Czym Są Infostealery?

infostealer to złośliwe oprogramowanie, które próbuje ukraść Twoje informacje. Bardziej złożone złośliwe oprogramowanie, takie jak trojany bankowe (na przykład TrickBot) i stalkerware, zazwyczaj zawierają komponenty infostealer.

w większości przypadków oznacza to kradzież informacji, które mogą zarabiać pieniądze dla cyberprzestępców.

oto kilka rzeczy, które przestępcy mogą ukraść i zamienić w pieniądze:

• informacje o twojej karcie bankowej mogą być używane bezpośrednio lub odsprzedane innym osobom, które dokonują zakupów za pomocą Twojej karty,
• dane logowania do Twojego konta mogą być następnie wykorzystane do kradzieży wcześniejszych zakupów (na przykład zakupów w grze Fortnite lub zakupów w grze Animal Crossing), które można odsprzedać,
• dane logowania do Twojego konta mogą kupować nowe rzeczy, jeśli zapisałeś swoją kartę bankową,
• dane logowania do Twojego konta mogą być sprzedawane samodzielnie:
  • konta są często sprzedawane luzem innym specjalistom od cyberprzestępczości, aby mogli próbować zarabiać,
  • niektóre konta są indywidualnie cenne, na przykład konta na Instagramie lub Snapchacie z poszukiwanymi uchwytami
• potencjalnie Zdjęcia i dokumenty mogą być używane do szantażu lub zarabiania w inny sposób:
  • firmy dotknięte oprogramowaniem ransomware coraz częściej stają przed perspektywą opublikowania ich wewnętrznych danych i własności intelektualnej w internecie, jeśli nie zapłacą
  • w 2014 r.duża liczba znanych kobiet miała bardzo prywatne zdjęcia skradzione ze swoich kont iCloud i opublikowane, co znacznie przyniosło korzyści niektórym nieetycznym właścicielom stron internetowych i pornograficznych.

przestępcy są kreatywni, a to duży, profesjonalny biznes.

przykład trojana bankowego

ataki Infostealera mogą być naprawdę diaboliczne.

Weźmy na przykład działanie trojana bankowego Androida, którego widzieliśmy w 2017 roku.

użytkownik otrzymuje SMS z linkiem do pobrania aplikacji ze śmiesznymi filmami. Po zainstalowaniu są proszeni o zaakceptowanie uprawnień dla aplikacji. Użytkownik bez wątpienia robi to bez sprawdzania, ponieważ w każdym razie nikt nie rozumie wszystkich tych uprawnień.

aplikacja ma kilka prawdziwych “zabawnych filmów” w środku.

jednak jego prawdziwym zadaniem jest czekać, aż otworzysz aplikację bankową. Kiedy widzi, że to robisz, zagląda do swojej biblioteki aplikacji bankowych i używa uprawnień, które mu dałeś, aby narysować na ekranie logowania aplikacji bankowej z fałszywą dokładną kopią ekranu logowania.

wprowadzasz swoje dane logowania, a to kradnie Twoją nazwę użytkownika i hasło. Jednocześnie loguje Cię do prawdziwej aplikacji, która jest ukryta za identycznym fałszywym ekranem logowania, dzięki czemu wszystko wygląda normalnie.

teraz trojan czeka, aż skończysz z bankiem. Następnie ponownie loguje się do banku bez twojej pomocy i próbuje przesłać pieniądze.

gdy tak się stanie, bank wyśle Ci kod SMS w celu potwierdzenia płatności – aplikacja przechwytuje kod za pomocą innego pozwolenia, które dałeś mu podczas instalacji, a nawet usuwa wiadomość SMS, więc nie wiesz, że coś się stało.

nie tylko dla pieniędzy

chociaż pieniądze są zdecydowanie najczęstszym powodem ataków infostealera, nie jest to jedyny powód.

podobnie jak w przypadku iCloud i wielu podobnych przypadków, informacje o najbardziej narażonych osobach naszych społeczeństw (kobietach, dzieciach, osobach LGBTQIA+, osobach kolorowych i innych) są szczególnie kierowane przez tych, którzy starają się wykorzystać tych ludzi lub spowodować ich przemoc.

