הנושאים החמים
- הוסף לסימניות
- #1
סוסים טרויאניים מתוחכמים, שיטות הדבקה חדשות וגיוס "חמורים" חסר תקדים הפכו את השנה שחלפה לטובה ביותר עבור המאפיה המקוונת
Security | Internet
| לדף הבית של אתר TheMarker IT |
מעולם לא היה זה זמן טוב יותר לעסוק בפשיעה מקוונת. כל כך הרבה גורמים פועלים כיום לטובת נוכלי האינטרנט, שספק רב אם אי פעם תהיה שנה מוצלחת יותר מ-2009. השנה שחלפה התאפיינה בשלוש תופעות שכל אחת מהן היתה יכולה להיחשב בעצמה כתרומה משמעותית להצלחת מפעל הפשע העולמי:
סוסים טרויאניים מתוחכמים
כל ילד יודע לא לפתוח קבצים חשודים שהגיעו באימייל, כי אולי מסתתר בהם וירוס. אבל כמה יודעים מה יכול לעולל סוס טרויאני המתמחה בגניבת נתונים פיננסיים? עד 2005 התמקדו הנוכלים הווירטואליים בהתקפות פישינג, שבהם נשלח אימייל אל הקורבנות והם הופנו לאתר הדומה להפליא לזה של הבנק. הפרטים שהקלידו עברו מייד לנוכלים, מהלך שאפשר להם להיכנס מאוחר יותר לחשבון ולהעביר משם כספים.
ב-2006 הופיעו לראשונה תוכנות זדוניות המוגדרות כסוס טרויאני פיננסי, הנבדל מווירוסים בכך שהוא לא מנסה לשכפל את עצמו ולכלות כל חלקה טובה במחשב. להפך, הוא מאוד מעוניין שהמשתמש ימשיך לעבוד ובייחוד שייכנס לאתר חשבון הבנק המקוון, אתרי קניות באינטרנט, אתרי מכירות פומביות וכל שירות אינטרנטי שזורם בו כסף. המטרה פשוטה - להעתיק את סיסמאות הגישה ולמכור אותן בעולם התחתון של הפשיעה המקוונת.
הסוס הטרויאני הפופולרי ביותר ב-2007 היה לימבו, שהוצע לכל דורש במחיר של 350 דולר. מייד לאחר שהמחשב נדבק בלימבו, הוא מתחיל לנטר את הפעילות האינטרנטית, ממתין עד הכניסה המיוחלת של המשתמש לאתר הבנק, ואז מחכך את ידיו בהנאה. לימבו ודומיו חיים בתוך הדפדפן או אם להיות יותר מדוייק, בתפר שבין שכבת ההצגה של הדפדפן ששולטת במה שרואים, לבין לב הדפדפן שנמצא בתקשורת עם אתר הבנק ומקבל ממנו את המידע. כך יכול טרויאני כמו לימבו "לרכוב" על האתר באופן סמוי, כך שאם מסתכלים על כתובת האתר רואים שמדובר באתר אמיתי ולא מזוייף. לימבו מנטר את התקשורת בין הגולש לאתר, כך שכאשר מקלידים את פרטי הגישה לימבו ישלח אותם לנוכל. הוא אף עשוי להוסיף לדף שדות אבטחה מדומים שהאתר לא מבקש אף פעם: למשל, את הקוד הסודי לכספומט.
הבנקים הגיבו לאיומים כמו לימבו בדרכים שונות, ומפתחי הטרויאנים השיבו בתוכנות מתקדמות יותר ויותר. 2009 היוותה אבן דרך מרכזית בתהליך זה, בעקבות השקתו של זאוס 2. טרויאני זה מסוגל "לנקות" את חשבון הבנק של הקורבן תוך שניות, ולהעביר כספים בזמן אמת לחשבון בנק שבשליטת הנוכל, וזאת תוך התאמה פרטנית ומדויקת לאמצעי ההגנה הגלויים שמפעיל הבנק. אלפי פושעים מקוונים הצטיידו בו ברגע בתוכנה זדונית מתקדמת בעלת יכולות חמקניות. כל אחד מהנוכלים הדביק אלפי מחשבים, והתוצאה היא מליוני מחשבים שכל התעבורה שלהם מנוטרת יומם וליל על ידי גורמים פליליים.
הפתרונות שמפעיל המגזר הפיננסי נגד זאוס 2 וחבר מרעיו כוללים שירותי איתור ומלחמה בסוסים הטרויאניים, אימות משתמשים מבוסס סיכון (דהיינו, רמת האבטחה נקבעת על פי הסכנה הטמונה בפעולה הספציפית שאתם מבצעים), אימות "מחוץ לפס" (למשל שיחת טלפון אוטומטית בה אתם מתבקשים להקליד קוד שמופיע באתר הבנק) וניטור סמוי של פעולות.
