Wirtualne sklepy cyberzłodziei

Ostatnie miesiące, to okres burzliwych zmian na rynku internetowym. Dofinansowania unijne oraz środki, które mali przedsiębiorcy mogą pozyskać z urzędów pracy, skłoniły wiele osób do założenia własnego sklepu internetowego. Nic dziwnego – polski rynek e-commerce generuje blisko 11 mld zł przychodów, wytwarzanych przez 7 tysięcy sklepów, w których zaopatruje się ponad 7 milionów Polaków. Jak przystało na tak dochodowy interes, ten sektor gospodarki stał się obecnie głównym celem ataków cyberprzestępców.

W ciągu ostatniej dekady liczba sklepów internetowych stale rosła. Dziś założenie własnego e-biznesu jest niezwykle proste, a w Internecie znaleźć można mnóstwo gotowych szablonów, które z powodzeniem można wykorzystać do stworzenia swojego własnego serwisu.

Na tych, którzy nie chcą płacić za tworzenie autorskich programów, czeka jednak niemiła niespodzianka. Bezpłatne szablony są niedoskonałe, a cyberprzestępcy chętnie wyłapują luki w skryptach oraz systemach zabezpieczeń serwerów, by w ten sposób wykorzystać wirtualne sklepy do rozsyłania złośliwego oprogramowania. Technik przeprowadzania skutecznych ataków przy użyciu malware jest wiele, a skale problemu doskonale obrazują statystyki wzrostu szkodliwego oprogramowania krążącego w Sieci, sporządzane przez ekspertów z laboratorium G Data.

„Zatrważające jest, że wielu Polaków nadal żyje w nieświadomości otaczających ich w Sieci zagrożeń. Nierozważne postępowanie oraz brak uwagi przykładanej do odpowiedniego zabezpieczenia serwisu, z pewnością odbije się niekorzystnie nie tylko na właścicielu witryny, ale także jego klientach” komentuje Tomasz Zamarlik z G Data Software. Zamieszczony powyżej raport wskazuje na gwałtowny wzrost złośliwego oprogramowania w ostatnim półroczu. Dla właścicieli sklepów internetowych dane te powinny stanowić sygnał ostrzegawczy – każde niedociągnięcie systemowe w skrypcie witryny to wzrost ryzyka, że to właśnie nasz serwis zostanie zaatakowany w pierwszej kolejności.

„Złośliwe oprogramowanie, w szczególności tzw. programy szpiegowskie są szczególnie groźne dla klientów sklepów internetowych, którzy w trakcie transakcji przesyłają poufne informacje. Złośliwy kod może być wpisany w niemal każdą stronę internetową, dlatego przed zakupami warto upewnić się czy dany sklep posiada certyfikat SSL i szyfruje przesyłane dane” – wyjaśnia Katarzyna Gruszecka – Kara, Domain and Hosting  Director firmy 2BE.PL.

Sklepy online nie bez powodu stały się ulubionym miejscem „łowów” cyberprzestępców. Gromadząc wokół siebie coraz więcej użytkowników Internetu, niejednokrotnie zawierają rozbudowane bazy adresów online, oraz innych danych swoich klientów, umożliwiających bezbłędną i szybką identyfikację ofiary. Te informacje mogą być wykorzystane zarówno do wysyłania SPAM-u, jak również przeprowadzania ataków phishinowych, czy dokonywania włamań na konta bankowe nieostrożnych Internautów.

Nowe zagrożenia wykorzystują strukturalne słabe punkty w pracy skanerów antywirusowych poszczególnych serwerów. Ponieważ skanery antywirusowe sprawdzają zawartość wtedy, gdy chce z nich skorzystać któryś z elementów systemowych (OnAccess) lub na żądanie (OnDemand), złośliwy program może być wykryty najwcześniej wtedy, gdy ma on już formę pliku. „By uniknąć tego ataku należałoby sprawdzać zawartość przepływających informacji, zanim dotrą one do przeglądarki. Niestety, jak na razie takie rozwiązanie pozostaje w sferze marzeń” zauważa Tomasz Zamarlik z G Data Software.
 
Po zainstalowaniu się fałszywego pliku na serwerze, już tylko krok dzieli go od błyskawicznego rozprzestrzenienia się w Sieci. Pobieranie złośliwych plików może się odbyć na kilka sposobów:

Zgoła inną formą  ataku, na jaka narażeni są świeżo upieczeni przedsiębiorcy, są działania typu drive-by-downloads, które przebiegają w sposób niezauważony podczas surfowania w Internecie. Specjalnie zaprojektowane przez cyberprzestepców skrypty umożliwiają pobranie złośliwej wersji programu, który w wyniku uprzedniego monitorowania aktywności ofiary, udało się  odpowiednio dostosować do danej kombinacji, sprawdzając przeglądarkę oraz jej elementy pod kątem luk w zabezpieczeniach. W tym przypadku najwięcej powodów do obaw mają użytkownicy z systemu Windows oraz przeglądarki Internet Explorer. Niemniej jednak coraz częściej złośliwe programy korzystają także ze słabych punktów takich systemów jak Firefox, Opera czy Safari. Jak szacują twórcy oprogramowania antywirusowego G Data, około 80% wszystkich infekcji typu drive-by dochodzi na legalnych stronach www, które zostały zainfekowane złośliwym oprogramowaniem.

Ostatnią, niezwykle skuteczna formą zainfekowania komputera jest umieszczenie złośliwego oprogramowania na stronach znanej domeny. Jeśli atakującemu uda się przejąć kontrolę nad danym serwerem internetowym przy pomocy prostych narzędzi, do każdej strony dodaje się jeden wiersz, który powoduje pobieranie złośliwego oprogramowania z innego serwera. W międzyczasie wykorzystywane są również inne techniki, służące do napaści na serwery internetowe, które poprzez ataki słownikowe próbują odgadnąć między innymi hasło dostępu administratora. Do przejmowania serwerów internetowych wykorzystuje się także luki w zabezpieczeniach popularnych aplikacji internetowych, takich jak systemy zarządzania treścią (między innymi sklep internetowy), programy do blogów i forów oraz narzędzia administrowania. W większości przypadków ataki te nie ograniczają się do pojedynczych serwerów internetowych, lecz prowadzone są masowo i automatycznie.

Skutek tego typu działań jest oczywisty: złośliwe oprogramowanie czyha już teraz nie tylko w mrocznych zakamarkach Internetu, lecz może ukryć się na każdej domenie.
Źródło: G DATA Software