Zagrożenia bankowe i finansowe w Internecie

Większość cyberprzestępstw finansowych popełnianych jest przy użyciu keyloggerów, ponieważ programy te stanowią najbardziej wszechstronne i niezawodne narzędzie do śledzenia informacji elektronicznych. Termin "keylogger" sam w sobie jest neutralny, a samo słowo odnosi się do funkcji programu. Większość źródeł definiuje keyloggera jako oprogramowanie, którego celem jest monitorowanie i rejestrowanie wszystkich uderzeń klawiszy bez wiedzy użytkownika.

Keyloggery

Definicja ta nie jest całkowicie poprawna, ponieważ keylogger nie musi być oprogramowaniem - może być urządzeniem. Keyloggery sprzętowe występują o wiele rzadziej niż programowe, jednak gdy chodzi o bezpieczeństwo informacji, nie możemy zapominać o ich istnieniu.

Legalne programy mogą posiadać funkcję rejestrowania uderzeń klawiszy, która służy między innymi do wywoływania pewnych funkcji programu przy użyciu klawiszy skrótu lub przełączania się na różne układy klawiatury (np. Keyboard Ninja). Istnieje również wiele legalnych programów, które pozwalają administratorom śledzić, co w ciągu dnia robią pracownicy, lub umożliwiają użytkownikom śledzenie czynności wykonywanych na ich komputerach przez osoby trzecie. Łatwo jednak przekroczyć etyczną granicę między uzasadnionym monitorowaniem a szpiegowaniem. Legalne oprogramowanie jest często celowo wykorzystywane do kradzieży poufnych informacji użytkowników, takich jak hasła.

Większość współczesnych keyloggerów uznawanych jest za legalne oprogramowanie czy sprzęt i można je kupić na otwartym rynku. Programiści i producenci podają długą listę przypadków, w których użycie keyloggera jest legalne lub w mniejszym lub większym stopniu uzasadnione:

• Ochrona rodzicielska: rodzice mogą śledzić, co robią ich dzieci w Internecie. Jeśli wybiorą taką opcje, mogą być powiadamiani o wszelkich próbach uzyskania dostępu do stron WWW zawierających treści przeznaczone tylko dla dorosłych lub w jakiś inny sposób nieodpowiednie dla dzieci;
• Zazdrośni małżonkowie lub partnerzy mogą wykorzystać keyloggera, aby śledzić aktywność w Internecie swojej drugiej połówki, jeśli podejrzewają "wirtualną zdradę" :-)
• Bezpieczeństwo firmy: śledzenie wykorzystywania komputerów do celów niezwiązanych z pracą lub używania stacji roboczych po godzinach pracy;
• Bezpieczeństwo firmy: wykorzystanie keyloggerów, aby śledzić wprowadzanie kluczowych słów i fraz związanych z informacjami handlowymi, które w przypadku ujawnienia mogą zaszkodzić firmie (szkody materialne lub inne);
• Inne bezpieczeństwo (np. organy ścigania): wykorzystanie danych uzyskanych za pomocą keyloggera do analizowania i śledzenia incydentów związanych z użyciem komputerów osobistych;
• Inne.

Jednak podane wyżej powody mają charakter bardziej subiektywny niż obiektywny; w wymienionych sytuacjach możliwe jest zastosowanie innych metod. Ponadto, każdy legalny program rejestrujący uderzenia klawiszy może być użyty w celach szkodliwych lub przestępczych. Obecnie keyloggery wykorzystywane są głównie do kradzieży danych użytkownika związanych z różnymi systemami płatności online, a twórcy wirusów nieustannie tworzą w tym celu nowe trojany keyloggery.

Ponadto, wiele keyloggerów ukrywa się w systemie (tj. mają funkcjonalność rootkita), przez co stanowią pełnoprawne programy trojańskie.

