Ce Sunt Infostealers?

un infostealer este un software rău intenționat (malware) care încearcă să vă fure informațiile. Programele malware mai complexe, cum ar fi troienii bancari (de exemplu TrickBot) și stalkerware includ de obicei componente infostealer.

în cele mai multe cazuri, acest lucru înseamnă furtul de informații care pot face bani pentru infractorii cibernetici.

iată câteva lucruri pe care infractorii le pot fura și transforma în bani:

  • informațiile cardului dvs. bancar pot fi utilizate direct sau revândute altor persoane care fac achiziții cu cardul dvs.,
  • conectările contului dvs. pot fi apoi utilizate pentru a vă fura achizițiile anterioare (de exemplu, achizițiile Fortnite sau Animal Crossing în joc) care pot fi revândute,
  • conectările contului dvs. pot cumpăra lucruri noi dacă ați salvat cardul bancar,
  • conectările contului dvs. pot cumpăra lucruri noi dacă ați salvat cardul bancar,
  • conectările contului fi vândute ei înșiși:
    • conturile sunt adesea vândute în vrac către alți specialiști în criminalitate cibernetică pentru ca aceștia să încerce să genereze bani,
    • unele conturi sunt valoroase individual, de exemplu conturi Instagram sau Snapchat cu mânere căutate
  • fotografiile și documentele potențial pot fi utilizate pentru șantaj sau monetizate în alte moduri:
    • companiile lovite de ransomware se confruntă din ce în ce mai mult cu perspectiva publicării online a datelor lor interne și a proprietății intelectuale dacă nu plătesc
    • în 2014, un număr mare de femei celebre au avut fotografii extrem de private furate din conturile lor iCloud și publicate, lucru care a profitat în mod semnificativ de anumiți proprietari de site-uri de mesaje neetice și de pornografie.

infractorii sunt creativi și acest lucru este mare, profesional, de afaceri.

exemplu de troian bancar

exemplu de troian bancar Android cu capturi de ecran pas cu pas

exemplu de troian bancar Android cu capturi de ecran pas cu pas

atacurile Infostealer pot fi cu adevărat diabolice.

luați, de exemplu, funcționarea unui troian bancar Android pe care l-am văzut răspândindu-se în 2017.

utilizatorul primește un SMS cu un link pentru a descărca o aplicație cu videoclipuri amuzante. Când se instalează, li se cere să accepte permisiunile pentru aplicație. Utilizatorul face fără îndoială acest lucru fără a verifica, pentru că oricum nimeni nu înțelege toate aceste permisiuni.

aplicația are câteva “videoclipuri amuzante” reale în interior.

totuși, sarcina sa reală este să așteptați să vă deschideți aplicația bancară. Când vă vede că faceți acest lucru, se uită în biblioteca sa de aplicații bancare și folosește permisiunea pe care i-ați dat-o pentru a desena în partea de sus a ecranului de conectare al aplicației dvs. bancare cu o copie exactă falsă a ecranului de conectare.

introduceți detaliile de conectare și vă fură numele de utilizator și parola. În același timp, vă conectează la aplicația reală care este ascunsă în spatele ecranului de autentificare fals identic, astfel încât totul să pară normal pentru dvs.

acum troianul vă așteaptă să terminați cu banca. Apoi se conectează din nou la banca dvs. fără ajutorul dvs. și încearcă să vă transfere banii.

când se întâmplă acest lucru, banca vă trimite un cod SMS pentru a confirma plata – aplicația captează codul folosind o altă permisiune pe care i-ați dat-o la momentul instalării și chiar șterge mesajul SMS, astfel încât să nu știți că s-a întâmplat nimic.

diabolic!

nu numai pentru bani

în timp ce banii sunt de departe cel mai frecvent motiv pentru atacurile infostealer, nu este singurul motiv.

ca și în cazul iCloud și al multor cazuri similare, informațiile despre persoanele cele mai vulnerabile ale societăților noastre (femei, copii, persoane LGBTQIA+, persoane de culoare și altele) sunt vizate în mod specific de cei care încearcă să exploateze aceste persoane sau să le provoace violență.

