Nowa propozycja Trend Micro jest najbardziej wszechstronnym rozwiązaniem w swojej klasie. Deep Discovery zostało opracowane po to, aby pomagać firmom w zwalczaniu rosnącego zagrożenia ze strony APT. Rozwiązanie to posiada nie tylko narzędzia do wykrywania ataków w dniu zero, podejrzanej aktywności na obszarze całej sieci oraz ataków w każdej ich fazie, lecz daje też możliwość przeprowadzenia dogłębnych analiz, które pomogą w zapobieganiu podobnym atakom w przyszłości.  

Jak atakują

Wymierzone w Google i inne firmy ataki Operation Aurora, Night Dragon, LURID, a nawet wyciek danych RSA dowodzą, że zaawansowane, ciągłe zagrożenia (APT) są wystarczająco precyzyjne i dyskretne, aby poradzić sobie z konwencjonalnymi zabezpieczeniami. Kolejne fazy to infiltracja sieci, rozprzestrzenianie złośliwego oprogramowania w całej sieci organizacji, a wreszcie namierzenie i kradzież danych – przez cały ten czas komunikacja z serwerem nadzorującym oraz kontrola dostępu znajdują się w rękach hakerów zarządzających nimi zdalnie. Deep Discovery różni się od innych zabezpieczeń, ponieważ skupia się na niebezpiecznych treściach, podejrzanej komunikacji oraz zachowaniu użytkowników sieci, zapewniając firmom największe szanse na wykrycie i powstrzymanie ataków APT.

Jak działa

• Zawartość: rozwiązanie oparte jest na architekturze Smart Protection Network firmy Trend Micro, zapewniającej niezrównaną skuteczność w wykrywaniu ataków w dniu zero oraz w namierzaniu złośliwego oprogramowania z bardzo niskim odsetkiem fałszywych alarmów. Aktualnie system skanuje ponad 45 mld plików dziennie.


• Komunikacja: Deep Discovery korzysta również z katalogów reputacji oraz z czarnych list tworzonych przez Smart Protection Network, aby wykrywać i blokować kanały zarządzania i kontroli wykorzystywane przez hakerów do komunikacji ze złośliwym oprogramowaniem, które przedostało się do sieci organizacji.


• Aktywność: dzięki skrupulatnym badaniom analitycy firmy Trend Micro zdołali sformułować listę aktywności i sposobów zachowania towarzyszących typowym atakom APT (takich, jak wielokrotne błędy w logowaniu i odciąganie danych), co pozwala Deep Discovery na identyfikowanie potencjalnych włamań.

Dziś firmy i instytucje nie potrzebują jedynie narzędzi do wykrywania zagrożeń, które zapewnią im doraźną ochronę, potrzebują również danych i analiz, umożliwiających powstrzymywanie i zapobieganie atakom, lecz również dających możliwość przeciwdziałania atakom APT w przyszłości.

Co umożliwia

• prowadzenie symulacji i analiz w trybie sandbox, pozwalających użytkownikom na skontrolowanie dowolnego nowoodkrytego złośliwego oprogramowania – dzięki temu można dowiedzieć się z kim i w jakim celu dany element usiłuje się połączyć.


• dostęp do portalu informacyjnego Threat Connect, będącego źródłem informacji na temat konkretnych ataków.


• integrację z wiodącymi platformami SIEM, dzięki czemu ważne dane na temat zagrożeń mogą być eksportowane i poddawane analizom w jednym miejscu.

W zestawieniu najbardziej zagrożonych krajów w internecie z regionu EMEA Polska zajęła 6. miejsce i „awansowała” aż o dwie pozycje w porównaniu z rokiem 2010. Najwyższą, trzecią pozycję Polska odnotowała pod względem liczby komputerów-zombie, tj. stacji kontrolowanych zdalnie przez cyberprzestępców.

„W 2011 roku napastnicy znacznie zwiększyli zasięg działania; niemal 20 proc. ataków ukierunkowanych jest obecnie wymierzonych w firmy zatrudniające mniej niż 250 pracowników. Zaobserwowaliśmy też duży wzrost liczby ataków na urządzenia mobilne, które cyberprzestępcy wykorzystują jako przyczółek do zdobycia poufnych danych korporacyjnych. Firmy każdej wielkości oraz użytkownicy indywidualni muszą zadbać o ochronę swoich informacji. To zalecenie dotyczy szczególnie Polski, która – jak pokazuje nasz raport – zajmuje wysokie miejsce w rankingu najbardziej zagrożonych państw z regionu Europy, Bliskiego Wschodu i Afryki” – powiedziała Jolanta Malak, Country Manager, Symantec Poland 

Liczba złośliwych ataków szybko rośnie

W 2011 r. Symantec zablokował ponad 5,5 mld ataków, co oznacza wzrost o 81 proc. rok do roku. Ponadto liczba unikatowych wariantów złośliwego oprogramowania zwiększyła się do 403 mln, a liczba blokowanych każdego dnia ataków wykorzystujących strony internetowe wzrosła o 36 proc. Jednocześnie znacznie zmniejszył się poziom spamu, podobnie jak liczba nowo odkrytych luk w zabezpieczeniach (spadek o 20 proc). Statystyki te na tle rosnącej ilości złośliwego oprogramowania przedstawiają interesujący obraz. Napastnicy posługują się łatwymi w użyciu pakietami narzędziowymi, aby efektywnie wykorzystywać istniejące luki w zabezpieczeniach. Cyberprzestępcy nie ograniczają się już do spamu, lecz zaczynają ofensywę w serwisach społecznościowych. Ze względu na naturę tych serwisów użytkownicy mylnie zakładają, że nie są zagrożeni, a napastnicy wykorzystują je do wyszukiwania nowych ofiar. Techniki inżynierii społecznej i „wirusowa” natura sieci społecznościowych sprawiają, że zagrożenia znacznie łatwiej rozprzestrzeniają się na kolejne osoby.  