הדבקה בשדה קוצים
חברת RSA עוסקת באבטחת מידע, ומרכז החברה בישראל עוקב אחר הונאות מקוונות באמצעות מעבדת המחקר FraudAction המאגדת בתוכה מומחי אבטחה, חוקרי תוכנות זדוניות וסוכנים המנטרים את פעילות הנוכלים בפורומים היעודיים של הפשע המקוון. באוקטובר 2008 חשפה מעבדת המחקר תשתית אדירת מימדים ששירתה את כנופיית "החומה הסינית" - Sinowal - קבוצת פשע מאורגן הממוקמת במזרח אירופה ותקפה בשנים האחרונות מאות בנקים, חברות כרטיסי אשראי וגופים אחרים ברחבי העולם. Sinowal פיתחה והפיצה סוס טרויאני - מעין וירוס מחשבים מתקדם - שהצליח להדביק ולהשתלט על למעלה מ-300 אלף מחשבים ברחבי העולם. מהמחשבים נגנבו מאות אלפי כרטיסי אשראי וסיסמאות אינטרנט לחשבון הבנק. המידע אוחסן בשרתי הכנופייה שהיו פעילים מאז 2006 למרות נסיונות חוזרים ונשנים לסגור אותם.
כשניתחנו את הנתונים מצאנו תופעה מעניינת: קצב ההדבקה של מחשבים ב- Sinowal גבר עשרות מונים בקיץ 2008. אם במארס אותה שנה הודבקו רק 2500 מחשבים חדשים בווירוס, הרי שבספטמבר כבר הגיע קצב ההדבקה ל-25 אלף מחשבים.החשוד המיידי היה קוד התוכנה: אולי הנוכלים השכילו להפוך את הסוס הטרויאני לחמקן הרבה יותר? אלא שבדיקה מדוקדקת העלתה ש-Sinowal לא עבר שינוי משמעותי שיכול היה להסביר כיצד התפשט Sinowal ברחבי האינטרנט כאש בשדה קוצים. לא. היה צורך לחפש הסבר אחר. ההסבר נמצא בשיטת הדבקה חדשה שהחלה לפעול בקיץ 2008 והתגברה מאוד במהלך 2009: Drive-by-Download, ובתרגום חופשי: גלשת-נדבקת.
דוגמה מצוינת ל-Drive by Download הוא אתר המעריצים של פול מקרטני. מי שיחפש באתר www.paulmccartney.com את איזור החדשות, ימצא הודעה מה-1 במאי 2009 בו מתריע האתר על כך שנפרץ, ולכל מי שגלשו באתר מומלץ לקחת את המחשב שלהם לחנות המחשבים הקרובה, לבדוק את חשבון הבנק שלהם ולוודא שאף אחד לא פתח כרטיס אשראי על שמם.
מה שמיוחד בהתקפת Drive by Download הוא שההדבקה מתבצעת באמצעות אתר לגיטימי בו גולשים מדי יום משתמשים רבים. חשוב לציין שהתנאי היחיד להידבקות היה לגלוש באתר. לא היה צריך לבצע כל פעולה מלבד לבקר בו. ההידבקות היא אוטומטית לחלוטין, ופועלת כל אימת שהמחשב שגלש באתר לא היה מוגן לחלוטין מפני כל פרצות האבטחה הידועות. רוב הגולשים לא טורחים לבצע עדכון שוטף של גרסאות הדפדפן, מערכת ההפעלה וכלי האינטרנט האחרים שלהם כגון פלאש ואקרובט. כשתוכנה כלשהי קופצת וממליצה לבצע עדכון אבטחה, רבים לוחצים על "תזכיר לי מאוחר יותר" - וחושפים את עצמם להדבקה. הדבר דומה למי שצוות רופאים מגיע אליו הביתה עם חיסון לשפעת חזירים, והוא מנפנף אותם. לא מתאים עכשיו, תבואו אחר כך.
כיום קיימים אלפי אתרי אינטרנט לגיטימיים לחלוטין שנפרצו על מנת להוביל את הגולשים בהם לשרת הדבקה. חברת Websense דיווחה ביולי 2009 על עליה של 671% בהשתלטות על אתרי אינטרנט לצורך הדבקה בתוכנה זדונית במהלך השנה החולפת, והתופעה רק מתגברת. חברת פנדה העריכה כבר בסוף 2008 שקיימים ברחבי העולם כ-10 מליון מחשבים שהודבקו בסוס טרויאני שגונב פרטי משתמש פיננסיים. מי שמעדכן כל העת את האבטחה במחשב שלו חסין מפני רוב התקפות ה-Drive by Download, אבל עדיין יכול להידבק מהורדת קובץ נגוע. במקרה זה ההדבקה אינה אוטמטית והמשתמש מוריד בעצמו את התוכנה הזדונית, כך שנדרשים זהירות ושכל ישר.
