Mitä Ovat Infostealerit?

infostealer on osa haittaohjelmia (haittaohjelmia), jotka yrittävät varastaa tietosi. Monimutkaisemmat haittaohjelmat, kuten pankkitroijalaiset (esimerkiksi TrickBot) ja stalkerware sisältävät yleensä infostealer-komponentteja.

useimmissa tapauksissa tämä tarkoittaa tietojen varastamista, jolla kyberrikollisille voidaan tehdä rahaa.

Tässä muutamia asioita, joita rikolliset voivat varastaa ja muuttaa rahaksi:

  • pankkikorttitietojasi voidaan käyttää suoraan tai jälleenmyydä muille, jotka tekevät ostoksia kortilla,
  • tilitietojasi voidaan käyttää varastamaan aiemmat ostoksesi (esimerkiksi Fortnite-tai Animal Crossing in-game-ostoksesi), jotka voidaan jälleenmyydä,
  • tilitietosi voivat ostaa uusia asioita, jos talletat pankkikorttisi,
  • tilitietosi voivat olla myi itsensä:
    • tilejä myydään usein irtotavarana muille kyberrikosten asiantuntijoille, jotta nämä yrittäisivät rahastaa,
    • jotkut tilit ovat yksittäin arvokkaita, esimerkiksi Instagram – tai Snapchat-tilit, joilla on halutut kahvat
  • mahdollisesti kuvia ja asiakirjoja voidaan käyttää kiristykseen tai rahastaa muilla tavoin:
    • kiristyshaittaohjelman kohteeksi joutuneet yritykset kohtaavat yhä useammin mahdollisuuden, että niiden sisäiset tiedot ja immateriaalioikeudet julkaistaan verkossa, jos ne eivät maksa
    • vuonna 2014 suuri määrä kuuluisia naisia oli varastanut erittäin yksityisiä valokuvia iCloud-tileiltään ja julkaissut, mikä on merkittävästi hyödyttänyt tiettyjä epäeettisiä ilmoitustauluja ja pornografisten verkkosivustojen omistajia.

rikolliset ovat luovia ja tämä on suurta, ammattimaista, bisnestä.

Bank troijalainen esimerkki

 Android banking troijalainen esimerkki askel askeleelta kuvakaappauksia

Android banking troijalainen esimerkki askel askeleelta kuvakaappauksia

Infostealer hyökkäykset voivat olla todella pirullisia.

otetaan esimerkiksi vuonna 2017 leviävän Android-pankkitroijalaisen toiminta.

käyttäjä saa tekstiviestin, jossa on linkki, jolla voi ladata sovelluksen, jossa on hauskoja videoita. Kun he asentavat, heitä pyydetään hyväksymään sovelluksen käyttöoikeudet. Käyttäjä epäilemättä tekee tämän tarkistamatta, koska joka tapauksessa kukaan ei ymmärrä kaikkia näitä oikeuksia.

sovelluksen sisällä on muutama aito “hauska video”.

silti sen todellinen tehtävä on odottaa pankkisovelluksen avaamista. Kun se näkee sinun tekevän tämän, se katsoo pankkisovellusten kirjastoonsa ja käyttää antamaasi lupaa piirtää pankkisovelluksesi kirjautumisruudun päälle väärennetyn tarkan kopion kirjautumisruudusta.

syötät kirjautumistietosi ja se varastaa käyttäjätunnuksesi ja salasanasi. Samalla se kirjaa sinut todelliseen sovellukseen, joka on piilotettu identtisen väärennetyn kirjautumisnäytön taakse, niin että kaikki näyttää sinusta normaalilta.

nyt troijalainen odottaa pankkia maaliin. Sen jälkeen se kirjautuu pankkiisi uudelleen ilman apuasi ja yrittää siirtää rahasi.

kun näin tapahtuu, pankki lähettää Sinulle TEKSTIVIESTIKOODIN vahvistaakseen maksun – sovellus kaappaa koodin käyttämällä toista lupaa, jonka annoit sille asennusaikana, ja jopa poistaa tekstiviestin, jotta et tiedä mitään tapahtuneen.

pirullinen!

ei vain rahasta

vaikka raha on ylivoimaisesti yleisin syy infostealer-hyökkäyksiin, se ei ole ainoa syy.

kuten iCloudissa ja monissa vastaavissa tapauksissa, tieto yhteiskuntiemme haavoittuvimmista ihmisistä (naiset, lapset, LGBTQIA+ ihmiset, värilliset ja muut) on suunnattu erityisesti niille, jotka pyrkivät hyväksikäyttämään näitä ihmisiä tai aiheuttamaan heille väkivaltaa.

tiedämme, että on olemassa häpeämättömiä “laillisia” yrityksiä, jotka myyvät stalkerwarea ja markkinoivat sitä erityisesti kotimaisille hyväksikäyttäjille, hyväksikäyttäville vanhemmille ja stalkereille voidakseen vakoilla ja valvoa kohteitaan. Siksi F-Secure on osa alan laajuista koalitiota Stalkerwarea vastaan. Stalkerware ovat yleensä piilotettuja troijalaisia, jotka sisältävät raskaan osan infostealer-teknologiaa – varastamalla kohteen kuvia, puheluhistoriaa, keskusteluhistoriaa, sijaintihistoriaa ja paljon muuta.