Zaawansowane ataki ukierunkowane

Pod koniec 2011 r. liczba ukierunkowanych ataków zwiększyła się z 77 do 82 dziennie. Ataki te wykorzystują socjotechnikę oraz dostosowane złośliwe oprogramowanie w celu uzyskania dostępu do poufnych informacji. Te zaawansowane ataki tradycyjnie skupiały się na sektorze publicznym i administracji rządowej, ale w 2011 r. cele uległy dywersyfikacji. Ataki ukierunkowane nie ograniczają się już do dużych organizacji. Ponad 50 proc. takich ataków było wymierzonych w organizacje zatrudniające mniej niż 2500 pracowników, a 18 proc. – w firmy zatrudniające mniej niż 250 pracowników. Organizacje te stają się celem prawdopodobnie dlatego, że stanowią część łańcucha dostaw większych firm i są słabiej chronione. Co więcej, celem 58 proc. ataków nie jest kadra kierownicza, ale szeregowi pracownicy działów kadr, PR i sprzedaży. Osoby te nie zawsze maja bezpośredni dostęp do informacji, ale mogą stanowić bezpośrednie łącze do firmy. Są też łatwe do zidentyfikowania w sieci i przyzwyczajone do otrzymywania zapytań oraz załączników z nieznanych źródeł. 

Częstsze naruszenia bezpieczeństwa danych oraz utracone

W 2011 r. na każde naruszenie bezpieczeństwa danych przypadało średnio 1,1 mln skradzionych tożsamości, co oznacza radykalny wzrost w porównaniu z jakimkolwiek innym rokiem. Największym zagrożeniem były włamania, które w 2011 r. łącznie doprowadziły do ujawnienia 187 mln tożsamości (najwięcej spośród wszystkich typów naruszeń). Jednakże najczęstszą przyczyną naruszeń bezpieczeństwa danych, które mogą doprowadzić do kradzieży tożsamości, jest kradzież lub zgubienie komputera bądź innego nośnika, np. smartfona, pamięci USB lub urządzenia do tworzenia kopii zapasowych. Naruszenia bezpieczeństwa danych w tych przypadkach doprowadziły do ujawnienia 18,5 mln tożsamości.  

• Wraz ze wzrostem sprzedaży tabletów i smartfonów, coraz więcej poufnych informacji będzie przechowywanych w urządzeniach mobilnych. Wiele przedsiębiorstw nie nadąża z zabezpieczaniem smartfonów i tabletów, których pracownicy używają w środowisku korporacyjnym. To z kolei może doprowadzić do częstszych naruszeń bezpieczeństwa danych. Z niedawnych badań firmy Symantec wynika, że 50 proc. utraconych telefonów nie zostało odzyskanych, a 96 proc. (łącznie z odzyskanymi) doprowadziło do naruszenia bezpieczeństwa danych.

Zagrożenia mobilne dla firm i konsumentów

W 2011 r. liczba luk w zabezpieczeniach urządzeń mobilnych wzrosła o 93 proc. Jednocześnie zwiększyła się liczba ataków wymierzonych w system operacyjny Android. Złośliwe oprogramowanie mobilne po raz pierwszy stanowiło rzeczywiste zagrożenie dla firm i konsumentów – zwiększeniu uległa liczbę luk, a cyberprzestępcy zaczęli tworzyć nowe programy wykorzystujące specyficzne możliwości tych urządzeń. Zagrożenia te są związane z gromadzeniem danych, wysyłaniem treści i śledzeniem użytkowników.

Polska zagłębiem botów

W 2011 r. Polska stanęła na podium, zajmując trzecie miejsce w regionie EMEA pod względem ilości komputerów-zombie, nazywanych również botami. Terminem „bot” określa się komputer, który wykonuje polecenia cyberprzestępców i może służyć do wysyłania spamu na masową skalę, wyłudzania danych czy przeprowadzania ataków na inne cele w Internecie.  

• Ponadto Polska zajęła wysokie, 15. miejsce pod względem liczby zagrożeń komputerowych w rankingu obejmującym kraje z całego świata (awans o jedną pozycję). Biorąc pod uwagę jedynie państwa regionu EMEA, nasz kraj plasuje się w pierwszej dziesiątce, m.in. pod względem przechowywania stron wyłudzających dane (7. miejsce; awans o jedną pozycję), pochodzenia spamu wysyłanego przez komputery-zombie (8. miejsce; spadek o jedną pozycję), ataków sieciowych (7. miejsce), a także ataków pochodzących bezpośrednio z Internetu (9. miejsce; awans o jedną pozycję).

Raport wskazuje na stale zmieniającą się motywację hakerów, co ma związek z rosnącym znaczeniem grup „haktywistów”, takich jak Anonymous i LulzSec, które przeprowadzają dobrze zorganizowane ataki w odwecie za działania postrzegane przez nich jako niekorzystne. Oprócz zmiany motywacji, dokonuje się postęp w zakresie technik ataków, które wskutek naruszenia bezpieczeństwa coraz częściej kończą się powodzeniem. W efekcie przedsiębiorstwa i instytucje rządowe mają do czynienia z nowymi wyzwaniami w obszarach oceny i eliminowania ryzyka.