על מנת להתגבר על הפעלת שכל ישר פיתחו הנוכלים שיטות רמייה חדשות, ולאחרונה החלו לבצע הדבקה מסיבית דרך רשתות חברתיות. אם קיבלתם דרך הרשת החברתית בה אתם רשומים הזמנה מחבר לראות וידאו מגניב, אך כשהגעתם לדף האמור הווידאו לא פעל והאתר ממליץ להוריד את הגירסה העדכנית של נגן הווידאו, ולאחר שלחצתם על הלינק להורדה קפץ החלון האפור הידידותי והמוכר וביקש את רשותכם להתקין את התוכנה השימושית, אל תלחצו על "התקן". אם תעשו זאת תודבקו מייד בסוס טרויאני שיגנוב את פרטי חשבון הבנק וכרטיסי האשראי שלכם. הייחודיות בהדבקה זו היא הקונטקסט החברתי שלה. היא מתחילה בהודעה מחבר בתוך הרשת החברתית. לפיכך אחוז ההיענות גבוה בהרבה מסתם משלוח של הודעת מייל עם לינק לאתר הדבקה.
וריאציות פשוטות יותר של הדבקה כוללות אימייל מאתר חדשות מוכר עם ידיעה מסעירה כגון "מייקל ג'קסון מת!" או "ישראל מפסיקה את המבצע בעזה!". גם כאן מי שמתפתה ללחוץ על הלינק יעבור לאתר שינסה להדביק אותו באמצעות הורדת נגן וידאו או פלאש עדכני. כאן המקום לציין שתוכנות האנטי וירוס מתקשות להתמודד עם קצב ההתפתחות של התוכנות הזדוניות. עיקר הלוחמה בהדבקה בסוסים טרויאניים הוא באמצעות "חתימות", אך מפתחי הסוסים הטרויאניים מאפשרים להפיץ גירסאות חדשות בלחיצת כפתור כך שעד שחברת האנטי וירוס מצליחה להפיץ עדכון עם חתימה חדשה לאיום, הקורבנות כבר מורידים סוס טרויאני בגירסה שאין לה חתימה. חברת סיסקו פירסמה לאחרונה מחקר שהראה כי רק 40% מהסוסים הטרויאניים מתגלים ביום הפצתם על-ידי למעלה ממחצית מתוכנות האנטי וירוס.
בשורה התחתונה, במהלך השנה האחרונה השתנו כללי המשחק בכל הנוגע להדבקה. לא עוד קבצים שנשלחים באימייל: היום רוב ההדבקות נעשות באמצעות גלישה תמימה לאתרים שנפרצו, או הורדת קבצים מזוייפים לצורך צפייה בווידאו. קצב ההדבקה גבר פי עשרה ביחס לשנה שעברה: במקום שהאינטרנט יהיה מקום בטוח יותר, קרה ההפך הגמור. מצד שני, יש הרבה שאתם כצרכנים יכולים לעשות: לעדכן את האבטחה באופן אוטומטי במערכת ההפעלה, להוריד את הדפדפנים המעודכנים ביותר, לעדכן את תוכנות פלאש ו-Acrobat לגרסה האחרונה שלהן, ולא להוריד אף פעם קבצים שלא אתם יזמתם את הורדתם.
גיוס חמורים מקיף
חברת הלוגיסטיקה הבינלאומית אייר פרסל אקספרס היא אחד הכוחות העולים בשוק השילוח הגלובלי. היא מציעה שורה של פתרונות יצירתיים לעסקים ולאנשים פרטיים. מטה החברה ממוקם בשטוקהולם, ויש לה מתקני איחסון משוכללים ברחבי העולם. לא מזמן נפתח המחסן האחרון בריגה, לטביה. לפי אתר החברה קפץ מחזור המכירות שלהם פי שניים בשנה האחרונה, ולמרות המשבר הכלכלי הם דווקא מרחיבים השנה את הצוות התפעולי שלהם, מגייסים צעירים רבים ואפילו מציעים תנאי עבודה לא רעים בכלל.
אלא שהחברה הזו מפוברקת לחלוטין. מדובר בזיוף מוחלט, אחד מכ-600 הונאות פעילות המנסות לפתות אנשים בעבודה מהבית, ובעצם לגייס אותם לטובת העברת כספים וסחורות גנובות אל מחוץ למדינה. מי שפונה לאתר ההונאה עלול להפוך למה שקרוי בעגת הפושעים Mule, פרד בעברית, או במילה פחות עדינה - חמור שהרמאים רוכבים עליו כל הדרך אל הבנק. המשבר הכלכלי שהיכה בארה"ב ואירופה מהווה כר נרחב לגיוס אותם "חמורים".
