Phishing bliver fortsat mere og mere udbredt og samtidig bliver "fiskerne" mere udspekulerede. CSIS har analyseret den seneste tendens med udgangspunkt i februar måned 2005. CSIS har i løbet af de seneste måneder registreret en betydelig fremgang i produktionen af trojan-banker varianter - i daglig tale Netbank-tyve.
Trojan-banker benævnelsen dækker over små programmer, specielt udviklet med det formål, at opsnappe bankoplysninger fra letsindige brugere. Fælles for bank-tyve er en funktionalitet, som skal gøre dem i stand til at stjæle brugernavne, passwords og certifikater fra netbank kunder.
Vores undersøgelse afslører, at skandinaviske banker endnu ikke er inkluderet som direkte mål i de bank-tyve, som vi har modtaget og analyseret. Vi har heller ikke modtaget nogen rapporteringer, fra de internationale samarbejdsgrupper, hvor CSIS er repræsenteret. Det billede kan dog hurtigt vende.
En del bank-tyve ankommer f.eks. i form af elektroniske postkort. Hvis brugeren følger det link, som er inkluderet i e-mailen, så forsøges bagdøren installeret på systemet under dække af at være en personlig besked. Det sker ved udnyttelse af snedig "social engineering", hvor brugeren med udsigt til noget helt andet, lokkes til at åbne filen direkte fra siden, eller svarer ja til installation af en usikker ActiveX komponent. Når bagdøren er installeret på systemet, aflures brugeren for følsomme oplysninger, som afhængig af bagdørens funktionalitet, transmitteres eller kan tilgås af de ondsindede personer, som har udviklet den specifikke bank-tyv.
Vi har registreret en vækst i denne type skadelig kode, som åbenlyst er populære i Brasilien. Alene sidste måned (Februar) opfangede vi 246 unikke phishing forsøg, hvor trojan-bankers blev anvendt. De fleste var tydeligvis udviklet af it-kriminelle bosat i Brasilien.
I perioden 1.februar 2005 frem til 15. februar blev der opfanget 87 unikke phishing forsøg, hvor trojan bankers blev brugt som den ultimative madding. Af disse 87 unikke trojan-bankers er 32 fortsat aktive. I perioden fra den 16. februar frem til den 1. marts opsamlede vi 159, hvoraf 102 fortsat er aktive. De fleste af de aktive trojan-bankers befinder sig på hjemmesider hos henholdsvis AOL England og Brasilien og på private hjemmesider under Netscape. Vi har trods vores anstrengelser fortsat svært ved at få udbyderne til at lukke siderne ned, ligesom private ADSL maskiner, som kompromitteres i Sydamerika, nærmest er umulige at få lukket ned.
Én ud af 246 bank-tyve befandt sig i Danmark hos TDC
Af de i alt 246 individuelle bank-tyve, som danner grundlag for vores rapport, blev én af disse hostet i Danmark på en privat ADSL under TDC privat. Vi rapporterede problemet til CSIRT, som få timer efter at have modtaget vores rapport, lukkede den inficerede maskine ned.
Trojan-Bankers
Trojan-Bankers dækker over en stor familie af skadelig kode med det specifikke formål at stjæle bankoplysninger fra personer, som er blevet lokket til at køre bagdøren. Koden er ofte skrevet med et specifikt mål. Målet har i langt de fleste trojan-bankers indtil nu været rettet mod mindre brasilianske banker og Netbank-kunder og naturligvis store internationale banker.
Trojan-Bankers vigtigste opgave er at operere usynligt på et inficeret system. De fleste injekter sig som en proces under eksempelvis Microsoft Internet Explorer og formår derved at gemme sig. Det kan bl.a. ske ved at binde sig til browseren som et Browser Helper Objekt (BHO). Herfra afventer trojan-bankeren, at en særlig URL (adresse på en netbank eller anden online service), som tastes ind i browseren, eller følges via et bogmærke, skal udløse netbank tyven. Netbank tyven, der nu er aktiveret, vil logge alle kommandoer og transaktioner, som køres igennem browseren, og som tastes på tastaturet. Flere netbank tyve registrerer og logger sågar muse-bevægelser.