Dawniej liczba ujawnianych rocznie podatności była wskaźnikiem aktualnego stanu bezpieczeństwa, ułatwiającym przedsiębiorstwom i instytucjom wyznaczenie priorytetów obrony. Z raportu HP wynika, że obecnie sama liczba ujawnianych luk nie jest miarodajnym wskaźnikiem sytuacji w obszarze bezpieczeństwa. Pomimo stale spadającej liczby nowo ujawnionych luk, występuje duża liczba podatności nieujawnionych, nieznanych szerzej w branży bezpieczeństwa.

 „Aby ochronić przedsiębiorstwa i instytucje przed różnego rodzaju atakami, HP powołał  międzynarodowy zespół ekspertów w dziedzinie bezpieczeństwa, którzy poszukują nieujawnionych podatności” — powiedział Michael Callahan, wiceprezes ds. światowego marketingu produktów i rozwiązań, dział Enterprise Security Products, HP. „Informacje uzyskane dzięki tym badaniom są wykorzystywane przy opracowywaniu rozwiązań HP służących do zabezpieczenia przedsiębiorstw. Staramy się w ten sposób prewencyjnie zmniejszać ryzyko”. 

Nowe okoliczności powstawania luk w zabezpieczeniach

Od 2006 r. liczba nowo ujawnianych luk w zabezpieczeniach aplikacji komercyjnych powoli spada i w 2011 r. była mniejsza o prawie 20% w porównaniu z poprzednim rokiem. Jednak z raportu wynika, że spadek ten nie oznacza zmniejszenia ryzyka.

Spadek ten jest spowodowany kilkoma czynnikami, między innymi pojawieniem się czarnego rynku wymiany informacji o lukach w zabezpieczeniach.  Ponadto rozpowszechnienie się aplikacji internetowych tworzonych na zamówienie, takich jak sklepy internetowe, otworzyło pole dla wyjątkowych, ukierunkowanych ataków, których wykrycie i wyeliminowanie wymaga dużej wiedzy.

Oto najważniejsze wnioski z raportu:

• Chociaż liczba doniesień o nowych lukach w zabezpieczeniach spada, liczba ataków w drugim półroczu 2011 wzrosła ponad dwukrotnie (wg pomiarów systemów zapobiegania włamaniom HP TippingPoint).


• Prawie 24% wykrytych w 2011 r. podatności w aplikacjach komercyjnych to luki o stopniu istotności 8-10. Takie luki mogą prowadzić do zdalnego wykonania kodu, co jest najbardziej niebezpiecznym rodzajem ataku.


• Ok. 36% wszystkich podatności występuje w komercyjnych aplikacjach internetowych.


• Ok. 86% aplikacji internetowych jest podatnych na atak typu „injection”, tzn. polegający na uzyskaniu przez hakera dostępu za pośrednictwem serwisu do jego wewnętrznej bazy danych.


• W 2011 r. nadal były popularne zestawy narzędziowe ułatwiające przeprowadzenie ataku z wykorzystaniem określonej luki, (tzw. exploit toolkit), co wynika z dużej skuteczności takiej metody. Takie „zestawy do ataków”, sprzedawane w sieci, umożliwiają hakerom dostęp to systemów informatycznych przedsiębiorstw i kradzież poufnych danych. Na przykład zestaw Blackhole Exploit Kit, używany przez większość przestępców internetowych, uzyskał pod koniec listopada 2011 r. wskaźnik skutecznego infekowania wynoszący ponad 80%, co jest niezwykle wysoką wartością.


• W celu zwalczania zagrożeń bezpieczeństwa, HP oferuje platformę HP SIRM (Security Intelligence and Risk Management — analiza danych i zarządzanie ryzykiem w zakresie bezpieczeństwa). HP SIRM umożliwia analizę środowisk tradycyjnych, mobilnych i opartych na przetwarzaniu w chmurze, dzięki czemu pozwala na adaptowanie środków obrony w zależności od specyficznych zagrożeń występujących w danej organizacji. 

Metodyka

Cyber Security Risks Report  jest publikowany od 2009 r. w cyklu półrocznym przez HP DVLabs — wysokiej klasy ośrodek badawczy zajmujący się analizą i wykrywaniem podatności w systemach IT. HP DVLabs analizuje dane dotyczące wykorzystania podatności, gromadzone z tysięcy zainstalowanych systemów HP TippingPoint. Dane są następnie korelowane z informacjami z następujących źródeł:

• Zero Day Initiative — realizowany pod nadzorem HP DVLabs program badawczy mający na celu podnoszenie poziomu bezpieczeństwa poprzez rozpoznawanie wad oprogramowania umożliwiających ataki i naruszenia bezpieczeństwa.


• Open Source Vulnerability Database —  niezależna baza danych oparta na modelu open source, utworzona i wykorzystywana przez środowisko specjalistów w zakresie luk w zabezpieczeniach.


• Dane nt. aplikacji internetowych pochodzące z grupy ds. badań bezpieczeństwa internetowego (Web Security Research Group) w HP Fortify Application Security Center — ośrodku, który ułatwia specjalistom ds. bezpieczeństwa i zapewnienia jakości oraz programistom zabezpieczanie aplikacji internetowych w przedsiębiorstwach, a także w działach HP Software Professional Services i HP Fortify on Demand.