במקרה של אייר פרסל אקספרס גילתה RSA כי בתוך מספר שבועות שלחו לא פחות מ-1,925 אמריקאים את קורות חייהם לחברה מצוצה מהאצבע. מתוך המועמדים "גייסה" אייר פארסל 33 איש למטרות העברת סחורות גנובות. ה"עובדים" התבקשו לקבל לביתם משלוחים של פלייסטיישן 3, לפטופים, אייפונים ושלל מוצרים נוספים שנקנו באתרי אינטרנט אמריקאיים (באמצעות כרטיסי אשראי גנובים, מה שלא היה ידוע לעובדים), ולשלוח אותם ללטביה או אוקראינה באמצעות חברות שילוח בינלאומי.
בשיחה שניהלתי עם בחורה מטקסס שנפלה קורבן להונאה דומה, היא סיפרה כי גויסה לחברה מפוברקת והובטחו לה משכורת של 65 אלף דולר בשנה, רכב צמוד ומכשיר בלקברי. היא קפצה על המציאה: כמה חודשים קודם לכן היא איבדה את עבודתה, ובמצב שבו יש 10% אבטלה בארה"ב לא שואלים יותר מדי שאלות. היא הצטרפה לחודש הכשרה שבמהלכו נשלח אליה כל יום חומר לימודי ובסוף השבוע היתה צריכה לעבור מבחן מסכם. לאחר ארבעה שבועות, נאמר לה, תקבל 3,000 דולר וגם תדע אם התקבלה לעבודה היוקרתית בחברה בינלאומית מובילה.
שבועיים אל תוך ההכשרה התבקשה לבצע תרגיל מעשי - לשלוח זוג לפטופים בשווי 5,000 דולר לאוקראינה באמצעות כסף שהופקד לחשבונה (מאוחר יותר התברר כי נמשך מחשבון של קורבן אחר אליו חדרו הרמאים). היא כבר קנתה את המחשבים וארזה אותם למשלוח, אך שעות ספורות לפני שהסחורה נשלחה בפועל הצליח החבר שלה למצוא אתר אינטרנט שזיהה את החברה כבדויה וכך ניצלה מלהיות חמור בשירות עולם הפשע המקוון.
לסיפור הזה יש סוף טוב, אך תעשיית גיוס החמורים בארה"ב ואירופה שברה ב-2009 את כל השיאים. אתר האינטרנט www.bobbear.com דיווח בדצמבר 2007 על 34 הונאות פעילות. בדצמבר 2009 קפץ המספר ל-591. מה שמניע את התעשיה הזו הוא הביקוש הגובר לשירותי הלבנת ההון עקב כמות החשבונות האדירה שנפרצת מדי יום באמצעות סוסים טרויאניים המתפשטים ברחבי האינטרנט במהירות. מה שמאפשר לתעשיה לצמוח כל כך הוא המשבר הכלכלי שמקל מאוד על גיוס משתפי פעולה. המגזר הפיננסי תוקף בעיה זו באמצעות יירוט מסדי נתונים של "חמורים" להשכרה, כמו גם מנגנון לשיתוף מידע על פעולות חשודות בזמן אמת בין הבנקים.
החדשות הטובות
למרות כל זאת, יש לאזן את התמונה. אני באופן אישי משתמש כל העת בבנקאות מקוונת, ומשלם בכרטיסי אשראי באינטרנט. כמי שנמצא במוקד העשייה של הלוחמה בפשע המקוון, אני יכול לומר שמול מפת האיומים המתגברת ניצב מגזר פיננסי נחוש להגן על עצמו תוך שילוב מגוון כלים גלויים וסמויים מן העין. רבים מהבנקים בעולם, כולל בישראל, מפעילים שירות לניטרול התקפות מקוונות כמו פישינג וסוסים טרויאניים. הם מנטרים מאחורי הקלעים את הפעילות בחשבון תוך שימוש בתוכנות חכמות המזהות כניסה ממחשבים לא מוכרים וחריגה מדפוסי התנהלות רגילים. כמות ההפסדים מהונאה מקוונת שדיווחו הבנקים בבריטניה זניחה (39 מליון פאונד) בהשוואה להפסדים מהונאות בכרטיסי אשראי (233 מליון פאונד), שכבר שנים מלווים את המגזר הבנקאי. אז נכון שהיום הסכנות רבות יותר, אך גם הכלים העומדים לרשות המוסדות הפיננסיים מתוחכמים ויעילים פי כמה מבעבר.
