Útočníci oprášili podvodné e-maily nabádající k otevření PDF dokumentů, a tak stále pronikají do našich schránek. Reagují však i na nové legislativní úpravy – podvody a zase podvody.
Jen málokterá podvodná technika se ve své původní podobě udrží delší dobu, a tak útočníci pravidelně mění související detaily. Útoky a podvody zneužívající e-maily jsou na denním pořádku takřka od počátku vzniku elektronické pošty, a tak by si dnes na jejich úspěchy ve velké míře vsadil jen málokdo. Nicméně stále se jí daří a slávy se dočkala další varianta.
Na první pohled není novinka s názvem W32.Imsolk.B@mm nijak zajímavá. Šíří se především e-mailem s názvem "Here you have" nebo "Just for you" a nevyužívá přitom žádného nového rafinovaného způsobu šíření. Pastí je odkaz zdánlivě směřující na PDF dokument. Místo dokumentu s informacemi si však uživatel stáhne škodlivý kód, který umí deaktivovat bezpečnostní software v napadeném počítači a šířit se dál. Na rapidní nárůst nákazy W32.Imsolk.B@mm upozornil Symantec nebo McAfee.
Vyplatí se věřit instant messagingu?
Kromě e-mailu zvládne W32.Imsolk.B@mm i alternativní způsoby šíření skrze autorun a instant messaging. Právě tato charakteristika bývá typická pro moderní škodlivý kód, jelikož omezovat se na jedinou možnost šíření je z pohledu malwarového tvůrce často nevýhodné – když už má základní prvky kódu, může si přidáním různých cest nákazy výrazně zvýšit úspěšnost.
Instant messaging, tedy jedna z cest šíření W32.Imsolk.B@mm, se vinou svého úspěchu v posledních letech dočkal častého zneužití. Většina IM klientů se snaží zpřístupnit komunikaci v co možná nejvíce případech, proto nabízí hned několik možností nastavení připojení do sítě. Výsledkem je možnost komunikace přes firewally, proxy servery i další „omezující“ prvky, bohužel však s tím stoupá také pravděpodobnost zneužití nechráněného kanálu. Typickým příkladem může být šíření klasických počítačových virů nebo jiného škodlivého kódu skrze standardní nástroj přenosu souborů daného IM klienta.
Riziko ovšem skrývá také podpora vkládání hypertextových odkazů do textu zasílané zprávy, přičemž toto nebezpečí je v některých ohledech možná ještě nepříjemnější než v případě klasického webového surfování. Pokud totiž uživateli přijde podvržený, nicméně dobře personalizovaný text, který obsahuje klamavý odkaz, pak jej velice často ze zvědavosti následuje – odesílatelem se přece zdá být kolega ze seznamu kontaktů. Zákeřná zpráva se pak většinou šíří dále, k čemuž opět využívá obsah seznamu kontaktů.
Falešné formuláře pro uchazeče
Zmíněný instant messaging i přes své zajímavosti z pohledu nebezpečí nepatří mezi hlavní hrozby, což se však nedá říct o phishingových stálicích. Klasický phishing, jenž denně plní e-mailové schránky po celém světě, podvodníci poslední dobou vhodně doplňují vylepšeným SEO odkazovaných podvodných stránek. Ve výsledku vás tak může hledání na webu nenápadně dovést na podvodné stránky, aniž by cesta byla jakkoliv výrazně podezřelá.
V této souvislosti si společnost McAfee v nedávné zprávě všimla zajímavé vlny útoků, která zneužívá aktuální úpravy postupu při cestování do Spojených států. Lidé ze zemí, které mají s USA bezvízový styk (do této skupiny patří i Česká republika), nyní podle nového amerického nařízení musí před cestou vyplnit on-line autorizační formulář. Tento systém, provozovaný americkým ministerstvem vnitra, se nazývá ESTA (Homeland Security’s Electronic System for Travel Authorization). Cizinci ovšem mnohdy neznají dostatečně dobře americké reálie, nedokáží odlišit pravý oficiální web ESTA od jeho nápodob, a představují proto pro podvodníky ideální cíl. Společnost McAfee zjistila, že vyhledávače v odpověď např. na dotazy „ESTA“, „ESTA form“ nebo „ESTA online registration“ zobrazí odkazy na velké množství nebezpečných webů.
První odkaz vyhledávání je správnou cestou při hledání ESTA. Nicméně i tato korektní doména může svým tvarem řadu uživatelů odradit...
Některé weby tvrdí, že provedou celý proces vyplnění formuláře za uživatele a komunikují s oficiálním webem ESTA. Za tuto službu (de facto zprostředkování) si ovšem určují vysoké poplatky, od 30 do 250 dolarů. Ve skutečnosti ale údaje do systému ESTA vůbec předat nemusí. Uživatel je také nucen sdělit údaje o své platební kartě a další potenciálně citlivé informace (např. datum pobytu v USA). Výjimkou však nejsou ani falešné formuláře ke stažení: podvodníci vyzývají uživatele, aby si stáhli formulář a vyplnili ho off-line. Tento dokument však obsahuje malware s různou funkčností. Samotná pravá aplikace ESTA nevyžaduje nic stahovat, všechny formuláře se vyplňují online.
Naštěstí u většiny právě uvedených současných útoků stačí přemýšlet, než uživatel na něco klikne, případně jako zálohu použít antivir. V případě podvodných e-mailů a stránek lepší antivir, než je naše zdravé prvotní rozhodování, ještě žádný výrobce nevymyslel.