știm că există companii “legale” nerușinate care vând stalkerware, comercializându-l în mod special abuzatorilor casnici, părinților abuzivi și stalkerilor pentru a-și putea spiona și controla țintele. Acesta este motivul pentru care F-Secure face parte din coaliția la nivel de industrie împotriva Stalkerware. Stalkerware sunt, în general, troieni ascunși, care includ o parte grea a tehnologiei infostealer – furtul fotografiilor unei ținte, istoricul apelurilor, istoricul chat-ului, istoricul locațiilor și multe altele.

Infostealers sunt, de asemenea, utilizate ca parte a agresiunii cibernetice, unde accesul la conturile unei ținte poate fi utilizat pentru a posta conținut jenant, pentru a elimina prietenii, a elimina accesul sau ca parte a unei campanii generale de iluminare pe gaz.

mai multe atacuri direcționate folosind infostealers sunt comise de guverne împotriva activiștilor, jurnaliștilor și politicienilor din opoziție, din nou cu ajutorul companiilor “legale” nerușinate care vând acest malware știind cum va fi folosit.

infama crimă din 2018 a jurnalistului Jamal Khashoggi, de exemplu, se crede că a implicat tehnologii infostealer folosite împotriva colegilor săi, ducând la uciderea uneia dintre sursele sale și, eventual, a fost folosit pentru a-și cunoaște programul în avans pentru a-și planifica crima.

mai departe, la începutul anului 2020, am aflat despre un software similar folosit împotriva celui mai bogat om din lume, Jeff Bezos, probabil din cauza rapoartelor ziarului Washington Post pe care îl deține.

Cât De Frecvente Sunt Infostealers?

potrivit datelor F-Secure publicate în raportul H1 2020 Attack Landscape, infostealers domină acum primele 20 de amenințări malware cu care se confruntă utilizatorii.

dacă includeți troieni și șobolani (troieni cu acces la distanță) care conțin și elemente infostealer, malware-ul care vă fură informațiile reprezintă 18 Din primele 20 de amenințări F-Secure a trebuit să ne protejeze utilizatorii.

 top 20 de amenințări văzute de F-Secure în H1 2020

top 20 de amenințări văzute de F-Secure în H1 2020

Infostealers domină, de asemenea, e-mailul spam pe care îl primesc utilizatorii noștri, cu 75% din atașamentele de e-mail tematice coronavirus pe care le-am văzut distribuind fie Lokibot, fie Formbook, infostealers care au fost găsite livrate în 38% și respectiv 37% din atașamentele COVID.

 exemplu de e-mail spam din lumea reală, pretinzând că este de la o bancă importantă, folosit pentru a distribui LokiBot infostealer/troian.

exemplu de e-mail spam din lumea reală, pretinzând că este de la o bancă majoră, folosit pentru a distribui LokiBot infostealer/troian.

în ultima lună în Finlanda, 131 din fiecare 10K utilizatori au avut o încercare de infecție infostealer sau troian blocat de software – ul nostru-64% din toate amenințările cu care se confruntă.

 top 10 Amenințări detectate de F-Secure End-Point Protection software în Finlanda în ultima lună (2020-Sep)

top 10 Amenințări detectate de F-Secure End-Point Protection software în Finlanda în ultima lună (2020-Sep)

Amenințări detectate de software-ul de Protecție la punctul final F-Secure în Finlanda în ultima lună (2020-Sep) împărțit în funcție de tipul de amenințare

Amenințări detectate de software-ul de Protecție la punctul final F-Secure în Finlanda în ultima lună (2020-Sep) împărțit în funcție de tipul de amenințare

pentru Suedia au fost 149 din fiecare 10K infostealer sau încercare de infecție troian blocat de software-ul nostru, sau 47% din toate amenințările cu care se confruntă.

 top 10 Amenințări detectate de software-ul de Protecție la punctul final F-Secure în Suedia în ultima lună (2020-Sep)

top 10 Amenințări detectate de software-ul de Protecție la punctul final F-Secure în Suedia în ultima lună (2020-Sep)

Amenințări detectate de software-ul de Protecție la punctul final F-Secure în Suedia în ultima lună (2020-Sep) împărțit în funcție de tipul de amenințare

Amenințări detectate de software-ul de Protecție la punctul final F-Secure în Suedia în ultima lună (2020-Sep) împărțit în funcție de tipul de amenințare

cum mă obțin Infostealerii?