והרי התחזית
ב-2010 צפויה המגמה של התפתחות מהירה של סוסים טרויאניים מתוחכמים להתגבר, וכן צפוי גידול נוסף בקצב ההדבקה העולמי (ובכלל זה בישראל). בנוסף צפויים גם: התגברות הונאות טלפוניות תוך שימוש בנתונים שנלקחו מהערוץ האינטרנטי; פתיחה מסיבית של חשבונות בנק וכרטיסי אשראי חדשים תוך שימוש במידע אישי גנוב; תקיפות מקוונות הממוקדות בחשבונות בנק מסחריים של חברות; תקיפות המחקות שירותי ווב 2.0 שמציעים הבנקים.
http://it.themarker.com/tmit/article/9325
Security | Internet
| לדף הבית של אתר TheMarker IT |
מעולם לא היה זה זמן טוב יותר לעסוק בפשיעה מקוונת. כל כך הרבה גורמים פועלים כיום לטובת נוכלי האינטרנט, שספק רב אם אי פעם תהיה שנה מוצלחת יותר מ-2009. השנה שחלפה התאפיינה בשלוש תופעות שכל אחת מהן היתה יכולה להיחשב בעצמה כתרומה משמעותית להצלחת מפעל הפשע העולמי:
סוסים טרויאניים מתוחכמים
כל ילד יודע לא לפתוח קבצים חשודים שהגיעו באימייל, כי אולי מסתתר בהם וירוס. אבל כמה יודעים מה יכול לעולל סוס טרויאני המתמחה בגניבת נתונים פיננסיים? עד 2005 התמקדו הנוכלים הווירטואליים בהתקפות פישינג, שבהם נשלח אימייל אל הקורבנות והם הופנו לאתר הדומה להפליא לזה של הבנק. הפרטים שהקלידו עברו מייד לנוכלים, מהלך שאפשר להם להיכנס מאוחר יותר לחשבון ולהעביר משם כספים.
ב-2006 הופיעו לראשונה תוכנות זדוניות המוגדרות כסוס טרויאני פיננסי, הנבדל מווירוסים בכך שהוא לא מנסה לשכפל את עצמו ולכלות כל חלקה טובה במחשב. להפך, הוא מאוד מעוניין שהמשתמש ימשיך לעבוד ובייחוד שייכנס לאתר חשבון הבנק המקוון, אתרי קניות באינטרנט, אתרי מכירות פומביות וכל שירות אינטרנטי שזורם בו כסף. המטרה פשוטה - להעתיק את סיסמאות הגישה ולמכור אותן בעולם התחתון של הפשיעה המקוונת.
הסוס הטרויאני הפופולרי ביותר ב-2007 היה לימבו, שהוצע לכל דורש במחיר של 350 דולר. מייד לאחר שהמחשב נדבק בלימבו, הוא מתחיל לנטר את הפעילות האינטרנטית, ממתין עד הכניסה המיוחלת של המשתמש לאתר הבנק, ואז מחכך את ידיו בהנאה. לימבו ודומיו חיים בתוך הדפדפן או אם להיות יותר מדוייק, בתפר שבין שכבת ההצגה של הדפדפן ששולטת במה שרואים, לבין לב הדפדפן שנמצא בתקשורת עם אתר הבנק ומקבל ממנו את המידע. כך יכול טרויאני כמו לימבו "לרכוב" על האתר באופן סמוי, כך שאם מסתכלים על כתובת האתר רואים שמדובר באתר אמיתי ולא מזוייף. לימבו מנטר את התקשורת בין הגולש לאתר, כך שכאשר מקלידים את פרטי הגישה לימבו ישלח אותם לנוכל. הוא אף עשוי להוסיף לדף שדות אבטחה מדומים שהאתר לא מבקש אף פעם: למשל, את הקוד הסודי לכספומט.
הבנקים הגיבו לאיומים כמו לימבו בדרכים שונות, ומפתחי הטרויאנים השיבו בתוכנות מתקדמות יותר ויותר. 2009 היוותה אבן דרך מרכזית בתהליך זה, בעקבות השקתו של זאוס 2. טרויאני זה מסוגל "לנקות" את חשבון הבנק של הקורבן תוך שניות, ולהעביר כספים בזמן אמת לחשבון בנק שבשליטת הנוכל, וזאת תוך התאמה פרטנית ומדויקת לאמצעי ההגנה הגלויים שמפעיל הבנק. אלפי פושעים מקוונים הצטיידו בו ברגע בתוכנה זדונית מתקדמת בעלת יכולות חמקניות. כל אחד מהנוכלים הדביק אלפי מחשבים, והתוצאה היא מליוני מחשבים שכל התעבורה שלהם מנוטרת יומם וליל על ידי גורמים פליליים.
הפתרונות שמפעיל המגזר הפיננסי נגד זאוס 2 וחבר מרעיו כוללים שירותי איתור ומלחמה בסוסים הטרויאניים, אימות משתמשים מבוסס סיכון (דהיינו, רמת האבטחה נקבעת על פי הסכנה הטמונה בפעולה הספציפית שאתם מבצעים), אימות "מחוץ לפס" (למשל שיחת טלפון אוטומטית בה אתם מתבקשים להקליד קוד שמופיע באתר הבנק) וניטור סמוי של פעולות.