Ponieważ keyloggery są coraz powszechniej wykorzystywane przez cyberprzestępców, ich wykrywanie staje się priorytetem firm antywirusowych. System klasyfikacji szkodliwego oprogramowania firmy Kaspersky Lab zawiera specjalną kategorię dla szkodliwych programów z funkcjonalnością rejestrowania uderzeń klawiszy: Trojan-Spy. Programy typu Trojan-Spy, jak sugeruje ich nazwa, śledzą aktywność użytkownika, zapisują te informacje na jego dysku twardym, a następnie przesyłają je autorowi trojana lub osobie, która go kontroluje. Zebrane informacje obejmują uderzenia klawiszy i zrzuty ekranu, które są wykorzystywane do kradzieży danych bankowych lub pomagają w dokonywaniu oszustw internetowych.

Dlaczego keyloggery stanowią zagrożenie

W przeciwieństwie do innych typów szkodliwego oprogramowania, keyloggery nie stanowią zagrożenia dla samego systemu. Są jednak poważnym zagrożeniem dla użytkowników, ponieważ mogą być wykorzystywane do przechwytywania haseł i innych poufnych informacji wprowadzanych z klawiatury. W rezultacie, w ręce cyberprzestępców mogą wpaść kody PIN i numery kont w systemach płatności online, hasła do kont gier internetowych, adresy e-mail, nazwy użytkowników, hasła poczty elektronicznej itd.

Jak tylko cyberprzestępca zdobędzie poufne dane użytkownika, bez trudu może przelać pieniądze z konta użytkownika lub uzyskać dostęp do konta gry online. Niestety dostęp do poufnych danych ma niekiedy daleko poważniejsze konsekwencje niż utrata kilku dolarów. Keyloggery mogą posłużyć jako narzędzia w szpiegostwie przemysłowym oraz politycznym, do uzyskania dostępu do danych obejmujących zastrzeżone informacje handlowe i poufne materiały rządowe, które mogłyby zagrozić bezpieczeństwu organizacji prywatnych i państwowych (np. poprzez kradzież prywatnych kluczy szyfrowania).

Keyloggery, phishing i socjotechnika (zobacz artykuł Komputery, sieci i kradzież: http://www.viruslist.pl/analysis.html?newsid=326) stanowią obecnie główne metody wykorzystywane w oszustwach cybernetycznych. Użytkownicy świadomi kwestii bezpieczeństwa mogą łatwo zabezpieczyć się przed phishingiem poprzez ignorowanie wiadomości phishingowych oraz niepodawanie informacji osobowych na podejrzanych stronach WWW. Trudniej jest walczyć z keyloggerami; jako że użytkownik zwykle nie jest w stanie stwierdzić, czy na jego komputerze został zainstalowany keylogger, jedyną metodą jest korzystanie z odpowiedniego rozwiązania bezpieczeństwa.

Według Cristine Hoepers, szefa brazylijskiego zespołu Computer Emergency Response Team, który działa pod egidą Internet Steering Committee tego kraju, keyloggery zepchnęły phishing z pierwszej pozycji na liście najczęściej wykorzystywanych metod w kradzieży poufnych informacji. Co więcej, keyloggery stają się bardziej ?wyrafinowane" - śledzą odwiedzane przez użytkownika strony WWW i rejestrują tylko te uderzenia klawiszy, które odnoszą się do stron WWW istotnych z punktu widzenia cyberprzestępcy.

W ostatnich latach nastąpił znaczny wzrost liczby różnych rodzajów szkodliwych programów posiadających funkcjonalność keyloggera. Żaden użytkownik Internetu nie jest bezpieczny przed cyberprzestępcami, bez względu na to, gdzie się znajduje i dla jakiej organizacji pracuje.