marea majoritate a tuturor infecțiilor malware, inclusiv infostealers, vine prin e-mailuri spam.

infecția se face fie printr-un atașament la e-mail, fie printr-un site web rău intenționat legat în e-mail.

pentru site-urile web, în ultimii ani majoritatea infecțiilor provin din păcălirea dvs. în descărcarea și instalarea manuală a software-ului de pe site. Vedem încă o minoritate de cazuri în care infecția directă se întâmplă fără ajutorul dvs. prin “kituri de exploatare”.

aceleași tehnici folosite de e-mailurile spam pentru a păcăli oamenii să instaleze și să facă clic sunt folosite și prin SMS, Whatsapp, Facebook Messenger și chiar prin apeluri telefonice.

din nou, infractorii sunt creativi și persistenți. Au nevoie doar de câțiva oameni care să facă clic pentru a-și face întreaga campanie profitabilă.

în majoritatea cazurilor, nu sunteți în mod specific ținta – mai degrabă infractorii își trimit momeala la mii sau milioane de oameni și așteaptă câțiva oameni să facă clic și să facă ziua criminalului.

există câteva modalități comune prin care infractorii (și agenții de publicitate!) utilizați pentru a încerca să ne facă să ne întoarcem creierii și doar să faceți clic.

acestea sunt lucruri care ar trebui să te facă să te oprești și să pășești cu precauție când le vezi:

  • “gratuit” – doar acest cuvânt este suficient în multe cazuri pentru a obține o vânzare. Cumpărător atenție!
  • în mod similar, orice este “prea frumos ca să fie adevărat” – ați câștigat într-adevăr o călătorie plătită cu toate cheltuielile în jurul lumii? Chiar ai primit din greșeală o listă cu toate salariile șefilor tăi? Probabil că nu.
  • urgență – “grăbește – te grăbește-te, au mai rămas doar cinci minute” – dacă cineva încearcă să te facă să accelerezi, acesta este un moment foarte bun pentru a încetini și a privi cu atenție.
  • cunoștințe din interior – știu ziua ta de naștere, numele șefului tău și unde ai mers la școală, trebuie să fie reală. Cu excepția toate că informațiile sunt ușor disponibile on-line. Nu le oferi informații suplimentare înainte de a fi siguri că sunt cine spun că sunt.
  • autoritate – fie că este FBI-ul “prinderea tine” face ceva obraznic pe computer, sau șeful tău vă spune să se grăbească și să transfere un milion de dolari pentru o afacere super secret, amintiți-vă că este foarte ușor să pretindă a fi altcineva prin e-mail, text, sau alte aplicații.

în toate aceste cazuri, luați în considerare căutarea numărului de telefon real sau a adresei de e-mail a acelei persoane sau organizații pe directorul companiei dvs. interne sau pe site-ul oficial al Guvernului/băncii dvs. și apelați înapoi pentru a verifica înainte de a lua o acțiune.

iată câteva exemple de trucuri utilizate în spamul recent legat de coronavirus.

Cum Pot Fi În Siguranță?

principala modalitate de a vă proteja împotriva infostealers este de a instala un software bun anti-malware pe dispozitivele dvs. Software-ul Anti-malware vă protejează în trei moduri principale.

prima modalitate este prin oprirea directă a software-ului infostealer care încearcă să instaleze sau să ruleze pe dispozitivul dvs. Poate opri un infostealer atât prin recunoașterea directă a software-ului rău (așa-numitele “semnături”), cât și prin recunoașterea comportamentului său (așa-numita detectare “next-gen”).

a doua cale este prin oprirea vă vizitează site – urile rău intenționate, care sunt sursa de o mulțime de aceste infecții-cu alte cuvinte “protecție de navigare”.