הדבקה בשדה קוצים
חברת RSA עוסקת באבטחת מידע, ומרכז החברה בישראל עוקב אחר הונאות מקוונות באמצעות מעבדת המחקר FraudAction המאגדת בתוכה מומחי אבטחה, חוקרי תוכנות זדוניות וסוכנים המנטרים את פעילות הנוכלים בפורומים היעודיים של הפשע המקוון. באוקטובר 2008 חשפה מעבדת המחקר תשתית אדירת מימדים ששירתה את כנופיית "החומה הסינית" - Sinowal - קבוצת פשע מאורגן הממוקמת במזרח אירופה ותקפה בשנים האחרונות מאות בנקים, חברות כרטיסי אשראי וגופים אחרים ברחבי העולם. Sinowal פיתחה והפיצה סוס טרויאני - מעין וירוס מחשבים מתקדם - שהצליח להדביק ולהשתלט על למעלה מ-300 אלף מחשבים ברחבי העולם. מהמחשבים נגנבו מאות אלפי כרטיסי אשראי וסיסמאות אינטרנט לחשבון הבנק. המידע אוחסן בשרתי הכנופייה שהיו פעילים מאז 2006 למרות נסיונות חוזרים ונשנים לסגור אותם.
כשניתחנו את הנתונים מצאנו תופעה מעניינת: קצב ההדבקה של מחשבים ב- Sinowal גבר עשרות מונים בקיץ 2008. אם במארס אותה שנה הודבקו רק 2500 מחשבים חדשים בווירוס, הרי שבספטמבר כבר הגיע קצב ההדבקה ל-25 אלף מחשבים.החשוד המיידי היה קוד התוכנה: אולי הנוכלים השכילו להפוך את הסוס הטרויאני לחמקן הרבה יותר? אלא שבדיקה מדוקדקת העלתה ש-Sinowal לא עבר שינוי משמעותי שיכול היה להסביר כיצד התפשט Sinowal ברחבי האינטרנט כאש בשדה קוצים. לא. היה צורך לחפש הסבר אחר. ההסבר נמצא בשיטת הדבקה חדשה שהחלה לפעול בקיץ 2008 והתגברה מאוד במהלך 2009: Drive-by-Download, ובתרגום חופשי: גלשת-נדבקת.
דוגמה מצוינת ל-Drive by Download הוא אתר המעריצים של פול מקרטני. מי שיחפש באתר www.paulmccartney.com את איזור החדשות, ימצא הודעה מה-1 במאי 2009 בו מתריע האתר על כך שנפרץ, ולכל מי שגלשו באתר מומלץ לקחת את המחשב שלהם לחנות המחשבים הקרובה, לבדוק את חשבון הבנק שלהם ולוודא שאף אחד לא פתח כרטיס אשראי על שמם.
מה שמיוחד בהתקפת Drive by Download הוא שההדבקה מתבצעת באמצעות אתר לגיטימי בו גולשים מדי יום משתמשים רבים. חשוב לציין שהתנאי היחיד להידבקות היה לגלוש באתר. לא היה צריך לבצע כל פעולה מלבד לבקר בו. ההידבקות היא אוטומטית לחלוטין, ופועלת כל אימת שהמחשב שגלש באתר לא היה מוגן לחלוטין מפני כל פרצות האבטחה הידועות. רוב הגולשים לא טורחים לבצע עדכון שוטף של גרסאות הדפדפן, מערכת ההפעלה וכלי האינטרנט האחרים שלהם כגון פלאש ואקרובט. כשתוכנה כלשהי קופצת וממליצה לבצע עדכון אבטחה, רבים לוחצים על "תזכיר לי מאוחר יותר" - וחושפים את עצמם להדבקה. הדבר דומה למי שצוות רופאים מגיע אליו הביתה עם חיסון לשפעת חזירים, והוא מנפנף אותם. לא מתאים עכשיו, תבואו אחר כך.
כיום קיימים אלפי אתרי אינטרנט לגיטימיים לחלוטין שנפרצו על מנת להוביל את הגולשים בהם לשרת הדבקה. חברת Websense דיווחה ביולי 2009 על עליה של 671% בהשתלטות על אתרי אינטרנט לצורך הדבקה בתוכנה זדונית במהלך השנה החולפת, והתופעה רק מתגברת. חברת פנדה העריכה כבר בסוף 2008 שקיימים ברחבי העולם כ-10 מליון מחשבים שהודבקו בסוס טרויאני שגונב פרטי משתמש פיננסיים. מי שמעדכן כל העת את האבטחה במחשב שלו חסין מפני רוב התקפות ה-Drive by Download, אבל עדיין יכול להידבק מהורדת קובץ נגוע. במקרה זה ההדבקה אינה אוטמטית והמשתמש מוריד בעצמו את התוכנה הזדונית, כך שנדרשים זהירות ושכל ישר.
