2007 rokiem phishingu
W 2006 r. spadła liczba ataków przy użyciu wirusów i robaków internetowych, wzrosła liczba ataków hackerskich na firmy, w tym banki - poinformowali w raporcie analitycy firmy F-Secure.
Według analityków F-Secure, w 2006 roku zlokalizowano tylko 3 lokalne ogniska rozsyłania wirusów (głównie USA i Azja). Odnotowano dwie epidemie robaków pocztowych - Nyxem i Warezov. W poprzednich latach notowano średnio 5-7 dużych epidemii robaków pocztowych rocznie.
Masowe ataki z użyciem robaka Warezov zaczęły się w sierpniu br., a robaka Nyxem - w lipcu. Epidemia Warezov była poważniejsza - robak ten rozsyłał się automatycznie jako załącznik w wiadomościach e-mail na adresy wyszukane w zainfekowanych komputerach.
Warezov działał "z opóźnionym zapłonem" - po zarażeniu nim komputery pobierały z serwera dodatkowe komponenty, które po kilku dniach lub nawet tygodniach łączyły się z pirackimi stronami www, pobierały od nich spam i rozsyłały w milionach kopii. Wszystkie serwery spamowe znajdowały się w Chinach.
Według analityków F-Secure, w 2006 r. zaczęły się zmasowane ataki hackerskie na serwisy społecznościowe w Internecie (zrzeszające grupy internautów zainteresowanych określonym tematem). MySpace.com został zaatakowany robakiem Flash w lipcu i Samy w październiku. Ten drugi atak był złośliwy: robak dodawał losowo wybrane osoby do kręgu "znajomych". W efekcie można było zyskać w ciągu kilku godzin milion "przyjaciół". Robak Flash przekierowywał użytkowników MySpace.com na płatne strony pornograficzne.
Innym rodzajem ataku był nowy rodzaj phishingu (wysyłanie fałszywych e-maili, rzekomo od banków i instytucji finansowych, skłaniających nadawcę, aby na podrobionej stronie banku podał dane swojego konta i karty kredytowej-PAP). Nowy phishing wykorzystuje strony o adresach łudząco podobnych do prawdziwych, ale zawierających litery akcentowane zamiast normalnych, np. akcentowane "a" oraz "i". Powstawały w ten sposób nazwy witryn trudne do odróżnienia od normalnych.
Atak kierowany był przede wszystkim przeciwko bankom i instytucjom płatności internetowych. Hackerzy przechwytywali dane użytkownika w momencie logowania do serwisów (fałszywych) i przesyłali je do prawdziwego serwisu PayPal, zdobywając w ten sposób kontrolę nad kontem.
Według analityków F-Secure właśnie ataki na serwisy społecznościowe i zaawansoway phishing mogą być największymi zagrożeniami bezpieczeństwa internetowego w 2007 r.
Phishing (spoofing)
- w branży komputerowej, to oszukańcze pozyskanie poufnej informacji osobistej, takiej jak hasło czy szczegóły karty kredytowej, przez osoby do tego nie uprawnione. Jest to rodzaj ataku opartego na inżynierii społecznej. Termin ten został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta z AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla "zweryfikowania konta" lub "potwierdzenia informacji w rachunku". Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.