și a treia cale este specifică serviciilor bancare și cumpărăturilor online, unde software-ul anti-malware bun va activa protecții suplimentare atunci când vă conectați la site-ul băncii dvs. pentru a vă confirma că nu este un fals și, de asemenea, pentru a opri alte aplicații și file de browser să facă orice pentru a interfera cu conexiunea dvs.

desigur, nimic nu vă va oferi vreodată protecție 100% și nu toate atacurile asupra conturilor și informațiilor dvs. vin prin malware.

din acest motiv, unul dintre cele mai bune lucruri pe care majoritatea oamenilor le pot face pentru a-și îmbunătăți securitatea este să înceapă să utilizeze un manager de parole.

un manager de parole vă permite să nu vă faceți griji chiar și atunci când datele dvs. pentru un serviciu sunt expuse, deoarece parola dvs. este atât de greu de spart, și chiar și atunci când este crăpată, va oferi infractorilor acces la un singur cont, nu la toate conturile dvs.

nu numai că, un manager de parole este, probabil, mai ușor decât orice ai face cu parolele astăzi, datorită completare automată ușoară pe toate dispozitivele, și niciodată nu trebuie să folosească “am uitat parola”.

 Păstrați-vă calmul și folosiți un autocolant pentru laptop Manager de parole

Păstrați-vă calmul și folosiți un autocolant pentru laptop Manager de parole

desigur, la F-Secure, suntem puțin părtinitori! Dacă doriți, puteți obține soluția noastră anti-malware multi-dispozitiv și managerul nostru de parole aici. În plus, pachetul include soluția noastră de protecție ID, care vă va avertiza dacă scanerele noastre web întunecate/profunde și echipele de informații umane vă găsesc datele în încălcări online, iar pachetul include și soluția noastră VPN premiată.

odată ce utilizați un manager de parole și, sperăm, unul care vă anunță ori de câte ori a fost detectată o încălcare a datelor dvs. online, următorul pas este să activați Autentificarea cu 2 factori (2FA) sau multi-factor (MFA) pe cât mai multe dintre conturile dvs.

MFA vă ajută să vă protejați chiar dacă parola dvs. este furată, deoarece atacatorul va trebui în continuare să obțină jetonul dvs., pe lângă parola dvs., pentru a vă putea accesa informațiile.

vă amintiți troianul bancar Android de mai sus? De aceea a vrut permisiunea de a citi SMS-urile.

când porniți AMF, dacă este posibil, configurați AMF utilizând o aplicație One Time Password (OTP) pe telefon (de exemplu FreeOTP) sau cu un generator fizic OTP ca un Yubikey, în loc să utilizați SMS cu numărul dvs. de telefon.

aplicațiile OTP și cheile fizice sunt chiar mai sigure decât SMS-urile în cazurile în care sunteți vizat personal, deoarece așa-numitele atacuri “SIM-swapping” nu sunt posibile. Dacă aceste opțiuni nu sunt disponibile, vă rugăm să activați în continuare AMF pe bază de SMS în conturile dvs.

orice MAE este mai bun decât Niciun Mae!

ultima linie de apărare ești tu

desigur, toate aceste protecții pot fi încă ocolite dacă dai parola și jetonul atacatorului, fie din greșeală, fie pentru că ești constrâns.

se întâmplă greșeli, mai ales atunci când suntem ocupați, obosiți și stresați. Totuși, nu există niciodată un motiv bun pentru a oferi cuiva jetonul dvs. de MAE – încercați să vă amintiți acest lucru și, dacă într-un moment de slăbiciune, vă simțiți că începeți să fiți de acord să faceți acest lucru, sperăm că vă veți încetini și vă veți opri.

dacă vă aflați într-o situație în care sunteți constrâns să oferiți acces la conturile și informațiile dvs., ajutorul este disponibil. Exemplele includ operațiunea Safe Escape și le Refuge. Dacă acest lucru este valabil pentru dvs., vă rugăm să aveți grijă, acolo unde este posibil și sigur pentru dvs., să accesați aceste resurse numai în momente, locuri și pe dispozitive care nu sunt cunoscute de agresorul dvs., de exemplu la o bibliotecă publică.

dacă sunteți șantajat sau hărțuit cu informații neacordate furate, organizații precum Cyber Civil Rights Initiative și firme specializate de avocatură pentru drepturile victimelor, cum ar fi C. A. Goldberg, vă pot ajuta să preluați controlul.

dacă sunteți activist sau jurnalist și credeți că ați putea fi vizat de infostealeri sponsorizați de stat, organizații precum Citizen Lab ar putea să vă ajute sau să vă îndrepte către experți locali de încredere.

Leave a Reply