja owego sprzętu, ponieważ większość bankomatów obserwowana jest przez kamery.
Sprawcami są bardzo często obcokrajowcy, nierzadko są nimi szajki z Europy Wschodniej. Szczególnie zagrożone są bankomaty w dużych miastach, ponieważ ilość obsługiwanych przez nie kart jest znacznie większa niż w małych miejscowościach. Znacznie większe jest za to ryzyko przyłapania na przestępstwie.
W przeszłości owe instalacje skimmingowe często wykrywali uważni klienci, zgłaszając ten fakt policji lub bankowi. W chwili obecnej część z nich jest wykonana tak profesjonalnie, że nie rozpozna ich żaden laik. Wiąże się to z faktem, że przestępcy znają dokładne wymiary bankomatów i są w stanie wykonać urządzenia, które idealnie do nich pasują.
Kradzież danych przez kliknięcie (phishing)
Coraz popularniejszym procederem staje się phishing, ponieważ pozwala na zdobycie niemal dowolnych danych. Co się dzieje, gdy oszust potrzebuje danych banku? Nie ma z tym żadnego problemu, przestępca konstruuje kilka fałszywych stron bankowych, za pośrednictwem własnej sieci botnet rozsyła duże ilości spamu z linkami do swojej strony z phishingiem i czeka, aż dotrą do niego dane ludzi, którzy nabrali się na jego sztuczkę. Zakres gromadzonych danych nie ma właściwie granic. Poszukiwane jest wszystko, co można spieniężyć, począwszy od kont gier, danych kart kredytowych, dostępów do online bankingu, aż po osobisty dostęp do automatów do nadawania i odbierania przesyłek. Taką samą popularnością cieszą się konta internetowych bukmacherów czy też kasyn. Przestępcy wykorzystują je w celu ukrycia przepływu wyłudzonych przez nich pieniędzy.
 |
| Rys. 16. Interfejs internetowy jednej z sieci botnet |
 |
| Rys. 17. Klient RAT |
Asortyment towarów sprzedawanych w podziemiu cyberprze- stępczym jest po prostu nieskończenie wielki. Rozglądając się po przestępczych forach znajdziemy na nich nawet skradzione konta sieci My-Space czy Twitter oferowane do sprzedaży lub wymiany. Oszuści zainteresowani są zdo- byciem możliwie wielu danych osobowych ofiary.
Dzięki nim mogą przyjąć jej tożsamość i wykorzystać do własnych celów.
Korzystając z usług internetowych trzeba niezmiernie ostrożnie posługiwać się własnymi danymi, dokładnie sprawdzając, gdzie je wpisujemy i jakimi drogami są przekazywane. Użytkownikowi powinien włączyć się sygnał ostrzegawczy, gdy na rzekomej stronie jego banku internetowego od razu pojawia się żądanie wielu kodów autoryzujących transakcję (TAN) lub gdy dane jego nie są szyfrowane.
W idealnym przypadku użytkownicy tacy powinni tworzyć zakładki z odpowiednimi adresami URL i korzystać tylko z nich. Poza tym dobrze jest dokładnie sprawdzać linki także w wiadomościach otrzymanych od pozornie autentycznych nadawców. Nierozważne kliknięcie może nas szybko zaprowadzić na stronę ze złośliwym oprogramowaniem.
Jak funkcjonuje atak masowy?
Sieci botnet i ich struktura
Dzięki lukom typu exploit cyberprzestępcom udaje się wpuścić do komputerów ofiar swoje konie trojańskie czy robaki. Exploit to słaby punkt w systemie operacyjnym lub też w jednym z zainstalowanych na komputerze programów, który daje się wykorzystać. Aby uniknąć natychmiastowego zadziałania programu antywirusowego, trojany szyfrowane są za pomocą tzw. crypterów, które utajniają ich kod. Dla tego typu „crypterów” (narzędzi szyfrujących) oferowane są wersje publiczne, które z powodu swojej powszechności są przeważnie nieprzydatne. Ich produkty są rozpoznawane przez większość skanerów antywirusowych. Dostępne są także wersje prywatne, udostępniane jednak tylko za gotówkę. Programiści crypterów przeważnie reklamują swoje usługi na forach. Owe narzędzia cieszą się dużym popytem wśród cyberprzestępców i są często oferowane jako usługa. Bowiem tak długo, jak w bazie danych nie ma dokładnej sygnaturki konkretnego złośliwego programu utworzonego z użyciem narzędzi szyfrujących i pakujących („crypterów” i „packerów”), nie można go na jej podstawie rozpoznać. Owych niepowtarzalnych, reklamowanych jako całkowicie niewykrywalne („Fully UnDetectable”) wersji (FUD-Server) nie znajduje przez pewien czas żaden skaner antywirusowy.
 |
| Rys. 18. Oferty stref zrzutu reklamowane na forum |
Podobnie ma się rzecz z botami. Większość dostępnych botów posiada luki w zabezpieczeniach, tak więc bardzo szybko może się zdarzyć, że zbudowana przez nas sieć botnet zostanie przejęta. Boty to niewielkie aplikacje, działające niepostrzeżenie w komputerach ofiar, które w zależności od posiadanych funkcji wykonują różne zadania – począwszy od ataków DDoS poprzez rozsyłanie spamu aż po rejestrowanie wpisów na klawiaturze i wiele innych akcji. Zakres funkcji to w pierwszym rzędzie kwestia tego, ile pieniędzy chcemy zainwestować w nasz bot. Boty o szerokim zakresie działania są oczywiście droższe niż zwyczajne, które niewiele potrafią.
