TrendLab przestrzega! Cyberprzestępcy wykorzystują mundial jako przynętę

Według telewizji CNN Mistrzostwa Świata w Piłce Nożnej 2010 rozpoczynają „erę mediów społecznościowych”, nikogo więc nie zdziwi fakt, że wiele kampanii cyberprzestępczych wykorzystuje tę imprezę sportową, aby nakłonić kibiców do udostępniania danych osobowych i innych.

Jeden z najnowszych ataków wykorzystujących mistrzostwa świata w piłce nożnej jako przynętę opiera się na stosowaniu metod socjotechnicznych i szkodliwego oprogramowania na portalu Twitter. Kilka takich szkodliwych programów rozpowszechnianych za pośrednictwem popularnego serwisu blogerskiego wykrył Ivan Macalintal, doświadczony specjalista ds. badania zagrożeń z firmy TrendLabs. Tego rodzaju kampanie wykorzystują interesujące wydarzenia, aby nakłonić użytkowników do kliknięcia zainfekowanych łączy umieszczonych w informacjach publikowanych w serwisie Twitter.

Pierwsza kampania związana ze zbliżającymi się mistrzostwami świata polegała na zamieszczeniu w serwisie Twitter następującej publikacji:

Kliknięcie łącza przez użytkownika powoduje pobranie kopii furtki o nazwie BKDR_BIFROSE.SMK. Łączy się ona z adresami IP, które pozwalają zdalnemu użytkownikowi na przeprowadzenie w zainfekowanych systemach szkodliwych działań, takich jak wysyłanie i odbieranie plików oraz keyloggerów, a także pozyskiwanie nazw użytkownika i haseł. Furtka zawiera również funkcje rootkita, co umożliwia ukrycie tych procesów i plików przed ofiarami.

Mistrzostwa świata, będące wyjątkowo popularnym wydarzeniem sportowym na całym świecie, już zachęciły do działania oportunistycznych cyberprzestępców. Użycie sieci społecznościowych do przeprowadzenia ataków mających na celu pomnożenie zysków przestępców również nie jest rzadkością.

W innym ataku, wykrytym przez pracowników technicznych firmy TrendLabs, wyróżniono dwa oddzielne wątki rozsyłanego spamu. Pierwsza próbka spamu (rysunek 1) zawierała plik załącznika z rozszerzeniem .DOC, który informował odbiorców o najnowszym konkursie „Final Draw”, urządzanym we współpracy z komitetem organizacyjnym mistrzostw świata. Była tam również wzmianka o nagrodzie w wysokości 550 000 USD. Aby ją jednak odebrać, „zwycięzca” musiał natychmiast potwierdzić informacje kontaktowe zawarte w wiadomości. Musiał też przesłać swoje dane osobowe.

Kolejna próbka (rysunek 2) związana z tym oszustwem to kiepsko napisana wiadomość e-mail z równie słabym załącznikiem w formacie PDF. Odbiorców wiadomości poproszono o ujawnienie konkretnych informacji potrzebnych do wykonania przelewu środków w dającej do myślenia kwocie 10,5 mln USD. Po przystaniu na propozycję odbiorca teoretycznie powinien otrzymać 30% podanej kwoty.

Powyższa taktyka łudząco przypomina niesławną kampanię 419 zwaną nigeryjskim oszustwem, w której nakłaniano ofiary do wysyłania gotówki w zamian za obietnicę dużego zysku po przystąpieniu do współpracy. W tym przypadku pechowi naiwniacy mogą zostać zwabieni obietnicą otrzymania wyjątkowych biletów na ulubione imprezy sportowe.

Typowe oszustwo nigeryjskie polega na obiecywaniu ofiarom dużych sum pieniędzy, takich jak wygrana na loterii lub spadek, w zamian za coś mniejszego, np. za podanie określonych informacji lub przekazanie małej darowizny pocztą elektroniczną (rysunek 3). Wiadomość zaczyna się od (1) przedstawienia nadawcy jako członka jakiejś szanowanej instytucji. Następnie jest zamieszczana rozpaczliwa prośba o pomoc. Wykryty przez nas spam związany z mistrzostwami świata (rysunek 4) wykorzystuję tę samą technikę — (2) obietnicę przesłania odbiorcy dużej sumy pieniędzy.

Spam nie zawiera bezpośredniej prośby o gotówkę. Zamiast tego w obydwu oszustwach znajduje się prośba o podanie informacji bądź o skontaktowanie się z fałszywą osobą kontaktową (jak na rys. 3) wraz z wezwaniem do przesłania informacji kontaktowych (rys. 4). Mówiąc wprost, cyberprzestępcy stojący za tymi atakami to oszuści wykorzystujący Internet do popełniania przestępstw, takich jak kradzież tożsamości, rozsyłanie spamu, wyłudzanie danych osobowych i inne.

Pracownicy firmy TrendLabs poddali analizie ostatnio otrzymany e-mail pochodzący z innej kampanii rozsyłania spamu.

Spam ten zawiera załącznik w formacie .PDF, w którym znajdują się informacje na temat rzekomej wygranej na loterii. W załączniku znajdują się również instrukcje dotyczące podania danych osobowych i przesłania ich do osoby kontaktowej lub nadawcy wiadomości, co jest konieczne do potwierdzenia praw do nagrody.

Szczególnym elementem łączącym ostatnie kampanie rozsyłania spamu była osoba nadawcy wiadomości — pani Michelle Matins, wiceprezes — która była również sygnatariuszem oszustwa 419 (oszustwa nigeryjskiego).

Niektóre otrzymane próbki nie zawierały załączników i zostały podobno wysłane przez wiceprezesa FIFA o nazwisku Geoff Thompson. Dalsze śledztwo w tej sprawie wykazało, że to nazwisko pojawiało się już dawniej w próbach oszustwa.

Pierwszy atak spamu związany z Mistrzostwami Świata w Piłce nożnej 2010, udokumentowany przez TrendLabs, miał miejsce w pierwszej połowie roku 2009 — czyli na 18 miesięcy przed wydarzeniem. Spam ten dotyczył wygrywania nagród w loterii internetowej.

Infrastruktura Trend Micro™ Smart Protection Network™ chroni użytkowników przed tego rodzaju atakami poprzez blokowanie spamu, zanim dotrze on do skrzynki odbiorczej, z wykorzystaniem usługi do oceny reputacji. W miarę zbliżania się mistrzostw użytkownicy powinni mieć się na baczności przed takimi atakami lub ich wariantami. Według telewizji CNN Mistrzostwa Świata w Piłce Nożnej 2010 rozpoczynają „erę mediów społecznościowych” i z pewnością zostanie pobitych wiele rekordów w zakresie globalnej interaktywności związanej z tą imprezą.