Infostealereita käytetään myös osana nettikiusaamista, jossa kohteen tileille pääsyä voidaan käyttää kiusallisen sisällön julkaisemiseen, ystävien poistamiseen, pääsyn poistamiseen tai osana yleistä gaslighting-kampanjaa.

hallitukset tekevät enemmän kohdennettuja hyökkäyksiä infostealereita käyttäen aktivisteja, toimittajia ja oppositiopoliitikkoja vastaan, jälleen häpeämättömien “laillisten” yritysten avulla, jotka myyvät tätä haittaohjelmistoa tietäen, miten sitä käytetään.

esimerkiksi toimittaja Jamal Khashoggin surullisenkuuluisan vuoden 2018 murhan uskotaan liittyneen hänen kollegoitaan vastaan käytettyyn infostealer-tekniikkaan, joka johti yhden hänen lähteistään murhaan ja jota mahdollisesti käytettiin hänen aikataulunsa selvittämiseen etukäteen murhansa suunnittelemiseksi.

vielä alkuvuodesta 2020 saimme tietää, että vastaavaa ohjelmistoa on käytetty maailman rikkainta ihmistä Jeff Bezosia vastaan todennäköisesti siksi, että Washington Post-lehti on kertonut hänen omistavansa sen.

Kuinka Yleisiä Infostealerit Ovat?

F-Securen juuri julkaiseman H1 2020 Attack Landscape-raporttimme tietojen mukaan infostealerit hallitsevat nyt 20 suurinta haittaohjelmien uhkaa, joita käyttäjät kohtaavat.

jos mukaan lasketaan troijalaiset ja rotat (Etäkäyttötroijalaiset), jotka sisältävät myös infostealer-elementtejä, tietosi varastavat haittaohjelmat muodostavat 18 20 tärkeimmästä uhasta, joilta F-Securen on täytynyt suojella käyttäjiämme.

 Top 20 threats seen by F-Secure in H1 2020

Top 20 threats seen by F-Secure in H1 2020

Infostealers hallitsevat myös roskapostin käyttäjät saavat, kanssa 75% koronaviruksen teemalla sähköpostin liitetiedostoja näimme jakaa joko Lokibot tai Formbook, infostealers jotka löydettiin toimitetaan 38% ja 37% COVID liitetiedostoja vastaavasti.

esimerkki reaalimaailman roskapostista, joka on olevinaan suurpankista, jota käytetään Lokibot-infostealerin/troijalaisen jakeluun.

esimerkki reaalimaailman roskapostista, joka on olevinaan suurpankista, jota käytetään Lokibot-infostealerin/troijalaisen jakeluun.

viimeisen kuukauden aikana Suomessa 131: llä jokaisesta 10K: n käyttäjästä oli ohjelmistomme estämä infostealer – tai troijalainen tartuntayritys-64% kaikista kohdatuista uhkista.

 Top 10 F-Securen päätelaitteiden suojausohjelmiston havaitsemat uhat Suomessa viimeisen kuukauden aikana (2020-Sep)

Top 10 F-Securen päätelaitteiden suojausohjelmiston havaitsemat uhat Suomessa viimeisen kuukauden aikana (2020-Sep))

 F-Securen Loppupistesuojausohjelmiston havaitsemat uhat Suomessa viimeisen kuukauden aikana (2020-Sep) jaoteltuna uhkatyypin mukaan

F-Securen Loppupistesuojausohjelmiston havaitsemat uhat Suomessa viimeisen kuukauden aikana (2020-Sep) jaoteltuna uhkatyypin mukaan

Ruotsissa oli 149 käyttäjää 10K: sta, joilla oli infostealer tai troijalainen virus yritys estää ohjelmistomme, tai 47% kaikista uhista.