Flere netbank-tyve plantes fra hjemmesider med pornografisk indhold
Et stort antal af de nyere Net-bank tyve leveres via ActiveX komponenter og indlejres anonymt på bl.a. pornografiske hjemmesider, eller på hjemmesider, hvor der tilbydes illegale serie-numre til populært software. Hvis en bruger surfer efter pornografisk indhold på nettet med en browser, som ikke er opdateret eller konfigureret korrekt, så åbner man en ladeport for ondsindet kode. Et stort antal skadelig kode inkluderer fortsat spyware og adware, som hurtigt bliver til stor irritation for brugeren. I direkte kontrast til trojan-bankers, der i sagens natur ligger i dvale på systemet og afventer en særlig kombination eller en specifik internet-adresse, der får den til at aktivere sin overvågning af brugeren.
Dræber og simulerer Anti-virus og spyware
De mere sofistikerede trojan-bankers kan deaktivere anti-virus og spyware beskyttelse. De gør det på så smart en måde, at det for brugeren ser ud til at programmet kører på systemet, men i virkeligheden er det en proces, som bank-tyven har startet, og som imiterer programmet med ikon og procesnavn.
CSIS har brugt mange timer i vores bestræbelser på at beskytte og informere om phishing samt på analyse af den nye bølge af trojan-bankers. Der syntes at herske visse fællestræk, der indikerer, at de mange varianter skabes af en håndfuld mennesker, som er yderst produktive. Der kan være tale om bestillingsarbejde.
Hvis vi kigger nærmere på truslen mod Danmark, er det vores vurdering, at Danmark hverken er bedre eller dårligere rustet til at håndtere denne type it-kriminalitet. De danske netbanker håndhæver generelt et sikkerhedsniveau, som på nogle områder er bedre end den overordnede netbank sikkerhed, der praktiseres i USA. Det er derfor ikke vores vurdering, at Danmark skulle være dårligere rustet end andre lande, hvor phishing er et mere udbredt problem.
Mangelfuld anti-virus detektion
En test foretaget op mod markedets ledende anti-virus software er nedslående. Op imod 40 procent af de 246 testede netbank tyve bliver ikke detektet af populært antivirus software. Vi indsender løbende denne type kode, så den kan inkluderes i virussignaturen, men antivirus producenterne er tydeligvis bagud og prioriterer ikke denne type malware højest.
Top 5 domæner i trojan-banker phishing indfanget i perioden 1. februar til 1. Marts 2005.
De resterende 119 unikke netbank trojaner fordeler sig på andre servere og kompromitterede ADSL linjer. Samlet set er de resterende 119 samples fordelt på 88 forskellige domænenavne/IP adresser.
Fremtiden
Det er oplagt, at vi i fremtiden også vil se Trojan-bankers leveret via MSN Messenger. Ondsindede personer har fundet et hul, som i mange virksomheder står pivåbent. Når MSN Messenger beskeder kan tillades, fordi brugeren kan kommunikere over MSN Messenger, med alle andre på Internettet, og uden filter, så åbner det risiko for at bank-tyve også forsøges båret over dette medie.
Målet ved at sende over MSN Messenger er bredt og kan sigte både på personer, som anvender MSN Messenger i arbejdsmæssig sammenhæng og private brugere. Vi ser denne tendens udnyttet af bl.a. Kelvir familien, som har det sekundære mål, at indfange inficerede maskiner i et centralt kontrolleret BOT netværk. Fra sådanne netværk kan uhindret plantes trojan-bankere på zombie maskiner, ligesom disse kan misbruges til en lang række andre formål.
Trojan-bankers rettet mod Skandinaviske banker
Alle tendenser peger i retning af målrettede angreb mod udvalgte banker. Tendensen bestyrker vores frygt for at fremtidige bank-tyve vil være skrevet med det mål, at opsamle brugere indenfor Skandinavien. Bank-tyve kan forventes at indeholde specifikke funktioner, som skal give adgang til netbanker i Skandinavien.
Flere unikke Trojan-bankers lurer i fremtiden
På baggrund af den seneste stigning i forsøg på økonomisk kriminalitet og det faktum, at antallet af unikke varianter af trojan-banker familien forsat forøges dag for dag, leder os til den konklusion, at denne type bagdør vil blive populær i fremtiden og i stigende grad vil blive integreret i phishing forsøg.
Peter Kruse repræsenterer it-sikkerhedsfirmaet CSIS i AntiPhishing Working Group (APWG) og Digital Phishnet.
Premium
Har du hentet dem alle? Her er danskernes foretrukne apps