Dane z HP DVLabs są także przekazywane do HP Information Security Pulse — bezpłatnej aplikacji mobilnej, która umożliwia specjalistom ds. bezpieczeństwa informatycznego monitorowanie w czasie rzeczywistym aktualnych tendencji w zakresie ataków internetowych. Aplikacja ta jest obecnie dostępna na platformę HP webOS, a wkrótce zostanie udostępniona także na urządzenia z systemami Apple iOS oraz Android.

• W dniach 4–7 czerwca w Las Vegas odbędzie się jedna z najważniejszych konferencji dla klientów HP pod nazwą HP Discover.


• Doroczna konferencja poświęcona bezpieczeństwu przedsiębiorstw pod nazwą HP Protect odbędzie się w dniach 10–12 września w Nashville w stanie Tennessee.

W 2011 roku zespół CERT Polska, działający w ramach instytutu badawczego NASK, otrzymał 21 210 508 zgłoszeń naruszenia bezpieczeństwa sieciowego. Przeważająca część dotyczyła zdarzeń związanych z botami, skanowaniem oraz rozsyłaniem spamu. CERT Polska zaobserwował w zeszłym roku aż 5,5 mln botów, służących do przejmowania kontroli nad komputerami użytkowników, które spowodowały prawie 10 mln zgłoszeń. Najwięcej botów znajdowało się w sieciach operatorów, którzy dostarczają Internet odbiorcom indywidualnym.

Według raportu CERT Polska, odnotowanych zostało również 5 703 211 zgłoszeń o skanowaniu komputerów przez cyberprzestępców, poszukujących słabych stron systemów operacyjnych. W 2011 roku miało też miejsce 4 677 560 przypadków spamowania. Coraz więcej spamu pochodzi z sieci operatorów mobilnych, których w 2011 roku dotyczyło niemal co piąte zgłoszenie.

Jak pokazuje raport, groźniejszy staje się również tzw. phishing, czyli wyłudzanie poufnych informacji użytkownika przez cyberprzestępców podszywających się pod godną zaufania osobę lub instytucję. W stosunku do roku 2010, zespół CERT Polska zauważył wzrost liczby tego typu zdarzeń o 1/3.

Wykres: Liczba zgłoszeń automatycznych w poszczególnych kategoriach

Źródło: Raport CERT Polska za 2011 rok

Według ekspertów z CERT Polska, zjawiska zaobserwowane w 2011 roku świadczą o ciągłym udoskonalaniu metod stosowanych przez cyberprzestępców.

W sieci zostały wykryte kolejne modyfikacje groźnego ZeuSa, służącego do wykradania danych z urządzeń podłączonych do sieci. Na początku zeszłego roku jego autorzy dostosowali robaka do atakowania nie tylko komputerów, ale także telefonów komórkowych. Przełom 2011 i 2012 roku przyniósł pojawienie się nowej wersji ZeuSa, która, podobnie jak w systemie wymiany plików torrent, wymienia informacje bezpośrednio między zainfekowanymi komputerami podłączonymi do Internetu, znacząco utrudniając eliminację zagrożenia z sieci.

Polscy użytkownicy Internetu narażeni byli również na zjawisko połączenia typosquattingu z płatnościami SMS Premium. Naciągacze korzystali z błędów popełnianych przy wpisywaniu adresów popularnych serwisów internetowych i informując o wygraniu atrakcyjnej nagrody prosili o podanie danych osobowych użytkownika. Internauci, którzy zdecydowali się na udział w konkursie, zamiast obiecanej nagrody otrzymywali wysokie rachunki telefoniczne.

Jak stwierdzają autorzy raportu, nowe zagrożenia, wykorzystujące zaawansowane oprogramowanie oraz nieuwagę internautów, stają się coraz trudniejsze do zwalczania a ich eskalacja może nastąpić w tym roku.

 „W drugiej połowie 2011 rozpoczęliśmy korzystanie z wielu nowych źródeł o incydentach, co wpłynęło na znaczący wzrost liczby wykrywanych nowych zagrożeń. Musimy zdawać sobie sprawę z tego, że cyberprzestępczość stanowi realny problem. Skuteczność ochrony w dużym stopniu zależy zarówno od ostrożności zwykłego internauty jak i współdziałania operatorów internetowych oraz podmiotów zajmujących zwalczaniem zagrożeń w sieci, również na poziomie międzynarodowym.” – mówi Piotr Kijewski, kierownik CERT Polska.

Wymiana doświadczeń jest jednym z najistotniejszych elementów przeciwdziałania zagrożeniom sieciowym. W raporcie Europejskiej Komisji ds. Bezpieczeństwa Sieci i Informacji, opublikowanym na przełomie roku, eksperci CERT Polska przedstawili analizę metod wykrywania sieciowych incydentów bezpieczeństwa przez 45 zespołów CERT z różnych krajów oraz rekomendacje, jak usprawnić obsługę incydentów. Przedstawiciele CERT Polska będą dzielić się swoimi doświadczeniami również z uczestnikami jednej z najważniejszych na świecie konferencji dotyczącej bezpieczeństwa teleinformatycznego, organizowanej przez FIRST (ang. Forum of Incidents Response and Security Teams). W wydarzeniu, które odbędzie się w czerwcu tego roku na Malcie, weźmie udział ponad 400 przedstawicieli zespołów reagowania na zagrożenia sieciowe z Europy, obu Ameryk, Azji i Australii.

