Wciąż rośnie liczba fałszywych domen

Pojawiające się w mediach informacje o złośliwym oprogramowaniu krążącym w sieci i wzmożonej aktywności hakerów, przeciętnemu internaucie wydają się pozostawać bez większego znaczenia.

Phishing oraz ataki DoS, postrzegane są jako problem zagranicznych rynków, w związku z czym, aż 50 procent zarejestrowanych w Polsce firm nie stosuje żadnych standardów bezpieczeństwa. Tymczasem cyberprzestępcy tworząc fałszywe domeny do złudzenia przypominające strony popularnych marek, osiągają coraz większe korzyści.

Eksperci z Laboratorium G Data na miesiąc przed zakończeniem rocznego bilansu informują, że liczba fałszywych domen zainfekowanych złośliwym oprogramowaniem osiągnęła o wiele wyższą skalę, niż miło to miejsce w roku 2008. Wszystko to jasno wskazuje, że rynek cyberprzestępców stale się powiększa, wykorzystując przy tym coraz to nowe narzędzia, jak na przykład techniki SEO. Jak wynika z badań, Polska znajduje się w czołówce państw narażonych na ataki hakerów. „Motorem napędowym działań cyberprzestępców jest nadal niska świadomość problemu wśród internautów. Przykładem sprzed kilku dni jest atak na klientów iPKO, który na szczęście udało się udaremnić” – komentuje sprawę Tomasz Zamarlik z G Data Software. Jak wynika z badań opinii publicznej przeprowadzonej przez TNS OBOP, tylko co dziesiąty Polak nie obawia się o bezpieczeństwo swoich pieniędzy, powierzonych wirtualnym bankom. Ryzyko związane z posiadaniem e-konta z pewnością nie wpływa pozytywnie na sprzedaż tej usługi, ale również nie hamuje jej rosnącej popularności.

Narzędzia SEO, czyli hakerzy w czarnych kapeluszach


Cyberprzestępcy coraz chętniej sięgają po zaawansowane techniki i narzędzia w celu zwiększenia skuteczności ataków. Optymalizacja narzędzi pozwala na zwiększenie zasięgu ataku, co w znaczący sposób wpływa na wzrost liczby zgromadzonych w ten sposób danych, wykorzystywanych później do kolejnych przestępstw. Fałszywe strony tworzone przez cyberprzestępców, pozycjonowane są w wyszukiwarkach pod znanymi i popularnymi słowami kluczowymi. Adres internetowy takiej witryny  często różni się tylko jedną literą, co dodatkowo usypia czujność Internauty. Strona-pułapka zawiera zazwyczaj plik do ściągnięcia lub złośliwy kod w JavaScript, który umożliwia zainstalowanie złośliwego oprogramowania na niewłaściwie zabezpieczonym komputerze.

„Przestępcy coraz częściej sięgają po narzędzia pozycjonerskie, niekiedy uciekając się do technik zwanyvch Black hat SEO, a więc wykorzystując metody spamerskie, niezgodne z regulaminem wyszukiwarek” – zauważa Anna Sikorska, SEO Director z Adseo.pl – Szeroko zakrojony handel linkami pozycjonującymi oraz tak zwany parasite hosting, pozwalają na szybkie zwiększenie widoczności strony, która niejednokrotnie podszywa się pod bezpieczną stronę znanego producenta. „Do zwiększania widoczności stron znacznie częściej wykorzystywane są jednak legalne techniki SEO/SEM. Fałszywa domena może więc ukrywać się pod linkiem sponsorowanym, lub tuż pod bezpieczną stroną producencką”, dodaje Anna Sikorska.

Klikając na witrynę, Internauta otrzymuje informację o możliwości pobrania wersji demo produktu lub  proszony jest o wypełnienie specjalnego formularza. Tego typu działania umożliwiają rozpowszechnianie malware, czyli aplikacji i skryptów mających szkodliwe, przestępcze lub złośliwe działanie w stosunku do użytkownika komputera. Fałszywe strony są również cennym źródłem pozyskiwania danych osobowych, pozwalającym na budowanie bazy użytkowników Internetu.

Cyberprzestępcy polują na domeny


Łatwość oraz szybkość rejestracji domen uczyniła z nich kolejne narzędzie chętnie wykorzystywane przez cyberprzestępców. W tym przypadku najczęściej spotykamy się z tak zwanym maskowaniem linku, czyli rejestrowaniem domeny, która przypomina popularny i zaufany adres. Nieświadomy internauta jest zachęcany w kliknięcie takiego linku i trafia na stronę zawierającą szkodliwe programy.

Cyberprzestępcy trzymają rękę na pulsie i wykorzystują do swojej działalności nowe standardy, rozszerzające system domen internetowych. O jednej z nowszych metod sieciowych złodziei opowiada Maciej Kurek z firmy 2BE.PL: „Od niedawna możliwa jest rejestracja domen IDN (ang. Internationalized Domain Name). Są to adresy zawierające znaki diakrytyczne, używane w różnych językach, takie jak polskie ś, ż lub niemieckie ü. Znane są przypadki gdy rejestrowano nazwy znanych serwisów w wersji IDN i wykorzystywano fakt, że są łudząco podobne do oryginałów, aby zmylić użytkownika. Przykładowo, adres słoiki.com.pl na pierwszy rzut oka jest bardzo podobny do sloiki.com.pl. Łatwo wykorzystać to podobieństwo, podobnie jak dzieje się to w przypadku maskowania adresów.”

Wielu phisherów, dla uwiarygodnienia swoich działań, wykupuje certyfikaty bezpieczeństwa SSL oraz korzysta z mechanizmu URL redirection (przekierowania adresów internetowych). W tym przypadku decydującą rolę w zabezpieczeniu komputera przed zawirusowaniem odgrywa korzystanie z bezpiecznej przeglądarki internetowej oraz dodatkowego oprogramowania – programu antywirusowego typu InternetSecurity z wbudowanym panelem firewall. Niezależne badania pokazują, że większość produktów dostępnych na rynku posiada luki w zabezpieczeniach. Trudno jednoznacznie wskazać która przeglądarka jest najbezpieczniejsza. Dlatego ważne jest aby korzystać z najnowszej dostępnej wersji przeglądarki i zgodnie z sugestiami producentów na bieżąco instalować aktualizacje.

Jak zauważa Tomasz Zamarlik z G Data Software – „Atak przeprowadzony przy użyciu fałszywej domeny jest wyjątkowo niebezpieczny i precyzyjny. Przekierowanie na fałszywą stronę niejednokrotnie odbywa się również za pomocą wcześniej zainstalowanego konia trojańskiego. Dzięki niemu cyberprzestępcy mogą na przykład manipulować wszystkimi wpisami adresów w przeglądarce.” Nic więc dziwnego, że rosnący profesjonalizm szarej strefy wirtualnej gospodarki, jest przedmiotem badań twórców oprogramowania antywirusowego. „Większość dostępnych pakietów ochronnych przeznaczonych dla użytkowników Internetu, ma wbudowane filary antyphishingowe, analizujące kontent otrzymywanych przez Internautów wiadomości. Dzięki temu możliwe jest rozpoznanie, czy pod adresem domeny kryje się dodatkowy plik w postaci np. złośliwego oprogramowania” – zauważa Łukasz Nowatkowski z G Data Software.

Źródło: G DATA Software