W jaki sposób cyberprzestępcy wykorzystują keyloggery

Jednym z najbardziej nagłośnionych przez media incydentów dotyczących keyloggera była kradzież ponad 1 miliona dolarów z kont największego skandynawskiego banku Nordea. W sierpniu 2006 r. klienci tej instytucji zaczęli otrzymywać wiadomości e-mail, pochodzące rzekomo z Nordea, zalecające zainstalowanie produktu antyspamowego, który miał być załączony do wiadomości. Po tym jak użytkownik otworzył plik i pobrał go na swój komputer, maszyna była infekowana dobrze znanym trojanem Haxdoor. Szkodnik aktywował się podczas rejestrowania się ofiary w serwisie online banku Nordea i wyświetlał komunikat o błędzie z prośbą o powtórne wprowadzenie informacji rejestracyjnych. Zawarty w trojanie keylogger rejestrował dane wprowadzane przez klientów banku, a następnie wysyłał je na serwer cyberprzestępców. W ten sposób cyberprzestępcy mogli uzyskać dostęp do kont klientów i przelać zgromadzone na nich pieniądze. Według autora Haxdoora, trojan ten był również wykorzystywany w atakach na australijskie banki i wielu innych.

24 stycznia 2004 r. poważną epidemię spowodował robak Mydoom. MyDoom pobił rekord, który wcześniej należał do robaka Sobig, wywołując największą epidemię w historii Internetu. Robak ten wykorzystał metody socjotechniki i zorganizował atak DoS na www.sco.com; w rezultacie przez kilka miesięcy strona ta była albo niedostępna, albo niestabilna. Robak pozostawił na zainfekowanych komputerach trojana, który został następnie wykorzystany do infekowania komputerów nowymi modyfikacjami Mydooma. Media nie poinformowały jednak, że MyDoom posiadał funkcje keyloggera, dzięki której mógł przechwytywać numery kart kredytowych.

Na początku 2005 roku londyńska policja zapobiegła poważnej próbie kradzieży danych bankowych. Po ataku na system bankowy cyberprzestępcy zaplanowali kradzież 423 milionów dolarów z biur Sumitomo Mitsui w Londynie. Głównym komponentem wykorzystanego w kradzieży Trojana - stworzonego przez 32-letniego Yerona Bolondi - był keylogger pozwalający cyberprzestępcom na śledzenie wszystkich uderzeń klawiszy podczas używania przez ofiary interfejsu klienta banku.

W maju 2005 r. izraelska policja aresztowała w Londynie małżeństwo, które zostało oskarżone o stworzenie szkodliwych programów wykorzystywanych przez izraelskie firmy do szpiegostwa przemysłowego. Skala szpiegostwa była szokująca: wśród firm wymienionych przez władze izraelskie w raportach ze śledztwa znajdowali się dostawcy telefonów komórkowych, jak Cellcom czy Pelephone oraz dostawca telewizji satelitarnej YES. Według raportów, trojan został wykorzystany do uzyskania dostępu do informacji dotyczących agencji PR - Rani Rahav - których klientami byli między innymi Partner Communications (drugi co do wielkości dostawca telefonii komórkowej w Izraelu) oraz telewizja kablowa HOT. Firmę Mayer, która importuje do Izraela samochody Volvo i Honda, podejrzewano o szpiegostwo przemysłowe wobec Champion Motors, importera samochodów Audi i Volkswagen. Ruth Brier-Haephrati, która sprzedawała stworzonego przez jej męża Michaela Haephrati trojana keyloggera, została skazana na cztery lata pozbawienia wolności, a Michael - na dwa lata.

W lutym 2006 r. brazylijska policja aresztowała 55 osób zamieszanych w rozprzestrzenianie szkodliwych programów, które wykorzystywane były do kradzieży informacji użytkownika i haseł do systemów bankowych. Keyloggery uaktywniały się, gdy użytkownicy odwiedzali strony www swoich baków, i bez ich wiedzy śledzili, a następnie wysyłali cyberprzestępcom wszystkie dane wprowadzane na tych stronach. Łączna suma pieniędzy skradzionych z kont 200 klientów w sześciu brazylijskich bankach wyniosła 4,7milionów dolarów.