 Top 10 threats detected by F-Secure End-Point Protection software in Sweden in the Last Month (2020-Sep)

Top 10 threats detected by F-Secure End-Point Protection software in Sweden in the Last Month (2020-Sep))

 F-Secure End-Point Protection Softwaren Ruotsissa viime kuussa havaitsemat uhat (2020-Sep) jaoteltuna uhkatyypin mukaan

uhat, jotka F-Secure End-Point Protection software on havainnut Ruotsissa viime kuukauden aikana (2020-Sep) jaoteltuna uhkatyypin mukaan

miten Infostealers saa minut?

suurin osa kaikista haittaohjelmatartunnoista, mukaan lukien infostealers, tulee roskapostin kautta.

tartunta tapahtuu joko sähköpostin liitetiedoston tai sähköpostiin linkitetyn Haitallisen verkkosivuston kautta.

verkkosivustoilla viime vuosina suurin osa tartunnoista on tullut huijaamalla sinut lataamaan ja asentamaan ohjelmistoja manuaalisesti sivustolta. Näemme edelleen vähemmistö tapauksista, joissa suora infektio tapahtuu ilman apuasi “exploit kits”.

samoja tekniikoita, joilla roskapostin avulla huijataan ihmisiä asentamaan ja klikkaamaan, käytetään myös tekstiviestillä, WhatsAppilla, Facebook Messengerillä ja jopa puhelinsoitoilla.

taas rikolliset ovat luovia ja sinnikkäitä. He tarvitsevat vain muutaman henkilön klikkaamaan saadakseen koko kampanjansa kannattavaksi.

useimmissa tapauksissa et ole varsinainen kohde – pikemminkin rikolliset lähettävät syöttinsä tuhansille tai miljoonille ihmisille ja odottavat muutaman ihmisen klikkaavan ja tekevän rikollisen päivän.

on muutamia yleisiä tapoja, joilla rikolliset (ja mainostajat!) käytä yrittää saada meidät kääntää aivomme pois ja klikkaa.

nämä ovat asioita, joiden pitäisi saada sinut pysähtymään ja astumaan varovaisesti, kun näet ne:

  • “ilmainen” – juuri tuo sana riittää monissa tapauksissa alennusmyyntiin. Ostaja varokaa!
  • samoin kaikki, mikä on “liian hyvää ollakseen totta” -voititko oikeasti juuri kaikkien kulujen maksaman matkan maailman ympäri? Saitko listan pomojesi palkoista vahingossa? Luultavasti ei.
  • kiireellisyys – “kiire, vain viisi minuuttia jäljellä” – jos joku yrittää saada sinut kiihdyttämään, on erittäin hyvä aika hidastaa ja katsoa tarkkaan.
  • sisäpiiritieto – he tietävät syntymäpäiväsi, pomosi nimen ja sen, missä kävit koulua, sen täytyy olla totta. Paitsi että kaikki tiedot ovat helposti saatavilla verkossa. Älä anna heille lisätietoja ennen kuin olet varma, että he ovat keitä he sanovat olevansa.
  • auktoriteetti – olipa kyse FBI: n “nappaamisesta”, joka tekee jotain tuhmaa tietokoneellasi, tai pomosi, joka käskee sinua kiirehtimään ja siirtämään miljoona dollaria supersalaisesta sopimuksesta, muista, että on hyvin helppoa teeskennellä olevansa joku muu sähköpostin, tekstin tai muiden sovellusten avulla.

kaikissa näissä tapauksissa harkitse kyseisen henkilön tai organisaation todellisen puhelinnumeron tai sähköpostiosoitteen etsimistä yrityksen sisäisestä hakemistosta tai valtion/pankin virallisilta verkkosivuilta ja soita takaisin tarkistaaksesi ennen kuin ryhdyt toimiin.

tässä lisää esimerkkejä temppuista, joita on käytetty tuoreessa koronavirukseen liittyvässä roskapostissa.

Miten Voin Pysyä Turvassa?

tärkein tapa suojautua infostealersilta on asentaa laitteisiinsa hyvä haittaohjelmien torjuntaohjelma. Haittaohjelmien torjuntaohjelmisto suojaa sinua kolmella pääasiallisella tavalla.

ensimmäinen tapa on pysäyttää suoraan infostealer-ohjelmisto, joka yrittää asentaa tai ajaa laitteeseen. Se voi pysäyttää infostealerin sekä tunnistamalla huonon ohjelmiston suoraan (ns.” allekirjoitukset”) että tunnistamalla sen käyttäytymisen (ns.” seuraavan sukupolven ” havaitseminen).

toinen tapa on estää sinua käymästä haitallisilla verkkosivustoilla, jotka ovat monien näiden virusten lähde – toisin sanoen “selailusuojaus”.

ja kolmas tapa on nimenomaan pankki-ja verkko-ostokset, joissa hyvä haittaohjelmistojen torjuntaohjelmisto ottaa käyttöön lisäsuojauksia, kun muodostat yhteyden pankkisi verkkosivustolle vahvistaaksesi, että se ei ole väärennös, ja myös estääkseen muita sovelluksia ja selaimen välilehtiä tekemästä mitään, mikä häiritsisi yhteyttäsi.

