Computerworld News Service: Spam-baserede phishing-angreb er faldet mærkbart i årets første halvår, men cyberkriminelle er muligvis bare ved at gå over til andre metoder, der er mere effektive til at stjæle persondata, påpeger IBM i sin halvårlige sikkerhedstrussels-rapport.
"Nedgangen i phishing-angreb og forøgelsen på andre områder (såsom bank-relaterede trojanere) indikerer, at angriberne muligvis er i færd med at flytte deres ressourcer til andre metoder for at høste de indtjeninger, som phishing engang gav."
Således lyder den forklaring, som IBM giver i "IBM Internet Security Systems 2009 Mid-Year Trend & Risk Report". Ifølge denne rapport står Rusland øverst på listen over lande, der udsender phishing-e-mails med 7,2 procent af andelene, mens Kina er det land, der hoster flest spam-URL'er.
IBM's halvårlige sikkerhedsrapporter giver et bredt overblik over sikkerhedstendenser baseret på virksomhedens egne analyser af enorme mængder af sensor-data, web crawler-teknologier og andre ressourcer, der bruges til at indsamle information fra IBM's division Internet Security Systems (ISS).
I første halvår 2009 bestod 55 procent af al observeret ny malware af trojanere, hvilket er en forøgelse på ni procent i forhold til året før, påpeger rapporten. Trojansk malware, der inkluderer downloadere og såkaldte info-stealers, bruges hovedsagligt i form af "offentligt tilgængelige værktøjer", som er "lette at bruge" af kriminelle, fremhæver rapporten.
Bedre afkast
Det er muligt, at antallet af phishing-angreb er faldet, fordi kriminelle "sandsynligvis får bedre resultater med trojanere," siger Dan Holden, som er X-Force product manager ved IBM's ISS-division. "Det handler om investeringsafkast for dem."
I det store perspektiv er nettet et "farligt sted," mener Holden. Kriminelle udnytter software-sårbarheder til at kompromittere websites med skadelig kode, eller de udnytter simpelthen den åbenhed, der er i offentligt tilgængelige sociale netværksfora, til at placere skadelig kode for at angribe deres ofre.
Med et generelt blik på internettets websites mener IBM, at omkring otte procent af internettet på nuværende tidspunkt kan klassificeres som "uønsket indhold såsom pornografiske eller kriminelle websites." Dette inkluderer websites om at hacke, om ulovlige stoffer, malware samt websites, der sælger kopivarer og lignende.
Antallet af skadelige links brugt til at narre brugere til at downloade malware eller til at besøge skadelige websites er steget med 508 procent i første halvår 2009 sammenlignet med første halvår 2008, viser rapporten. USA er øverst på listen over lande med sådanne skadelige links med 36 procent af de kendte skadelige links, mens Kina er nummer to.
Skadelige links er ofte indlejret i websites, som brugere har tillid til, hvor angriberne forsøger at udnytte disse websites sårbarheder eller simpelthen placerer skadelig kode på offentligt tilgængelige sider og fora, som de jo har mulighed for at bruge lige som alle andre.
"Angriberne fokuserer mere og mere på at udnytte det gode navn fra websites, der er tillid til, så slutbrugerne har paraderne nede," bemærker IBM.
Betroede domænenavne bruges som lokkeduer
Hvad enten det er sociale netværk, nyheder, søgemaskiner eller webmagasiner, så vil disse websites ende med at hoste mindst et link, som typisk vil pege mod et kendt skadeligt website. Spil- og pornografiske sites har tilsyneladende ofte skadelige links systematisk integreret overalt i sig, hvilket leder IBM til at kommentere, at der sandsynligvis ofte er overskudsdelende forbindelser mellem sådanne sites og kriminelle.
Når det kommer til spam, så bliver langt størstedelen i dag stadig kategoriseret som URL-spam, hvor en person klikker for at læse spam-mailens indhold. Kina står for 41,4 procent af alle spam-URL'er, viser rapporten.
En bekymrende tendens er, at mængden af spam, der bruger "velkendte og betroede domænenavne fortsat stiger," idet legitime websites udnyttes ved hjælp af links offentliggjort i fora og andre offentlige kommentar-områder, der er associerede med legitime websites.
"Betroede domænenavne bruges ofte som lokkeduer," påpeger Holden.
Undersøgelsen fra IBM viser et skarp opsving af denne form for URL-spam, som udnytter populære domænenavne, der normalt er tillid til, hvor de største mål inkluderer Yahoo.com, Ask.com, About.com (der ejes af New York Times Company), akamaitech.net (der ejes af Akamai Technologies), CNN.com (der er det officielle site for Cable News Network), Go.com (der ejes af Walt Disney Internet Group), Googlegroups.com (Googles gratis tjeneste til diskussionsgrupper) samt sites om sundhedsinformation som WebMD.com, HealthCentral.com og menshealth.com (der publiceres af Rodale).
Af andre sites, der særligt rammes er Rodale.com, MSN.com (som er en joint venture mellem NBC Universal og Microsoft), Mansellgroup.net samt interia.pl (som er en stor polsk webportal).
I rapporten retter IBM også opmærksomheden på væksten i "anonyme proxy," der defineres som web-proxy'er, der "lader brugere indtaste en URL i en web-formular i stedet for at besøge sitet direkte."
IBM advarer, at hvis et webfilter ikke er sat op til at overvåge eller blokere anonyme proxy'er, så vil aktivitet, der ellers kunne være blevet stoppet, omgå filteret og lade brugeren besøge et ikke-godkendt website. Der er i dag flere end dobbelt så mange anonyme proxy'er end for 18 måneder siden, fortæller IBM. Flere end 80 procent af de nyligt registrerede anonyme proxy'er hostes i USA.
Der har været en nedgang af softwaresårbarheder på otte procent i forhold til første halvår 2008 med 3.240 rapporterede sårbarheder i første halvår 2009 offentliggjort af leverandører og open source-communities, der udvikler på en kodebase.
Ved at rangere sikkerhedshuller, der ikke er blevet lukket, fik open source-CMS'et Joomla! den værste placering, hvor 80 procent af dens 40 offentliggjorte sårbarheder er forblevet åbne, viser IBM.
Joomla! er efterfulgt af Apple med 18 procent af 122 offentliggjorte sårbarheder, der stadig står på vid gab. I software fra Microsoft står 17 procent af 100 offentliggjorte sårbarheder stadig åbne, hos open source-CMS'et Drupal er 14 procent af 65 offentliggjorte sårbarheder stadig åbne, mens 14 procent af 59 sårbarheder i Mozillas software stadig er åbne.
Hos Cisco, Novell, HP og Sun står 14 procent eller derunder af deres softwares offentliggjorte sikkerhedshuller stadig åbne, viser rapporten fra IBM.
Oversat af Thomas Bøndergaard