W mniej więcej tym samym czasie aresztowano grupę cyberprzestępców złożoną z młodych Rosjan i Ukraińców (w wieku 20-30 lat). Pod koniec 2004 roku grupa ta zaczęła wysyłać klientom banków we Francji i w wielu innych państwach wiadomości e-mail zawierające szkodliwy program - keyloggera. Ponadto, takie programy szpiegujące zostały umieszczone na specjalnie stworzonych stronach WWW; w celu zwabienia na nie użytkowników zastosowano metody socjotechniki. Podobnie jak w wyżej opisanych przypadkach, program uaktywnił się, gdy użytkownicy odwiedzili strony WWW swoich banków, a keylogger zbierał wszystkie informacje wprowadzone przez użytkownika i wysłał je cyberprzestępcom. W ciągu jedenastu miesięcy skradziono ponad milion dolarów.

Istnieje znacznie więcej przykładów wykorzystywania przez cyberprzestępców keyloggerów ...

Wzrost popularności keyloggerów wśród cyberprzestępców

Popularność keyloggerów wśród cyberprzestępców potwierdzają firmy zajmujące się bezpieczeństwem IT.

Jak wynika z jednego z najnowszych raportów VeriSign, w ostatnich latach firma odnotowała szybki wzrost liczby szkodliwych programów z funkcjonalnością keyloggera.

Źródło: iDefense, a VeriSign Company

Jeden z raportów firmy Symantec pokazuje, że prawie 50% szkodliwych programów wykrytych przez analityków firmy w ciągu minionego roku nie stanowiło bezpośredniego zagrożenia dla komputerów - cyberprzestępcy wykorzystywali je wyłącznie do zbierania osobistych informacji użytkownika.

Według badania przeprowadzonego przez Johna Bambeneka, analityka SANS Institute, tylko w Stanach Zjednoczonych 10 milionów komputerów zainfekowanych jest szkodliwym programem z funkcjonalnością keyloggera. Na podstawie tych danych, jak również liczby amerykańskich użytkowników systemów płatności online, potencjalne straty zostały oszacowane na 24,3 milionów dolarów.

Kaspersky Lab nieustannie wykrywa nowe szkodliwe programy z funkcjonalnością keyloggera. Jeden z pierwszych alertów wirusowych na stronie www.viruslist.pl (na której zamieszczane są informacje o szkodliwym oprogramowaniu) został opublikowany 15 czerwca 2001 r. Ostrzeżenie dotyczyło TROJ_LATINUS.SVR, trojana z funkcjonalnością keyloggera. Od tego czasu stale pojawiały się nowe keyloggery i nowe modyfikacje. Baza sygnatur zagrożeń firmy Kaspersky Lab zawiera obecnie wpisy ponad 300 rodzin keyloggerów. Liczba ta nie uwzględnia keyloggerów, które wchodzą w skład zagrożeń złożonych (tj. takich, w których komponent szpiegujący posiada dodatkową funkcjonalność).

Większość współczesnych szkodliwych programów to hybrydy, które implementują wiele różnych technologii. Z tego względu wszystkie kategorie szkodliwych programów mogą zawierać programy z funkcjonalnością keyloggera.

Konstrukcja keyloggera

Celem keyloggerów jest "dostanie się" między dwa ogniwa w łańcuchu zdarzeń: wciśnięcie klawisza i wyświetlenie na monitorze informacji o uderzeniu klawisza. Można to osiągnąć poprzez obserwację za procą kamer wideo, sprzętową modyfikację w klawiaturze, okablowaniu czy samym komputerze, przechwycenie danych wejściowych/wyjściowych, zastąpienie sterownika klawiatury, sterownika filtra w stosie klawiatury, przechwycenie funkcji jądra na różne możliwe sposoby (zastępowanie adresów w tabelach systemowych itd.), przechwycenie funkcji DLL w trybie użytkownika oraz żądanie informacji z klawiatury przy użyciu standardowych i udokumentowanych metod.

Doświadczenie pokazuje, że im bardziej złożone podejście, tym mniejsze prawdopodobieństwo, że zostanie ono zastosowane w powszechnych programach trojańskich. Bardziej prawdopodobne jest natomiast zastosowanie takiego podejścia w specjalnie zaprojektowanych trojanach, przeznaczonych do kradzieży danych finansowych z określonej firmy.