Do administrowania sieci botnet wykorzystuje się tak zwane serwery C&C (Command and Control). Boty zainstalowane na komputerach ofiary samoczynnie nawiązują połączenie z takim serwerem kontrolnym, oczekując na rozkazy swojego mistrza. Istnieją różne koncepcje takich serwerów C&C: niektóre boty meldują się w IRC i podłączają do specjalnego kanału. Ze względów bezpieczeństwa prawie zawsze wykorzystuje się do tego prywatne serwery IRC, do których nikt inny nie ma dostępu (porównaj rys. 15). W kanale oczekują one na dalsze rozkazy.
Często wykorzystywaną możliwością jest administrowanie poprzez interfejs internetowy (porównaj rys. 17). Po wpisaniu nazwy użytkownika i hasła docieramy bezpośrednio do poziomu administrowania. Interfejs internetowy oferuje róż- norodne możliwości w zależności od zakresu funkcji danego bota. Poza tym można tu uzyskać statystyki prezentujące, ile botów jest w danej chwili w sieci, jaka jest łączna liczna zainfekowanych czy też, jakie systemy operacyjne zostały zajęte. Interfejs internetowy umożliwia także wprowadzanie aktualizacji.
Jeśli koń trojański przeniknął do komputera ofiary, najczę- ściej ściąga z Internetu bota, ukrytego tam przez cyber- przestępcę. Jako źródła ściągania plików chętnie wyko- rzystuje się usługi firm oferujących tzw. bulletproof hosting. Jeśli cyberprzestępca chce mieć aktualną sieć botnet, zwraca się do programisty, aby zakupić u niego aktualną wersję.
Boty oferowane są często w postaci kodów binarnych i źródłowych, przy czym ceny kodów źródłowych (source code) są pięcio- do dziesięciokrotnie wyższe niż ceny kodów binarnych. W zamian za to kupujący ma możliwość sprawdzenia, czy jego własna wersja posiada tylne drzwi, czy też nie. Ktoś, kto nie jest prawdziwym programistą, nie jest jednak w stanie tego zrobić.
Często wykorzystuje się aplikacje RAT (Remote Administration Tools). Mają one dla przestępcy tą zaletę, że umożliwiają mu nawiązanie połączenia z komputerami własnych ofiar. Tam może sprawdzić, czy dotarł do użytkownika, czy też został automatycznie wrzucony do honeypota producenta oprogramowania antywirusowego, podczas instalowania bota.
Jeśli tak jest, obecna wersja bota także zostanie niebawem rozpoznana przez aktualne skanery antywirusowe. W takiej sytuacji cyberprzestępca byłby zmuszony do ponownego zaszyfrowania bota i wprowadzenia najnowszych wersji instalacyjnych, zanim zareagują ewentualne zainstalowane skanery antywirusowe powodując oczyszczenie systemu.
Metodę tę uznaje się chętnie za wariant profesjonalny. Wymaga ona jednak od oszusta znacznie większego nakładu pracy niż instalacja automatyczna. Przy rozpowszechnianiu takich aplikacji RAT pomysłowość oszustów jest właściwie nieograniczona. Można je przesyłać na komputery ofiar poprzez ataki Drive By Downloads, wprowadzać je do sieci P2P czy tez wysłać miliony wiadomości e-mail, w których podpina się je w pozornie niewinnym załączniku.
Bardzo popularne są także tzw. stealery. Jak pozwala przypuszczać ich nazwa stosowane są do wykradania danych kont. Tak więc w krótkim czasie może się zdarzyć, że nasze hasło dostępu do ebaya zostanie nielegalnie użyte przez przestępców. Stealery rozpowszechniane są tą samą drogą co RAT oraz konie trojańskie. Dobrą ochronę zapewni tu wysokiej klasy antywirus, nadzorujący wszystkie bramki, na przykład przeglądarkę, przy pomocy filtra HTTP lub skanujący przychodzącą pocztę skanerem mailowym.
W grupie tej można się także natknąć na złośliwe programy o nazwie „keylogger”. Owe małe aplikacje zagnieżdżają się w komputerze ofiary. Gdy znajdą się w systemie „podglądają” wszystkie wpisy dokonywane przez użytkownika za pomocą klawiatury. Sprawia to, iż przestępcy są w stanie dotrzeć do nazw i haseł użytkowników, nawet jeśli te nie są zapisane w systemie, lecz za każdym razie wpisywane na nowo.