NYE METODER: Angriperne tar i bruk nye metoder i sine forsøk på å trenge inn i datamaskiner på jakt etter verdier. (Bilde: Franck Pennant)

Eksplosjon av nye trusler

  • IT

Symantecs halvårsrapport for 2009 tyder på kreative hoder blant nettbrukere med uhederlige hensikter. Selskapets sikkerhetseksperter blokkerer gjennomsnittlig over 245 millioner angrepsforsøk hver måned verden over, og store deler av disse skjer gjennom nye typer trusler:

Hackerne massedistribuerer ikke lenger ondsinnet kode, men sender oftest en større mengde trusler i mindre skala i stedet. Mange av de nye trusselvariantene består av tusenvis av ulike trusler som kommer fra kjente, unike trusselfamilie og sprer seg blant annet gjennom fildeling, e-post, og portable medier.

Dette skaper muligheter for et ubegrenset antall nye unike ondsinnede programmer. Dette gjør at behovet for kompletterende oppdagelsesmetoder, for eksempel heuristikk, atferdsblokkering og omdømmebaserte sikkerhetsmodeller øker.

Den økonomiske krisen

Den økonomiske krisen har blitt benyttet i mange angrep i løpet av 2009. Angrepene, som rettes mot arbeidsløse, har inneholdt både søppelpost og phishing.

Utover de falske ”jobbe hjemmefra”-tilbudene, dreier det seg om trusler i jobbannonser og på jobbnettsider.

- Vi har også kunnet se trusler mot mennesker som har mistet sine hjem, som søker lån eller finansiering, samt trusler relatert til de amerikanske økonomiske stimulanseinitiativene, skriver Symantec i sin rapport.

Sosiale nettverk

Sosiale nettverkssider fortsetter å være et populært mål for phishere, ettersom de kan benytte de sosiale koblingene til sine angrep.

  • Et eksempel er phisherne som hacket en brukerkonto hos en velkjent sosial nettverksside og angrep brukerens venner.
  • Et annet eksempel er spill som dukker opp på en populær bloggside. Deltakerne ble bedt om å legge inn personlig informasjon, og alt virket normalt inntil deltakerne innså at de hadde utlevert sensitiv informasjon til de som styrte spillet.




Økte søppelpostnivåer

I løpet av 2008 kunne Symantec se hvordan søppelpostnivået falt med 65 prosent da McColo ble stengt.

- Vi forutså at de skulle komme tilbake til 75-80 prosent i løpet av 2009. Tidlig i juni rapporterte Symantec at FTC i samarbeid med andre har stengt ned ISP-en Pricewert LLC. Til tross for at dette var et godt eksempel på hvordan sikkerhetsaktører kan samarbeide i kampen mot internettkriminalitet, var søppelpostnivåene fortsatt høye i løpet av hele juni og utgjorde ca 90 prosent av all e-post, står å lese i rapporten.

Michael Jacksons bortgang, jordskjelvet i Italia og svineinfluensaen er eksempler på aktuelle hendelser som benyttes av spammere.

Avanserte webtrusler

En større og større del av de ondsinnede aktivitetene er webbaserte. Mange av angrepene skjer ved at man besøker ekte websider som kompromitteres av hackere og gjøres om til sider med ondsinnet innhold.

Såkalte drive-by downloads er en lett måte å bli infisert på. Da lastes ondsinnet innhold ned til datamaskinen uten at brukeren har godkjent eller kjenner til det.

Webbaserte angrep på velkjente domener via sosiale nettverksmiljøer er også dukket opp. For eksempel sendte hackere nylig ut falske innbydelser som inneholdt en massemailet orm til en sosial nettverksside.

Andre hackere utnytter oftere plug-in-programmer og såkalte cross-site scripting-sårbarheter, over ondsinnet JavaScript eller ikke oppdaterte nettlesere.

Flere comeback

I løpet av første del av 2009 så vi at noen av de mest kjente truslene inneholdt ”gamle” metoder. Den storstilte distribusjonen av et mindre antall trusler, som var typisk for trusler som CodeRed og Nimda, benyttes delvis av Koobface-ormen, som spredde seg gjennom sosiale nettverk og Conficker-ormen, en av de mest komplekse og utbredte truslene på Internett på flere år.

Majoriteten av angrepene den senere tiden har hatt økonomisk motivasjon, som å stjele personlig informasjon, distribuere falske sikkerhetsprogrammer og spre søppelpost.

På samme måte som i gamle angrep, ser hensikten bak "Trojan. Dozer distributed denial of service-attacker" (DDoS), på norsk "tjenestenektangrep", ut til å være å få oppmerksomhet eller å forårsake skade.





Bransjesamarbeid om sikkerhet

I takt med at angrepene har blitt mer og mer sofistikerte, øker kravet til at bransjen samarbeider for å kunne avverge trusler.

I februar 2009 ble for eksempel Conficker Working Group etablert, bestående av ledende representanter fra IT-industrien og akademia for sammen å møte trusselen fra Conficker-ormen.

I denne gruppen arbeidet sikkerhetsforskere, Internet Corporation for Assigned Names and Numbers (ICANN) og flere leverandører i bransjen sammen for å stenge domener som ble infiltrert av Conficker.





Scare ware

Bedrageri som etterligner tradisjonelle forretningsmetoder fortsetter. Dagens hackere blir stadig mer organiserte, og benytter metoder som ligner tradisjonelle forretningsmetoder. Falske annonser, såkalte ”malvertisments”, (oftest i ”flash”) leder brukerne til falske nettsider. Både kjente og ukjente nettsider kan bli utsatt for denne typen trusler.

Disse falske og misledende programmene, ofte kalt ”scareware” utgir seg for å være antivirusskannere, og lover å sikre eller rense brukerens datamaskin. Når det falske virusprogrammet er installert forsøker programmet å lure brukeren til å tro at datamaskinen er infisert av mange trusler. Dette skjer gjennom pop-ups, ikoner på programmenyen og lignende. Vanligvis begynner disse programmene med en falsk skanning av systemet, og fortsetter med å rapportere om ikke-eksisterende trusler på datamaskinen.

Målet er å lure brukeren til å kjøpe et falskt produkt som lover å rense datamaskinen for alle disse oppdiktede truslene.