Keyloggery można podzielić na dwie kategorie: keyloggery sprzętowe i programowe. Pierwsza kategoria obejmuje zwykle niewielkie urządzenia, które można przymocować do klawiatury lub umieścić w kablu lub samym komputerze. Do drugiej kategorii zaliczają się wyspecjalizowane programy przeznaczone do śledzenia i rejestrowania uderzeń klawiszy.

Najpopularniejsze metody wykorzystywane do konstrukcji keyloggerów programowych obejmują:

Szczegółowe wyjaśnienie różnych sposobów konstruowania keyloggerów zawiera druga część artykułu (która zostanie opublikowana w niedalekiej przyszłości). Najpierw jednak przyjrzyjmy się danym statystycznym:

Poniższy diagram przedstawia przybliżony rozkład różnych typów keyloggerów:

Ostatnio zwiększyła się liczba keyloggerów, które ukrywają swoje pliki, aby uniemożliwić wykrycie ich ręcznie lub za pomocą programu antywirusowego. Tego typu techniki ukrywania się nazywane są technologiami rootkit. Wyróżniamy dwie główne technologie rootkit wykorzystywane przez keyloggery:

• maskowanie w trybie użytkownika;
• maskowanie w trybie jądra.

Poniższy diagram pokazuje przybliżony rozkład technik wykorzystywanych przez keyloggery w celu maskowania swojej aktywności:

Jak rozprzestrzeniają się keyloggery

Keyloggery rozprzestrzeniają się w zasadzie tak samo jak inne szkodliwe programy. Z wyjątkiem przypadków, gdy keyloggera nabywa i instaluje zazdrosny małżonek czy partner lub jest wykorzystywany przez służby bezpieczeństwa, do jego rozprzestrzenia wykorzystywane są następujące metody:

• keylogger może zostać zainstalowany podczas otwierania przez użytkownika pliku załączonego do wiadomości e-mail;
• zainstalowanie keyloggera może nastąpić podczas uruchamiania pliku z foldera typu open-access w sieci P2P;
• keylogger może zostać zainstalowany poprzez skrypt strony WWW wykorzystujący lukę w przeglądarce. Program zostanie automatycznie uruchomiony, gdy użytkownik odwiedzi zainfekowana stronę;
• keylogger może zostać zainstalowany przez szkodliwy program, który znajduje się już w komputerze ofiary, jeśli program taki potrafi pobierać i instalować w systemie inne szkodliwe programy.

Ochrona przed keyloggerami

Większość firm antywirusowych dodało już znane keyloggery do swoich sygnatur zagrożeń, przez co ochrona przed keyloggerami nie różni się od ochrony przed innymi typami szkodliwych programów: polega ona na zainstalowaniu produktu antywirusowego i uaktualnianiu bazy zagrożeń. Jednak ze względu na to, że większość produktów antywirusowych klasyfikuje keyloggery jako potencjalnie szkodliwe lub potencjalnie niepożądane programy, użytkownicy powinni upewnić się, że ich produkt antywirusowy (z ustawieniami domyślnymi) wykrywa ten typ szkodliwego oprogramowania. W przeciwnym razie produkt powinien zostać odpowiednio skonfigurowany, tak aby zapewniał ochronę przed większością powszechnie występujących keyloggerów.

Przyjrzyjmy się bliżej metodom, za pomocą których można zabezpieczyć się przed nieznanymi keyloggerami lub keyloggerem atakującym określony system.

Ponieważ głównym celem keyloggera jest zdobycie poufnych informacji (numery kart bankowych, hasła itd.), najbardziej logiczne wydają się następujące sposoby ochrony przed nieznanymi keyloggerami:

Wykorzystanie jednorazowego hasła może pomóc zminimalizować straty, jeśli wprowadzone hasło zostanie przechwycone, ponieważ wygenerowane hasło może zostać użyte tylko jeden raz, a czasu, w ciągu którego możliwe jest wykorzystanie hasła, jest ograniczony. Nawet jeśli jednorazowe hasło zostanie przechwycone, cyberprzestępca nie będzie mógł go wykorzystać w celu uzyskania dostępu do poufnych informacji.