על מנת להתגבר על הפעלת שכל ישר פיתחו הנוכלים שיטות רמייה חדשות, ולאחרונה החלו לבצע הדבקה מסיבית דרך רשתות חברתיות. אם קיבלתם דרך הרשת החברתית בה אתם רשומים הזמנה מחבר לראות וידאו מגניב, אך כשהגעתם לדף האמור הווידאו לא פעל והאתר ממליץ להוריד את הגירסה העדכנית של נגן הווידאו, ולאחר שלחצתם על הלינק להורדה קפץ החלון האפור הידידותי והמוכר וביקש את רשותכם להתקין את התוכנה השימושית, אל תלחצו על "התקן". אם תעשו זאת תודבקו מייד בסוס טרויאני שיגנוב את פרטי חשבון הבנק וכרטיסי האשראי שלכם. הייחודיות בהדבקה זו היא הקונטקסט החברתי שלה. היא מתחילה בהודעה מחבר בתוך הרשת החברתית. לפיכך אחוז ההיענות גבוה בהרבה מסתם משלוח של הודעת מייל עם לינק לאתר הדבקה.
וריאציות פשוטות יותר של הדבקה כוללות אימייל מאתר חדשות מוכר עם ידיעה מסעירה כגון "מייקל ג'קסון מת!" או "ישראל מפסיקה את המבצע בעזה!". גם כאן מי שמתפתה ללחוץ על הלינק יעבור לאתר שינסה להדביק אותו באמצעות הורדת נגן וידאו או פלאש עדכני. כאן המקום לציין שתוכנות האנטי וירוס מתקשות להתמודד עם קצב ההתפתחות של התוכנות הזדוניות. עיקר הלוחמה בהדבקה בסוסים טרויאניים הוא באמצעות "חתימות", אך מפתחי הסוסים הטרויאניים מאפשרים להפיץ גירסאות חדשות בלחיצת כפתור כך שעד שחברת האנטי וירוס מצליחה להפיץ עדכון עם חתימה חדשה לאיום, הקורבנות כבר מורידים סוס טרויאני בגירסה שאין לה חתימה. חברת סיסקו פירסמה לאחרונה מחקר שהראה כי רק 40% מהסוסים הטרויאניים מתגלים ביום הפצתם על-ידי למעלה ממחצית מתוכנות האנטי וירוס.
בשורה התחתונה, במהלך השנה האחרונה השתנו כללי המשחק בכל הנוגע להדבקה. לא עוד קבצים שנשלחים באימייל: היום רוב ההדבקות נעשות באמצעות גלישה תמימה לאתרים שנפרצו, או הורדת קבצים מזוייפים לצורך צפייה בווידאו. קצב ההדבקה גבר פי עשרה ביחס לשנה שעברה: במקום שהאינטרנט יהיה מקום בטוח יותר, קרה ההפך הגמור. מצד שני, יש הרבה שאתם כצרכנים יכולים לעשות: לעדכן את האבטחה באופן אוטומטי במערכת ההפעלה, להוריד את הדפדפנים המעודכנים ביותר, לעדכן את תוכנות פלאש ו-Acrobat לגרסה האחרונה שלהן, ולא להוריד אף פעם קבצים שלא אתם יזמתם את הורדתם.
גיוס חמורים מקיף
חברת הלוגיסטיקה הבינלאומית אייר פרסל אקספרס היא אחד הכוחות העולים בשוק השילוח הגלובלי. היא מציעה שורה של פתרונות יצירתיים לעסקים ולאנשים פרטיים. מטה החברה ממוקם בשטוקהולם, ויש לה מתקני איחסון משוכללים ברחבי העולם. לא מזמן נפתח המחסן האחרון בריגה, לטביה. לפי אתר החברה קפץ מחזור המכירות שלהם פי שניים בשנה האחרונה, ולמרות המשבר הכלכלי הם דווקא מרחיבים השנה את הצוות התפעולי שלהם, מגייסים צעירים רבים ואפילו מציעים תנאי עבודה לא רעים בכלל.
אלא שהחברה הזו מפוברקת לחלוטין. מדובר בזיוף מוחלט, אחד מכ-600 הונאות פעילות המנסות לפתות אנשים בעבודה מהבית, ובעצם לגייס אותם לטובת העברת כספים וסחורות גנובות אל מחוץ למדינה. מי שפונה לאתר ההונאה עלול להפוך למה שקרוי בעגת הפושעים Mule, פרד בעברית, או במילה פחות עדינה - חמור שהרמאים רוכבים עליו כל הדרך אל הבנק. המשבר הכלכלי שהיכה בארה"ב ואירופה מהווה כר נרחב לגיוס אותם "חמורים".