wiemy, że istnieją bezwstydne “legalne” firmy, które sprzedają stalkerware, sprzedając je specjalnie krajowym sprawcom nadużyć, agresywnym rodzicom i prześladowcom, aby móc szpiegować i kontrolować swoje cele. Z tego powodu F-Secure jest częścią branżowej koalicji przeciwko Stalkerware. Stalkerware to zazwyczaj ukryte trojany, które zawierają dużą część technologii infostealer-kradzież zdjęć celu, historii połączeń, historii czatów, historii lokalizacji i innych.

Infostealery są również używane jako część cyberprzemocy, gdzie dostęp do kont celu może być używany do publikowania krępujących treści, usuwania znajomych, usuwania dostępu lub jako część ogólnej kampanii gazowej.

bardziej ukierunkowane ataki za pomocą infostealerów są dokonywane przez rządy przeciwko aktywistom, dziennikarzom i politykom opozycji, ponownie z pomocą bezwstydnych “legalnych” firm, które sprzedają to złośliwe oprogramowanie wiedząc, jak będzie ono używane.

uważa się, że niesławne morderstwo dziennikarza Jamala Khashoggiego w 2018 r.wiązało się z techologiami infostealera wykorzystywanymi przeciwko jego kolegom, co doprowadziło do morderstwa jednego z jego źródeł i potencjalnie zostało wykorzystane do wcześniejszego poznania jego harmonogramu w celu zaplanowania morderstwa.

dalej na początku 2020 roku dowiedzieliśmy się o podobnym oprogramowaniu używanym przeciwko najbogatszej osobie na świecie, Jeffowi Bezosowi, prawdopodobnie z powodu doniesień gazety Washington Post, której jest właścicielem.

Jak Często Są Infostealerzy?

zgodnie z danymi firmy F-Secure opublikowanymi właśnie w raporcie H1 2020 Attack Landscape, infostealers dominują obecnie wśród 20 największych zagrożeń złośliwym oprogramowaniem, z którymi borykają się użytkownicy.

jeśli dołączasz trojany i szczury (trojany zdalnego dostępu), które również zawierają elementy infostealer, złośliwe oprogramowanie, które kradnie Twoje informacje, stanowi 18 z 20 najważniejszych zagrożeń, przed którymi firma F-Secure musiała chronić użytkowników.

Infostealery również dominują w wiadomościach spamowych, które otrzymują nasi użytkownicy, z 75% załączników e-mail o tematyce koronawirusa, które widzieliśmy dystrybuując Lokibot lub Formbook, infostealery, które zostały dostarczone odpowiednio w 38% i 37% załączników COVID.

w ostatnim miesiącu w Finlandii 131 na 10 tys.użytkowników miało próbę zablokowania infostealera lub trojana przez nasze oprogramowanie – 64% wszystkich zagrożeń.

w Szwecji na 10 tys. użytkowników przypadało 149 infostealer lub Trojan infection próba zablokowana przez nasze oprogramowanie, lub 47% wszystkich zagrożeń napotykanych.

jak Infostealers mnie rozumie?

zdecydowana większość wszystkich infekcji złośliwym oprogramowaniem, w tym infostealers, pochodzi ze spamu.

infekcja następuje poprzez załącznik do wiadomości e-mail lub złośliwą stronę internetową połączoną w wiadomości e-mail.

w przypadku stron internetowych w ostatnich latach większość infekcji pochodzi z nakłaniania Cię do ręcznego pobierania i instalowania oprogramowania ze strony. Nadal widzimy mniejszość przypadków, w których bezpośrednia infekcja dzieje się bez twojej pomocy za pomocą “exploit kits”.

te same techniki, które są używane przez spam e-mail, aby oszukać ludzi do instalacji i klikania, są również używane przez SMS, Whatsapp, Facebook Messenger, a nawet przez połączenia telefoniczne.

znowu przestępcy są kreatywni i wytrwali. Wystarczy kilka osób, aby kliknąć, aby cała kampania była opłacalna.