Do uzyskania jednorazowych haseł można użyć specjalnego narzędzia, takiego jak:

1. klucz USB (taki jak Aladdin eToken NG OTP):
   
2. "kalkulator" (taki jak RSA SecurID 900 Signing Token):
   

Do wygenerowania jednorazowych haseł można wykorzystać systemy rozpowszechniania komunikatów tekstowych za pośrednictwem telefonów komórkowych, które są zarejestrowane w systemie bankowym i jako odpowiedź otrzymują kod PIN. PIN jest następnie wykorzystywany razem z osobistym kodem do uwierzytelniania.

Jeśli do generowania haseł wykorzystywane jest jedno z wyżej wymienionych narzędzi, procedura wygląda następująco:

Jeśli do generowania hasła wykorzystywany jest kalkulator, użytkownik wprowadza swój kod PIN na "klawiaturze" urządzenia i naciska przycisk ">".

Generatory jednorazowych haseł są powszechnie wykorzystywane przez systemy bankowe w Europie, Azji, Stanach Zjednoczonych i Australii. Na przykład bank Lloyds TSB zdecydował się na wykorzystywanie generatorów haseł jeszcze w listopadzie 2005 roku.

W tym przypadku jednak wiązało się to z wyłożeniem znacznej sumy pieniędzy, ponieważ firma ta musiała uzyskać i rozesłać swoim klientom generatory haseł oraz stworzyć lub zakupić odpowiednie oprogramowanie.

Bardziej opłacalnym rozwiązaniem jest ochrona proaktywna po stronie klienta, która ostrzega użytkownika w przypadku prób zainstalowania lub aktywowania oprogramowania rejestrującego uderzenia klawiszy.

Ochrona proaktywna przed keyloggerami programu Kaspersky Internet Security

Główna wada tej metody polega na tym, że wymaga aktywnego udziału użytkownika, który musi zdecydować, jakie działanie należy podjąć. Jeśli użytkownik nie posiada wystarczającej wiedzy technicznej, może podjąć niewłaściwą decyzję, w wyniku której keylogger będzie mógł obejść rozwiązanie antywirusowe. Jeśli jednak programiści zminimalizują zaangażowanie użytkownika, keyloggery będą mogły uniknąć wykrycia na skutek niewystarczająco rygorystycznej polityki bezpieczeństwa. Z kolei gdy ustawienia będą zbyt restrykcyjne, mogą zostać zablokowane inne, użyteczne programy, które zawierają legalne funkcje rejestrowania uderzeń klawiszy.

Ostatnią metodą, która może być wykorzystana do ochrony przed keyloggerami sprzętowymi oraz programowymi, jest użycie wirtualnej klawiatury - programu, który wyświetla klawiaturę na ekranie. Przy użyciu myszki można "przyciskać" klawisze.

Koncepcja klawiatury ekranowej nie jest niczym nowym - system operacyjny Windows posiada wbudowaną klawiaturę ekranową, którą można uruchomić w następujący sposób: Start > Programy > Akcesoria > Ułatwienia dostępu > Klawiatura ekranowa.

Przykład klawiatury ekranowej systemu Windows

Jednak klawiatury ekranowe nie są metodą powszechnie stosowaną do "przechytrzenia" keyloggerów. Nie zostały zaprojektowane w celu zapewnienia ochrony przed cyber zagrożeniami, ale jako narzędzie ułatwiające dostęp do komputera niepełnosprawnym użytkownikom. Informacje wprowadzane przy użyciu klawiatury ekranowej mogą łatwo zostać przechwycone przez szkodliwy program. Aby mogły zostać wykorzystane do ochrony przed keyloggerami, klawiatury ekranowe muszą być specjalnie zaprojektowane, tak aby uniemożliwić przechwytywanie informacji wprowadzanych lub przesyłanych za pośrednictwem klawiatury ekranowej.

Wnioski

W artykule tym przedstawiono, w jaki sposób działają i mogą być wykorzystywane keyloggery - zarówno sprzętowe jak i programowe.

Autor: Nikolay Grebennikov - Kaspersky Lab