„Cybeprzestępcy cały czas wykorzystują do swych celów wszystko to, co jest interesujące z perspektywy internautów -  popularne newsy, rosnącą liczbę użytkowników sieci społecznościowych i smartfonów. Nasze badania dotyczące kampanii Luckycat i innych zagrożeń typu APT ujawniły, że poszczególne ataki są ze sobą ściśle powiązane i sięgają zdecydowanie w głąb mętnych wód świata cyberszpiegostwa. Aktywność cyberprzestępców nie słabnie, a analiza zagrożeń występujących w pierwszym kwartale 2012 roku może posłużyć jako przypomnienie ważnego faktu: hakerzy bardzo uważnie śledzą zachowanie swoich ofiar i stale udoskonalają swój sposób działania i stosowane środki" – mówi Rik Ferguson, Dyrektor ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA w firmie Trend Micro.

Raport dowodzi, że głośne wydarzenia i zjawiska, takie jak Linsanity (błyskawiczny wybuch popularności koszykarza Jeremy’ego Lina), śmierć Whitney Houston, a także polityczne i społeczne wstrząsy w krajach na całym świecie, zostały wykorzystane przez cyberprzestępców do tworzenia kolejnych kampanii opartych na zasadach inżynierii społecznej. Wiele ataków nadal sprowadza się do wysyłania przez cyberprzestępców e-maili mających na celu skłonienie odbiorcy do kliknięcia w niebezpieczny link lub do otwarcia złośliwego załącznika.

APT

Raport ujawnia również, że cyberprzestępcy często analizują różne ataki będące elementami kampanii APT (Advanced AParallel Tchnology). Dzięki temu są w stanie stwierdzić to, który atak miał negatywny wpływ na konkretną sieć ofiary. Zwłaszcza w przypadku kampanii Luckycat doszło do ataku na długą listę celów przy użyciu bardzo zróżnicowanego złośliwego oprogramowania, z którego część była powiązana z innymi kampaniami prowadzącymi do kradzieży danych.

Q1 2012 – trendy

• Cyberprzestepcy wykorzystują wzrost liczby użytkowników systemu Android łączących się z internetem przez smartfony. Trend Micro zidentyfikowało około 5 tysięcy nowych złośliwych aplikacji na Androida w pierwszym kwartale tego roku.


• Firma Apple wyprzedziła Oracle, Google i Microsoft pod względem zgłoszonych luk w zabezpieczeniach – ich całkowita liczba wynosi 91. Oracle zajmuje drugie miejsce z 78 punktami, Google trzecie z 73, a Microsoft czwarte z 43. Firma Apple ma na koncie nie tylko największą liczbę luk w systemach bezpieczeństwa -  w marcu wypuściła rekordowo dużą liczbę patchy.


• Nowy serwis społecznościowy Pinterest zdążył już zyskać sobie nie tylko popularność, ale i złą sławę. Użytkowników strony zachęcano do przypinania na tablicach logo firmy Starbucks, co miało zapewniać im kupony upominkowe, ale zamiast tego infekowało ich systemy złośliwym oprogramowaniem.


• W rankingu największych nadawców spamu prowadzą następujące kraje: Indie (20 procent), Indonezja (13 procent), Korea Południowa (12 procent) i Rosja (10 procent).


• W ciągu mijającego kwartału oparta na chmurze infrastruktura bezpieczeństwa Smart Protection Network™ firmy Trend Micro™ ochroniła klientów przed łączną liczbą 15,3 mld sztuk spamu, 338,4 tys. przypadków ataków złośliwego programowania oraz przed 1,3 mld niebezpiecznych adresów URL.

Serwisy internetowe są miejscem, gdzie wielu ludzi próbuje prowadzić nieuczciwy handel. Przed wielkimi imprezami sportowymi Internauci często poszukują nowego sprzętu elektronicznego, biletów wstępu na imprezę, czy innych gadżetów związanych z wydarzeniem. Oszuści internetowi zdają sobie z tego sprawę i zalewają serwisy aukcyjne podróbkami w atrakcyjnych cenach.

• Aby nie zostać oszukanym należy pamiętać, aby podczas zakupu na aukcji internetowej zwrócić uwagę na historię sprzedawcy w serwisie aukcyjnym. Często zdarza się tak, że konto sprzedającego zostało niedawno utworzone, a pozytywne komentarze napisali ci sami użytkownicy serwisu.

Pamiętajmy, że uczciwy sprzedawca zawsze podaje na aukcji adres swojej firmy, numer telefonu stacjonarnego oraz numer NIP, a cena oferowanego przez niego artykułu jest ceną, która nie odbiega za bardzo od rynkowej wartości towaru - podkreśla Mateusz Sell z FileMedic.

• Kolejną bardzo ważną sprawą, szczególnie w dobie płatności internetowych, jest bezpieczeństwo transakcji. Niezbędne jest posiadanie oprogramowania antywirusowego z aktualną bazą wirusów. Dokonując płatności online należy także upewnić się, czy rozwinięcie adresu w przeglądarce internetowej rozpoczyna się od ciągu znaków „https” oraz czy jest opatrzone ikoną kłódki. Gdyby któryś z tych warunków nie został spełniony, można mieć podejrzenie, że ktoś próbuje nas oszukać.