w większości przypadków nie jesteś specjalnie celem – raczej przestępcy wysyłają swoją przynętę do tysięcy lub milionów ludzi i czekają, aż kilka osób kliknie i zrobi dzień przestępcy.

istnieje kilka typowych sposobów, które przestępcy (i reklamodawcy!) use to try to make us turn our brains off and just click.

to są rzeczy, które powinny sprawiać, że pauza i krok ostrożnie, gdy je zobaczysz:

• “Free” – właśnie to słowo w wielu przypadkach wystarczy, aby uzyskać sprzedaż. Uwaga kupujący!
• podobnie, wszystko, co jest “zbyt piękne, aby mogło być prawdziwe – – czy naprawdę wygrałeś opłaconą podróż dookoła świata? Czy naprawdę przez pomyłkę otrzymałeś listę wszystkich pensji swoich szefów? Prawdopodobnie nie.
• pilność – ” pospiesz się, zostało tylko pięć minut – – jeśli ktoś próbuje cię przyspieszyć, to jest to bardzo dobry moment, aby zwolnić i przyjrzeć się uważnie.
• wiedza poufna-znają twoje urodziny, imię szefa i miejsce, w którym chodziłeś do szkoły, to musi być prawdziwe. Tyle że wszystkie te informacje są łatwo dostępne w Internecie. Nie podawaj im dodatkowych informacji, zanim nie upewnisz się, że są tym, za kogo się podają.
• autorytet – niezależnie od tego, czy FBI “przyłapuje Cię” na robieniu czegoś niegrzecznego na twoim komputerze, czy też twój szef mówi ci, abyś się pospieszył i przelał milion dolarów za super tajną transakcję, pamiętaj, że bardzo łatwo jest udawać kogoś innego za pośrednictwem poczty e-mail, SMS-a lub innych aplikacji.

we wszystkich tych przypadkach rozważ sprawdzenie prawdziwego numeru telefonu lub adresu e-mail tej osoby lub organizacji w wewnętrznym katalogu firmy lub oficjalnej stronie internetowej rządu/banku i oddzwoń, aby sprawdzić przed podjęciem działania.

oto kilka przykładów sztuczek używanych w ostatnim nowym spamie związanym z koronawirusem.

Jak Mogę Być Bezpieczny?

głównym sposobem ochrony przed infostealers jest zainstalowanie dobrego oprogramowania antywirusowego na swoich urządzeniach. Oprogramowanie anty-malware chroni Cię na trzy główne sposoby.

pierwszym sposobem jest bezpośrednie zatrzymanie oprogramowania infostealer, które próbuje zainstalować lub uruchomić na urządzeniu. Może zatrzymać infostealera zarówno poprzez bezpośrednie rozpoznanie złego oprogramowania (tzw.” sygnatury”), jak i poprzez rozpoznanie jego zachowania (tzw.” wykrywanie nowej generacji”).

drugim sposobem jest powstrzymanie odwiedzania złośliwych stron internetowych, które są źródłem wielu tych infekcji-innymi słowy “Ochrona przeglądania”.

a trzeci sposób dotyczy bankowości i zakupów online, w których dobre oprogramowanie antywirusowe włączy dodatkowe zabezpieczenia po połączeniu się ze stroną internetową banku, aby potwierdzić, że nie jest to podróbka, a także aby zatrzymać inne aplikacje i karty przeglądarki, które zrobią wszystko, aby zakłócić połączenie.

oczywiście nic nigdy nie zapewni Ci 100% ochrony, a nie wszystkie ataki na twoje konta i Twoje informacje pochodzą z złośliwego oprogramowania.

z tego powodu jedną z najlepszych rzeczy, które większość ludzi może zrobić, aby poprawić swoje bezpieczeństwo, jest rozpoczęcie korzystania z menedżera haseł.

menedżer haseł pozwala nie martwić się nawet wtedy, gdy dane dotyczące jednej usługi są ujawnione, ponieważ Twoje hasło jest trudne do złamania, a nawet gdy zostanie złamane, zapewni przestępcom dostęp tylko do jednego konta, a nie do wszystkich kont.

