Hlavní navigace

Databáze loginů: Kolik byste zaplatili?

14. 2. 2012
Doba čtení: 4 minuty

Sdílet

Login
Login
Škodlivý kód už jen zřídkakdy promaže vaše data, spíše se zajímá o zajímavé informace. Na vzestupu je malware cílící na krádež přihlašovacích údajů, tedy ceněného a populárního artiklu.

Facebook je velice často spojován s potenciálními hrozbami ochrany soukromí, za které si uživatelé nemohou sami, i takovými, které jdou čistě na jejich vrub. Jak jsme vás nedávno informovali v aktuální zprávičce, byl společností Trusteer Research objeven takzvaný „Factory Outlet“, který ve velkém nabízí kradené účty nejen právě v rámci Facebooku, ale i Twitteru. Databáze navíc obsahují také přístupové údaje pro účty cPanel – jedno z populárních administračních rozhraní.

Trusteer Research správně upozorňuje na to, že speciálně připravený škodlivý kód, který je zaměřený na dolování peněz, může efektivně útočit na stránky nabízející služby internetového bankovnictví. Společně s tím samozřejmě na infikovaném počítači dokáže sbírat také další přihlašovací údaje, a právě tento krok je často na začátku řetězu obchodu s databázemi přihlašovacích informací, které jsou nadále nejen zpeněžitelné, ale také samostatně zneužitelné.

Jak se vlastně začínající i pokročilí uživatelé mohou nachytat, tedy se stát součástí sítě infikovaných počítačů, které potají sbírají přihlašovací údaje? Typickou ukázku představuje například velice slavný Zeus: trojský kůň, který v uplynulých letech postihl mnoho nic netušících lidí. Tvůrci trojského koně Zeus zvolili tento typ malwaru záměrně, jelikož své nebezpečí šíří prostřednictvím zpráv a programů, které na první pohled vykonávají jinou činnost. Poprvé byl Zeus identifikován ve phishingových odkazech a podvržených odkazech ke stažení jakoby legitimního softwaru, a to v polovině roku 2007. Od té doby došlo k vybudování velkého botnetu, které nyní dle odhadů obsahuje miliony kompromitovaných počítačů.

Zajímavé na vykradači hesel názvem Zeus je možnost jeho přizpůsobení. Odpovídající zdrojový kód totiž v květnu loňského roku unikl a malwaroví tvůrci si jej tedy mohou přizpůsobit (a přizpůsobují) dle svých potřeb. Právě to je oním pomyslným svatým grálem při krádeži citlivých informací, díky pár modifikacím si původní malware mohou pokročilejší virotvůrci upravit k útoku na prakticky libovolnou webovou službu vyžadující přihlašování prostřednictvím klasických formulářů. Navíc lze Zeus v kombinaci s tím i zakoupit, například dle Wikipedie se cena na undergroundových fórech pohybuje od 700 dolarů do 15 000 dolarů v závislosti na verzi a její vybavenosti.

Podíl Rustocku na spamu
Botnety mají velký podíl na všech „akcích“, hlavně na rozesílání spamu. Mnoho radosti v historii přineslo například odstavení Rustocku. Zdroj: Symantec

Kterou verzi za kolik?

Na začátku zpeněžení uživatelových přihlašovacích údajů je tedy získání odpovídajících informací, typicky dle scénáře, který byl popsán v principu fungování malwaru Zeus. Jakmile je odpovídající databáze vybudovaná, přichází na řadu nejdůležitější krok: jak ji zpeněžit? Právě konkrétní ukázku poskytla aktuální, výše citovaná zpráva Trusteer Research. Útočníci nabízejí přihlašovací údaje k Facebooku, Twitteru a dalším službám, které patří uživatelům z celého světa.

S trochou nadsázky nelegální obchod s databázemi připomíná prodej kteréhokoliv jiného artiklu. Je libo základní výbavu v podobě přihlašovacích údajů uživatelů dle služby? Nebo konkrétní podskupinu podle vybrané geografické oblasti? Či si připlatíte za rozšíření ztělesněné přidruženými e-mailovými adresami? Přesně taková je nabídka jednotlivých variant aktuálně dostupné ucelené databáze, prodávající přitom neprozrazují počet infikovaných strojů, chlubí se však dostupností 80 GB dat odcizených jednotlivým uživatelům.

Další z publikovaných informací, s nimiž se nyní dle aktuální analýzy čile obchoduje, představují přihlašovací údaje k administračnímu rozhraní cPanel, které slouží ke správě hostovaných webových stránek. Útočníci po vybudování databáze nyní prodávají potřebné dvojice v podobě adresy daných stránek a přihlašovacích údajů. Pokud pak někdo prostřednictvím těchto informací získá kompletní přístup do administrace, může upravit konfiguraci například tak, že stránky budou sloužit jako zdroj malwaru či zprostředkují jakékoliv jiné riziko.

Někdy je až s podivem, že podobné nabídky a výsledné obchody nekončí hromadným zatýkáním a dalšími postihy jednotlivých kyberzločinců, kteří nabízení informace zjevně nelegálním způsobem ukradli. Identitu samozřejmě co nejvíc skrývají, například v případě zmíněné nabídky publikované společností Trusteer Research byl jako kontakt uveden účet v rámci JabberID a možnost oslovení prostřednictvím ICQ. K tomu jsou standardem konkrétní možnosti platby a jejich omezení.

Nabídka databáze
Původní screenshot s nabídkou databáze. Zdroj: Trusteer Research

Ochrana jako kdykoliv jindy

Čas již dostatečně prokázal, že právě botnety mohou být nejvíce problematické, a to kvůli popsané tiché hrozbě. Jejich tvůrci navíc nemusí usilovat „pouze“ o krádeže hesel, rozesílání spamu nebo hromadné útoky, v čele například s DDoS, ale nabízí se jim také možnost pronájmu takto systematicky vytvořených sítí – pokud chce někdo další rozeslat nevyžádanou poštu, případně odrovnat konkurenci odepřením služby, stáčí se veškeré otázky jen k ceně. Jakmile je však již botnet vybudovaný a postupně díky původnímu škodlivému kódu dlouhodobě sbírá uživatelovy přístupové údaje, lze obchodem s takovýmito databázemi vydělat okamžité peníze.

CIF24

Základem obrany by podobně jako v případě jiných hrozeb mělo být zamezení vzniku botnetů, které pak jsou využitelné k čemukoliv, a tedy u koncových uživatelů. Paradoxně si tak brání i své soukromí, jelikož botnetem později ukradené přihlašovací informace mohou patřit právě jim. Z druhé strany pak stojí další trend dneška: uživatelé se často sami dobrovolně do botnetů zapojují, aktuálně hlavně v případě organizovaných DDoS útoků. Botnety tak mohou mít dvě tváře, záleží na tom, kdo od nich co očekává a jakou cestou získat potenciální oběti.

Jak tedy zabránit krádežím hesel a dalším útokům z botnetů? V první řadě by uživatelé i síťoví administrátoři měli dbát na to, aby se nestali jeho součástí – v případě trojských koňů a dalších cest, jak zotročit další počítač, dokáže v drtivé většině případů ochranu poskytnout pravidelně aktualizovaný a správně nastavený antivir. Jestliže z počítačů vytváří součásti botnetu síťový červ, poskytnou obranu komplexnější řešení a pravidelně záplatovaný systém. Krádeží hesel a botnetů se jen tak nezbavíme, útočníci budou chtít stále vydělávat, a tak jim to zbytečně neusnadňujme.

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).