במקרה של אייר פרסל אקספרס גילתה RSA כי בתוך מספר שבועות שלחו לא פחות מ-1,925 אמריקאים את קורות חייהם לחברה מצוצה מהאצבע. מתוך המועמדים "גייסה" אייר פארסל 33 איש למטרות העברת סחורות גנובות. ה"עובדים" התבקשו לקבל לביתם משלוחים של פלייסטיישן 3, לפטופים, אייפונים ושלל מוצרים נוספים שנקנו באתרי אינטרנט אמריקאיים (באמצעות כרטיסי אשראי גנובים, מה שלא היה ידוע לעובדים), ולשלוח אותם ללטביה או אוקראינה באמצעות חברות שילוח בינלאומי.
בשיחה שניהלתי עם בחורה מטקסס שנפלה קורבן להונאה דומה, היא סיפרה כי גויסה לחברה מפוברקת והובטחו לה משכורת של 65 אלף דולר בשנה, רכב צמוד ומכשיר בלקברי. היא קפצה על המציאה: כמה חודשים קודם לכן היא איבדה את עבודתה, ובמצב שבו יש 10% אבטלה בארה"ב לא שואלים יותר מדי שאלות. היא הצטרפה לחודש הכשרה שבמהלכו נשלח אליה כל יום חומר לימודי ובסוף השבוע היתה צריכה לעבור מבחן מסכם. לאחר ארבעה שבועות, נאמר לה, תקבל 3,000 דולר וגם תדע אם התקבלה לעבודה היוקרתית בחברה בינלאומית מובילה.
שבועיים אל תוך ההכשרה התבקשה לבצע תרגיל מעשי - לשלוח זוג לפטופים בשווי 5,000 דולר לאוקראינה באמצעות כסף שהופקד לחשבונה (מאוחר יותר התברר כי נמשך מחשבון של קורבן אחר אליו חדרו הרמאים). היא כבר קנתה את המחשבים וארזה אותם למשלוח, אך שעות ספורות לפני שהסחורה נשלחה בפועל הצליח החבר שלה למצוא אתר אינטרנט שזיהה את החברה כבדויה וכך ניצלה מלהיות חמור בשירות עולם הפשע המקוון.
לסיפור הזה יש סוף טוב, אך תעשיית גיוס החמורים בארה"ב ואירופה שברה ב-2009 את כל השיאים. אתר האינטרנט www.bobbear.com דיווח בדצמבר 2007 על 34 הונאות פעילות. בדצמבר 2009 קפץ המספר ל-591. מה שמניע את התעשיה הזו הוא הביקוש הגובר לשירותי הלבנת ההון עקב כמות החשבונות האדירה שנפרצת מדי יום באמצעות סוסים טרויאניים המתפשטים ברחבי האינטרנט במהירות. מה שמאפשר לתעשיה לצמוח כל כך הוא המשבר הכלכלי שמקל מאוד על גיוס משתפי פעולה. המגזר הפיננסי תוקף בעיה זו באמצעות יירוט מסדי נתונים של "חמורים" להשכרה, כמו גם מנגנון לשיתוף מידע על פעולות חשודות בזמן אמת בין הבנקים.
החדשות הטובות
למרות כל זאת, יש לאזן את התמונה. אני באופן אישי משתמש כל העת בבנקאות מקוונת, ומשלם בכרטיסי אשראי באינטרנט. כמי שנמצא במוקד העשייה של הלוחמה בפשע המקוון, אני יכול לומר שמול מפת האיומים המתגברת ניצב מגזר פיננסי נחוש להגן על עצמו תוך שילוב מגוון כלים גלויים וסמויים מן העין. רבים מהבנקים בעולם, כולל בישראל, מפעילים שירות לניטרול התקפות מקוונות כמו פישינג וסוסים טרויאניים. הם מנטרים מאחורי הקלעים את הפעילות בחשבון תוך שימוש בתוכנות חכמות המזהות כניסה ממחשבים לא מוכרים וחריגה מדפוסי התנהלות רגילים. כמות ההפסדים מהונאה מקוונת שדיווחו הבנקים בבריטניה זניחה (39 מליון פאונד) בהשוואה להפסדים מהונאות בכרטיסי אשראי (233 מליון פאונד), שכבר שנים מלווים את המגזר הבנקאי. אז נכון שהיום הסכנות רבות יותר, אך גם הכלים העומדים לרשות המוסדות הפיננסיים מתוחכמים ויעילים פי כמה מבעבר.
והרי התחזית
ב-2010 צפויה המגמה של התפתחות מהירה של סוסים טרויאניים מתוחכמים להתגבר, וכן צפוי גידול נוסף בקצב ההדבקה העולמי (ובכלל זה בישראל). בנוסף צפויים גם: התגברות הונאות טלפוניות תוך שימוש בנתונים שנלקחו מהערוץ האינטרנטי; פתיחה מסיבית של חשבונות בנק וכרטיסי אשראי חדשים תוך שימוש במידע אישי גנוב; תקיפות מקוונות הממוקדות בחשבונות בנק מסחריים של חברות; תקיפות המחקות שירותי ווב 2.0 שמציעים הבנקים.
http://it.themarker.com/tmit/article/9325