co więcej, menedżer haseł jest prawdopodobnie łatwiejszy niż cokolwiek robisz z hasłami dzisiaj, dzięki łatwemu autouzupełnianiu na wszystkich urządzeniach i nigdy nie musisz używać “Zapomniałem hasła”.

oczywiście w F-Secure jesteśmy nieco stronniczy! 😀 Jeśli chcesz, możesz uzyskać nasze rozwiązanie antywirusowe dla wielu urządzeń i nasz menedżer haseł tutaj. Ponadto pakiet zawiera nasze rozwiązanie do ochrony ID, które powiadomi Cię, jeśli nasze skanery sieciowe i zespoły ds. inteligencji ludzkiej znajdą Twoje dane w naruszeniach internetowych, a pakiet zawiera również nasze nagradzane rozwiązanie VPN.

gdy korzystasz z menedżera haseł, który, miejmy nadzieję, powiadamia Cię o każdym wykryciu naruszenia Twoich danych w Internecie, następnym krokiem jest włączenie uwierzytelniania dwuskładnikowego (2FA) lub wieloskładnikowego (MFA) na jak największej liczbie kont.

MFA pomaga chronić Cię, nawet jeśli Twoje hasło zostanie skradzione, ponieważ atakujący nadal będzie musiał uzyskać twój token, oprócz hasła, aby uzyskać dostęp do Twoich informacji.

pamiętasz trojana bankowości Android powyżej? Dlatego chciał pozwolenia na odczyt SMS-ów.

kiedy włączasz MFA, jeśli to możliwe, skonfiguruj MFA za pomocą aplikacji jednorazowego hasła (OTP) w telefonie (na przykład FreeOTP) lub za pomocą fizycznego generatora OTP, takiego jak Yubikey, zamiast używać wiadomości SMS z numerem telefonu.

aplikacje OTP i fizyczne klucze są jeszcze bezpieczniejsze niż SMS w przypadkach, w których jesteś osobiście ukierunkowany, ponieważ tak zwane ataki “sim-swapping” nie są możliwe. Jeśli te opcje nie są dostępne, nadal włączaj MFA oparte na SMS na swoich kontach.

każdy MFA jest lepszy niż żaden MFA!

ostatnią linią obrony jesteś Ty

oczywiście wszystkie te zabezpieczenia można nadal ominąć, jeśli podasz swoje hasło i token atakującemu, czy to przez pomyłkę, czy z powodu przymusu.

Błędy się zdarzają, zwłaszcza gdy jesteśmy zajęci, zmęczeni i zestresowani. Nadal nigdy nie ma dobrego powodu, aby dać komuś swój żeton MFA – staraj się o tym pamiętać, a jeśli w chwili słabości czujesz, że zaczynasz się na to zgadzać, mam nadzieję, że zwolnisz i zatrzymasz się.

jeśli jesteś w sytuacji, w której jesteś zmuszony do udzielenia dostępu do swoich kont i informacji, pomoc jest dostępna. Przykłady obejmują operację Safe Escape i Le Refuge. Jeśli dotyczy to Użytkownika, należy zachować ostrożność, jeśli jest to możliwe i bezpieczne dla użytkownika, aby uzyskać dostęp do tych zasobów tylko w czasie, miejscach i na urządzeniach, które nie są znane sprawcy, na przykład w Bibliotece Publicznej.

jeśli jesteś szantażowany lub nękany kradzieżą nie wyrażających zgody informacji, organizacje takie jak Cyber Civil Rights Initiative oraz specjalistyczne kancelarie prawne ds. praw ofiar, takie jak C. A. Goldberg, mogą być w stanie pomóc ci odzyskać kontrolę.

jeśli jesteś aktywistą lub dziennikarzem i myślisz, że możesz być celem sponsorowanych przez państwo infostealerów, organizacje takie jak Citizen Lab mogą być w stanie pomóc lub skierować cię do lokalnych zaufanych ekspertów.