Pamiętajmy także, aby z rozwagą używać kart kredytowych do płatności w Internecie. Nie należy podawać numeru karty oraz kodu CVV (ostatnie trzy cyfry znajdujące się na rewersie karty) w przypadku, gdy strona płatności nie jest szyfrowana - zaznacza Mateusz Sell.

Znalazły się wśród nich m.in. strony www linkujące do fałszywych ankiet oraz zbierające dane o użytkownikach, a także strona podszywająca się pod oficjalną domenę UEFA EURO 2012.

Jedna domena, wiele zagrożeń

Analizując działalność cyberprzestępców związaną z Euro 2012, eksperci z Trend Micro zidentyfikowali stronę {BLOCKED}uro2012.com. Witryna podszywała się pod oficjalną stronę http://www.uefa.com/uefaeuro/. Po przeskanowaniu okazało się, że na stronie znajdowało się kilka złośliwych programów, między innymi TROJ_FAKEAV.HUU w wersji FAKEAV. Po uruchomieniu wyświetlał on ekran imitujący wynik skanowania zainfekowanego komputera. Celem programu jest nakłonienie użytkownika do instalacji fałszywego programu antywirusowego oraz zakupu i aktywacji jego pełnej wersji.

• Strona aktywująca FAKEAV to w rzeczywistości narzędzie do phishingu – ataków polegających na wyłudzaniu od użytkowników ich poufnych danych. Okazuje się również, że TROJ_FAKEAV.HUU zawiesza przeglądarki Internet Explorer, Mozilla Firefox i Google Chrome.

• Na tej samej stronie znajduje się również plik TROJ_LOADR.BGV, który łączy się z trzema adresami URL i ściąga program TSPY_ZBOT.JMO w wersji ZBOT. Ten rodzaj złośliwego oprogramowania wyłudza dane dotyczące internetowych kont bankowych. Więcej informacji na temat odmian ZBOT/ZeuS można znaleźć w raporcie przygotowanym przez Trend Micro – Zeus: A Persistent Criminal Enterprise (http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_zeus-persistent-criminal-enterprise.pdf).

Złośliwe pozycjonowanie

Cyberprzestępcy wykorzystali także popularność meczu reprezentacji Czech i Portugalii z 21 czerwca do oszustwa polegającego na pozycjonowaniu złośliwej strony www - tzw. Blackhat Search Engine Optimization (BHSEO). Po wpisaniu w wyszukiwarce ciągu słów „oglądaj na żywo Portugalia Czechy” (Watch Portugal vs Czech Republic match live), wśród najwyżej pozycjonowanych wyników pojawiała się złośliwa strona internetowa. Po kliknięciu, zamiast na stronę z transmisją meczu, użytkownik zostawał przekierowany na stronę z ofertą wideo. Po akceptacji takiej propozycji przez użytkownika, już bez jego wiedzy, dochodziło do połączeń z powiązanymi stronami, które śledziły jego lokalizację i adres IP. W ten sposób oszuści mogli zarabiać, używając tych danych jako wejść na strony z reklamami.

• Kolejny, podobny atak przeprowadzono przy okazji meczu Anglia – Włochy. Strona {BLOCKED}glandvsitalylivestreameuro2012online.com przekierowywała użytkowników pod adres: http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/, który rzekomo miał oferować dostęp do transmisji meczu na żywo. W rzeczywistości użytkownik trafiał jedynie na stronę z fałszywą ankietą, która z kolei prowadziła do powiązanych stron zbierających dane o wejściach na strony reklamowe.

Fałszywa aplikacja dla Google Chrome oraz clickjacking na Facebooku

Specjaliści z Trend Micro natknęli się również na fałszywą aplikację w Chrome Web Store. Po instalacji i uruchomieniu aplikacji, następowało przekierowanie na złośliwą stronę http://www.{BLOCKED}linetv.biz/livesports.php, która prowadziła do kolejnych stron z trackerami.

• Fala cyberataków nie ominęła również osób korzystających z Facebooka. Na najpopularniejszym portalu społecznościowym zaobserwowano szereg postów rzekomo prowadzących na strony oferujące transmisję meczu. Jednak, podobnie jak w przypadku złośliwej aplikacji dla przeglądarki, również i te strony przekierowywały użytkowników dalej, umożliwiając oszustom wykorzystanie odwiedzin do zarabiania pieniędzy na reklamach.

„Piętnaście lat w tej samej branży to bardzo długo. Z drugiej strony - możecie mi wierzyć lub nie - ale ja nadal kocham to, co robię. Uwielbiam nasz zespół i pracę, którą wykonujemy. Przez te 15 lat pracowaliśmy 24 godziny na dobę, analizując i zwalczając wszystkie rodzaje zagrożeń IT, które przeszły w tym czasie znaczną ewolucję – od cyberwandalizmu, poprzez cyberprzestępczość aż do cyberwojny. Współpraca w celu zwalczania zagrożeń cyfrowych ma dzisiaj większe znaczenie niż kiedykolwiek wcześniej. Niedawne ataki, takie jak te przeprowadzone przy użyciu Stuxneta, Duqu oraz Flame’a, pokazały, jak bardzo podatne na zagrożenia militarne i terrorystyczne są infrastruktury IT. Robimy jednak wszystko, co w naszej mocy, aby zapobiec potencjalnym katastrofom, jakie mogłyby spowodować tego rodzaju ataki” – powiedział Jewgienij Kasperski, dyrektor generalny i współzałożyciel Kaspersky Lab. 