tietenkään mikään ei koskaan anna sinulle 100-prosenttista suojaa, eivätkä kaikki tileihisi ja tietoihisi kohdistuvat hyökkäykset tule haittaohjelman kautta.

tästä syystä yksi parhaista asioista, joita useimmat ihmiset voivat tehdä turvallisuutensa parantamiseksi, on aloittaa salasanojen hallinta.

salasananhallintaohjelman avulla voit olla huoleti silloinkin, kun yhden palvelun tietosi paljastuvat, koska salasanasi on sekä vaikea murtaa, että murrettunakin se antaa rikollisille pääsyn vain yhteen tiliin, ei kaikkiin tileihisi.

sen lisäksi salasanojen hallinta on luultavasti helpompaa kuin mitä salasanoilla nykyään tehdäänkään, kiitos helpon automaattitäytön kaikissa laitteissa, eikä koskaan tarvitse käyttää “forgotten my passwordia”.

Keep Calm And Use A Password Manager laptop tarra

Keep Calm And Use a Password Manager laptop tarra

Of course at F-Secure, we are a bit puolueellinen! 😀 Jos haluat, saat multi-device anti-malware ratkaisu ja salasanojen hallinta täällä. Lisäksi Tämä paketti sisältää ID Protection-ratkaisumme, joka varoittaa sinua, jos dark / deep web-skannerimme ja ihmisen tiedustelutiimimme löytävät tietosi verkkorikkomuksissa, ja paketti sisältää myös palkitun VPN-ratkaisumme.

kun käytät salasanojen hallintaohjelmaa ja toivottavasti sellaista, joka ilmoittaa sinulle aina, kun tietojesi rikkominen on havaittu verkossa, seuraava askel on ottaa käyttöön 2-factor (2fa) tai multi-factor authentication (MFA) mahdollisimman monella tililläsi.

MFA auttaa suojaamaan sinua, vaikka salasanasi varastettaisiin, sillä hyökkääjän on vielä saatava tunnuksesi salasanasi lisäksi, jotta hän voi käyttää tietojasi.

Muistatko Android-pankkitroijalaisen yllä? Siksi se halusi luvan lukea Smsesi.

kun kytket MFA: n päälle, voit mahdollisuuksien mukaan määrittää MFA: n puhelimen kertakäyttöisellä SALASANASOVELLUKSELLA (OTP) (esimerkiksi FreeOTP) tai fyysisellä OTP-generaattorilla, kuten Yubikey, sen sijaan, että käyttäisit tekstiviestiä puhelinnumerosi kanssa.

OTP-sovellukset ja fyysiset näppäimet ovat TEKSTIVIESTIÄKIN turvallisempia tapauksissa, joissa olet itse kohteena, koska niin sanotut “SIM-vaihtohyökkäykset” eivät ole mahdollisia. Jos nämä vaihtoehdot eivät ole käytettävissä, ota silti käyttöön tekstiviestipohjainen MFA tililläsi.

mikä tahansa MFA on parempi kuin ei MFA!

viimeinen puolustuslinja olet sinä

tietenkin kaikki nämä suojaukset voi vielä ohittaa, jos annat salasanasi ja tunnuksen hyökkääjälle, joko vahingossa tai pakotettuna.

virheitä sattuu, varsinkin kun on kiire, väsynyt ja stressaantunut. Silti ei ole koskaan hyvä syy antaa jollekulle MFA token – yritä muistaa tämä, ja jos heikkouden hetkellä tunnet itsesi alkavan suostua siihen, toivottavasti hidastat ja pysäytät itsesi.

jos olet tilanteessa, jossa sinut pakotetaan antamaan pääsy tileihisi ja tietoihisi, apua on saatavilla. Esimerkkejä ovat operaatio Safe Escape ja Le Refuge. Jos tämä koskee sinua, ole varovainen, jos se on mahdollista ja turvallista, että käytät näitä resursseja vain aikoina, paikoissa ja laitteilla, jotka eivät ole hyväksikäyttäjäsi tiedossa, esimerkiksi julkisessa kirjastossa.

jos sinua kiristetään tai häiritään varastetuilla, ei-suostumuksellisilla tiedoilla, Cyber Civil Rights Initiativen kaltaiset järjestöt ja C. A. Goldbergin kaltaiset erikoistuneiden uhrien oikeuksien lakifirmat voivat auttaa sinua ottamaan ohjat takaisin.

jos olet aktivisti tai toimittaja ja luulet joutuvasi valtion tukemien infotoimittajien kohteeksi, Citizen Labin kaltaiset organisaatiot voivat auttaa tai ohjata sinua paikallisten luotettavien asiantuntijoiden luo.

Leave a Reply