Przestępcy wykorzystują mundial

Według telewizji CNN Mistrzostwa Świata w Piłce Nożnej 2010 rozpoczynają „erę mediów społecznościowych”. Wiele kampanii cyberprzestępczych wykorzystuje tę imprezę, aby nakłonić kibiców do udostępniania danych osobowych i innych.

Jeden z najnowszych ataków wykorzystujących mistrzostwa jako przynętę opiera się na stosowaniu metod socjotechnicznych i szkodliwego oprogramowania na portalu Twitter. Kilka takich szkodliwych programów rozpowszechnianych za pośrednictwem popularnego serwisu blogerskiego wykrył Ivan Macalintal, specjalista ds. badania zagrożeń z TrendLabs. Tego rodzaju kampanie wykorzystują interesujące wydarzenia, aby nakłonić użytkowników do kliknięcia zainfekowanych łączy umieszczonych w informacjach publikowanych w serwisie Twitter.

Pierwsza kampania związana ze zbliżającymi się mistrzostwami świata polegała na zamieszczeniu w serwisie Twitter następującej publikacji:

Kliknięcie łącza przez użytkownika powoduje pobranie kopii furtki o nazwie BKDR_BIFROSE.SMK. Łączy się ona z adresami IP, które pozwalają zdalnemu użytkownikowi na przeprowadzenie w zainfekowanych systemach szkodliwych działań, takich jak wysyłanie i odbieranie plików oraz keyloggerów, a także pozyskiwanie nazw użytkownika i haseł. Furtka zawiera również funkcje rootkita, co umożliwia ukrycie tych procesów i plików przed ofiarami.

Mistrzostwa świata, będące wyjątkowo popularnym wydarzeniem sportowym na całym świecie, już zachęciły do działania oportunistycznych cyberprzestępców. Użycie sieci społecznościowych do przeprowadzenia ataków mających na celu pomnożenie zysków przestępców również nie jest rzadkością.

Mistrzostwa świata a SPAM

W innym wykrytym ataku wyróżniono dwa oddzielne wątki rozsyłanego spamu. Pierwsza próbka spamu (rysunek 1) zawierała plik załącznika z rozszerzeniem .DOC, który informował odbiorców o najnowszym konkursie „Final Draw”, urządzanym we współpracy z komitetem organizacyjnym mistrzostw świata. Była tam również wzmianka o nagrodzie w wysokości 550 000 USD. Aby ją jednak odebrać, „zwycięzca” musiał natychmiast potwierdzić informacje kontaktowe zawarte w wiadomości. Musiał też przesłać swoje dane osobowe.

Kolejna próbka (rysunek 2) związana z tym oszustwem to kiepsko napisana wiadomość e-mail z równie słabym załącznikiem w formacie PDF. Odbiorców wiadomości poproszono o ujawnienie konkretnych informacji potrzebnych do wykonania przelewu środków w dającej do myślenia kwocie 10,5 mln USD. Po przystaniu na propozycję odbiorca teoretycznie powinien otrzymać 30% podanej kwoty.

Powyższa taktyka łudząco przypomina niesławną kampanię 419 zwaną nigeryjskim oszustwem, w której nakłaniano ofiary do wysyłania gotówki w zamian za obietnicę dużego zysku po przystąpieniu do współpracy.  W tym przypadku pechowi naiwniacy mogą zostać zwabieni obietnicą otrzymania wyjątkowych biletów na ulubione imprezy sportowe.

Typowe oszustwo nigeryjskie polega na obiecywaniu ofiarom dużych sum pieniędzy, takich jak wygrana na loterii lub spadek, w zamian za coś mniejszego, np. za podanie określonych informacji lub przekazanie małej darowizny pocztą elektroniczną (rysunek 3). Wiadomość zaczyna się od (1) przedstawienia nadawcy jako członka jakiejś szanowanej instytucji. Następnie jest zamieszczana rozpaczliwa prośba o pomoc.  Wykryty przez nas spam związany z mistrzostwami świata (rysunek 4) wykorzystuję tę samą technikę — (2) obietnicę przesłania odbiorcy dużej sumy pieniędzy.

Spam nie zawiera bezpośredniej prośby o gotówkę. Zamiast tego w obydwu oszustwach znajduje się prośba o podanie informacji bądź o skontaktowanie się z fałszywą osobą kontaktową (jak na rys. 3) wraz z wezwaniem do przesłania informacji kontaktowych (rys. 4). Mówiąc wprost, cyberprzestępcy stojący za tymi atakami to oszuści wykorzystujący Internet do popełniania przestępstw, takich jak kradzież tożsamości, rozsyłanie spamu, wyłudzanie danych osobowych i inne.

Pracownicy firmy TrendLabsSM poddali analizie ostatnio otrzymany e-mail pochodzący z innej kampanii rozsyłania spamu.

Spam ten zawiera załącznik w formacie .PDF, w którym znajdują się informacje na temat rzekomej wygranej na loterii. W załączniku znajdują się również instrukcje dotyczące podania danych osobowych i przesłania ich do osoby kontaktowej lub nadawcy wiadomości, co jest konieczne do potwierdzenia praw do nagrody.
Szczególnym elementem łączącym ostatnie kampanie rozsyłania spamu była osoba nadawcy wiadomości — pani Michelle Matins, wiceprezes — która była również sygnatariuszem oszustwa 419 (oszustwa nigeryjskiego).

Niektóre otrzymane próbki nie zawierały załączników i zostały podobno wysłane przez wiceprezesa FIFA o nazwisku Geoff Thompson. Dalsze śledztwo w tej sprawie wykazało, że to nazwisko pojawiało się już dawniej w próbach oszustwa.

Źródło: Tend Micro

Komentarze

1
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    0
    a juz myslalem ze na koncu tego artykulu pojawi sie tresc typu: firma x przedstawia super nowoczesny system antywirusowy wykrywajacy probe wyludzenia z przychodzacych maili itp :)

    z drugiej strony to musi byc strasznie skuteczny ten nigeryjski system skoro w dalszym ciagu ktos go uzywa do wyludzen, chociaz nie miesci mi sie w glowie ze ktos moze byc tak naiwny by dac sie na to nabrac