Dzięki technologiom opracowanym przez wewnętrznych ekspertów firmy produkty Kaspersky Lab są tworzone od podstaw, zapewniając bezkonfliktowe i wydajne działanie.    Rozpoczynając działalność w 1997 r., Kaspersky Lab zatrudniał jedynie 20 pracowników – dzisiaj jest największą prywatną firmą z branży bezpieczeństwa na świecie i zatrudnia ponad 2 400 osób w blisko 200 krajach.    

Straszna 15-stka

• 1986 – pojawia się Brain, pierwszy wirus komputerowy. Brain rozprzestrzeniał się poprzez zapisywanie swojego kodu w sektorze rozruchowym dyskietek.


• 1988 – robak Morris infekuje około 10% komputerów podłączonych do internetu (około 6 000 maszyn).


• 1992 – pojawia się Michelangelo – pierwszy wirus, który wywołuje powszechne zainteresowanie mediów.


• 1995 – pojawia się Concept – pierwszy makrowirus infekujący dokumenty programu MS Word.


• 1999 – Melissa rozpoczyna erę masowych wysyłek szkodliwego oprogramowania odpowiedzialnego za ogromne globalne epidemie.   


• 2003 – pojawia się Slammer, robak bezplikowy odpowiedzialny za masową epidemię na całym świecie. 


• 2004 – pojawia się Cabir: pierwszy szkodnik typu „Proof-of-Concept” dla Symbiana; Cabir infekował telefony komórkowe przez Bluetootha.


• 2006 – pojawia się Leap, pierwszy wirus dla systemu Mac OS X.


• 2007 – robak Storm (znany również jako Zhelatin) zapoczątkowuje wykorzystywanie rozproszonych serwerów, za pomocą których cyberprzestępcy kontrolującą szkodliwe programy.


• 2008 – pojawia się Koobface, pierwszy szkodliwy program, który atakuje Facebooka.


• 2008 – pojawia się Conficker, robak, który spowodował jedną z największych epidemii w historii, atakując sieci firmowe, użytkowników indywidualnych oraz rządy w ponad 200 krajach.  


• 2010 – pojawia się FakePlayer, SMS-owy trojan dla Androida.


• 2010 – pojawia się Stuxnet, wykorzystywany do przeprowadzania ataków ukierunkowanych na systemy SCADA (Supervisory Control and Data Acquisition), sygnalizując nadejście ery cyberwojen.


• 2011 – pojawia się Duqu, wyrafinowany trojan, który gromadzi informacje o swoich ściśle wyselekcjonowanych celach. 


• 2012 – pojawia się Flame, wysoce wyrafinowany, szkodliwy program, który jest aktywnie wykorzystywany jako cyberbroń w atakach na obiekty znajdujące się w różnych państwach.

Teraz liczba ta spadla – eksperci twierdzą, że w niewłaściwy sposób z internetem łączy się około 300 tysięcy urządzeń. Dziś jednak Amerykanie wyłączyli zabezpieczenia chroniące maszyny zakażone trojanem DNS Changer, a część z 300 tysięcy osób (w tym blisko 5 tysięcy Polaków) może stracić dostęp do sieci.      

„FBI przez rok kontrolowało zainfekowane serwery, które dziś zostały wyłączone. Należy pamiętać o tym, że samo usunięcie zagrożenia z komputera nie wystarczy. Aby nie być cały czas zależnym od niebezpiecznych serwerów należy zmienić też nasze ustawienia DNS” - mówi Rik Ferguson, Dyrektor ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA w firmie Trend Micro.

• Przypomnijmy – Trend Micro – jako jedyna firma z branży bezpieczeństwa IT, wspierała FBI w śledztwie prowadzącym do ujęcia grupy hakerów, którzy stworzyli sieć Esthost. Wieloletnia aktywność cyberprzestępców miała na celu między innymi wyłudzanie pieniędzy z transakcji internetowych. Od 2007 roku hakerzy manipulowali również internetowymi reklamami – estońscy cyberprzestępcy zarabiali na tym miliony dolarów.

TMMS 8.0

Usprawnia egzekwowanie istniejących polityk opierających się na hasłach i szyfrowaniu, a także zapewnia bardziej precyzyjne opcje zdalnego wymazywania danych. Wprowadza też nowy system zarządzania aplikacjami mobilnymi, który umożliwia działom informatycznym automatyczne wysyłanie aplikacji używanych w przedsiębiorstwie na urządzenia z systemami operacyjnymi iOS, Blackberry i Android. TMMS 8.0 jest bezpośrednio zintegrowany z używanym przez firmę rozwiązaniem OfficeScan™ oraz infrastrukturą zarządzania systemami informatycznymi. Dzięki temu wdrożenie tego nowego systemu zabezpieczania urządzeń mobilnych i zarządzania nimi jest znacznie prostsze i bardziej ekonomiczne. 

„BYOD – wiąże się z nowymi wyzwaniami dla działów IT, w modelu tym bowiem prywatne urządzenia mobilne stają się ważną częścią korporacyjnej sieci. TMMS 8.0 daje naszym klientom pewność potrzebną do zmierzenia się z tym wyzwaniem” - mówi Steve Quane, Chief Product Officer w firmie Trend Micro.

TMMS

• Mobile Device Security ułatwia firmom wdrażanie reguł ochrony danych, które zapewniają bezpieczeństwo informacji wrażliwych na urządzeniach osobistych. TMMS 8.0 chroni urządzenia mobilne przed najnowszymi zagrożeniami i szkodliwym oprogramowaniem, a zaawansowane funkcje, takie jak narzędzia do selektywnego usuwania i szyfrowania danych, podnoszą poziom bezpieczeństwa informacji w całym przedsiębiorstwie.


• Mobile Device Management umożliwia zarządzanie wieloma urządzeniami mobilnymi z jednej konsoli zarządzania. Ułatwia również wdrażanie i konfigurowanie urządzeń, wdrażanie reguł i szczegółową inwentaryzację.


• Mobile Application Management pomaga firmom zarządzać zróżnicowaną gamą urządzeń mobilnych z poziomu jednej konsoli. Ponadto obejmuje również rejestrację urządzeń i ich przydzielanie, inwentaryzację, a także egzekwowanie polityki bezpieczeństwa.


• Mobile Device Protection pozwala na zdalne blokowanie skradzionych lub zgubionych urządzeń, usuwanie z nich danych i zabezpieczanie hasłem.


• Funkcje rozwiązania TMMS 8.0 obsługują zarówno urządzenia prywatne, jak i firmowe. Umożliwiają dostosowanie zabezpieczeń do typu użytkownika. 

Głównym czynnikiem hamującym dynamiczny rozwój elektronicznego handlu jest brak zaufania klientów co do bezpieczeństwa transakcji internetowych.

Polski rynek e-commerce nabiera wartości

Ze wszystkich segmentów rynku handel elektroniczny rozwija się najprężniej. W Europie szacowana wartość wzrosła z poziomu 145 mld dolarów w 2008, przez 183 mld w 2011, aż do poziomu 202 mld w 2012 roku. E-handel na polskim gruncie rozwija się równie stabilnie, czego najlepszym dowodem jest fakt, że Polska już od dwóch lat jest liderem w Europie jeżeli chodzi o wzrost tego rynku.

Większa wartość segmentu, popularyzacja e-zakupów i rosnąca liczba sklepów internetowych stanowią pożywkę dla ataków webowych, bazujących na niskim poziomie zabezpieczeń witryn i niedoinformowaniu internautów. Zagwarantowanie maksymalnego bezpieczeństwa internetowego handlu to dla każdego przedsiębiorcy priorytet, w obrębie którego nie ma miejsca na kompromisy. Ochrona transakcji internetowych przeciwdziała nie tylko bezprawnemu przejęciu lub modyfikacji przesyłanych danych, ale i wpływa na budowanie pozytywnego wizerunku marki wśród klientów i otoczenia.

Niebezpieczne e-sklepy

Z tegorocznych badań przeprowadzonych przez Unizeto Technologies wynika, że większość e-sklepów nie zapewnia podstawowego poziomu ochrony swoim klientom. W ramach przekrojowego konkursu Bezpieczny eSklep, Unizeto przebadało zabezpieczenie 450 domen 116 sklepów internetowych. Ich analiza pokazała, że jedynie 26% wszystkich witryn posiadało zainstalowane certyfikaty SSL.

• Aż 60% certyfikatów SSL z grupy witryn z kłódką należało do podstawowej klasy DV, choć dedykowana jest ona jedynie dla mniejszych e-sklepów, blogów, forów oraz niekomercyjnych witryn WWW.


• Kolejne 38% przebadanych stron posiadało certyfikat na poziomie walidacji OV, co jest sugerowane właścicielom większych sklepów internetowych, stron urzędów administracji publicznej oraz serwerom pocztowym i baz danych.


• Jedynie 2% wszystkich witryn gwarantowało najwyższy poziom bezpieczeństwa – EV, a więc posiadało certyfikat dedykowany do ochrony prestiżowych sklepów internetowych, bankowości elektronicznej, instytucji finansowych i ubezpieczeniowych.

Czynniki zwiększające zaufanie klientów

W ramach konkursu przeprowadzona została także ankieta dotycząca oceny czynników wpływających na poczucie bezpieczeństwa w sklepie internetowym. 

• Największy wpływ na zaufanie klientów miały: rekomendacje oraz opinie dotychczasowych Klientów, łatwa dostępność danych kontaktowych, a także zabezpieczenia sklepu typu SSL.


• W dalszej kolejności ważne okazały się: czytelny i uczciwy regulamin, bezpieczne przelewy za pośrednictwem znanych i sprawdzonych form płatności on-line, a także opcja płatności za produkt przy odbiorze oraz nagrody i wyróżnienia przyznane sklepowi.


• Rzadziej wymieniane były: przejrzystość kolejnych etapów transakcji (z możliwością wycofania się, potwierdzeniem etapów za pomocą e-maila, śledzeniem przesyłki) oraz marka i wygląd sklepu.


• Z każdym rokiem rośnie świadomość konsumencka i wymagania klientów w kwestiach bezpieczeństwa. Jak pokazały badania, aż 98% ankietowanych odpowiada twierdząco na pytanie, czy zwraca uwagę na bezpieczeństwo w sklepie internetowym. Dla właścicieli e-sklepów powinno stanowić to jasny dowód – inwestowanie w e-ochronę procentuje!

Raport pokonkursowy Bezpieczny eSklep 2012, w którym znalazły się pełne wyniki badań oraz ankiety konsumenckiej można pobrać bezpłatnie ze strony https://bezpiecznyesklep.pl/raport.