Symantec heeft de internetbedreigingen in 2006 en een vooruitblik op 2007 bekend gemaakt.
De belangrijkste trends in 2006 – algemeen
Symantec heeft in de eerste helft van 2006 2.249 nieuwe kwetsbaarheden vastgelegd. Dit betekent een verhoging van 18 procent ten opzichte van de 1912 kwetsbaarheden die in de tweede helft van 2005 werden gedocumenteerd. Het is een stijging van 20 procent ten opzichte van de 1.874 kwetsbaarheden die werden gerapporteerd in de eerste helft van 2005.
Beveiligingsrisico's kunnen van verschillende technieken gebruik maken om weerstand te bieden tegen hun verwijdering van de computer van de gebruiker. In de eerste zes maanden van 2006 gebruikten de helft van de belangrijkste beveiligingsrisico's verschillende technieken om verwijdering uit de systemen te voorkomen. De strategie van de makers van beveiligingsrisico's om de kenmerken van hun programma te veranderen door deze geregeld bij te werken in de hoop te ontkomen aan antispywarescanners. DialPlatform werkte zichzelf bijvoorbeeld 11,9 keer per dag bij gedurende de eerste zes maanden van 2006 en ZangoSearch deed dat 10,7 keer per dag.
Sommige van dezelfde geavanceerde ontwijkingstechnieken in de vorm van spyware, rootkits en/of keyloggers worden ook gebruikt in phishingaanvallen om vertrouwelijke, persoonlijke of financiële gegevens te verkrijgen.
On-linefraude/phishing
In de loop van 2006 heeft Symantec kunnen constateren dat on-linefraude gestaag is gegroeid en geraffineerder is geworden. Vaak gaat het hierbij om on-line oplichterij via phishing: de inzet van technieken om mensen met een truc over te halen persoonlijke gegevens te verstrekken, zoals bank- of creditcardgegevens.
Symantec spoorde in september 2006 dagelijks meer dan duizend unieke phishingberichten op, neemt per dag in totaal meer dan zeven miljoen phishingpogingen waar en spoort in september 2006 dagelijks meer dan duizend unieke phishingberichten op.
Aanvallers ontwikkelen voortdurend hun technieken om on-linefraude te plegen. Het gaat om vishing en SMishing. Vishing is een nieuwe vorm van phishing waarbij potentiële slachtoffers wordt gevraagd een telefoonnummer te bellen, zodat zij in contact komen met een crimineel die hen vraagt vertrouwelijke gegevens te verstrekken. Bij SMishing wordt een phishingbericht verstuurd via SMS.
Er valt bij phishing een aantal interessante week- en seizoenstrends te signaleren. Een interessante weektrend is dat het aantal phishing-e-mails in het weekend daalt en weer stijgt op dinsdag, wat suggereert dat phishers vooral actief zijn tijdens gewone werkdagen. Van zaterdag op zondag zakt het aantal met 31% en ook op maandag blijft het laag. Uit de gegevens van Symantec blijkt dat het aantal unieke phishing-e-mails tijdens de zomermaanden licht is gedaald.
De financiële dienstverlening is de sector die de meeste phishers als doelwit kiezen. Aanvallen op deze sector zijn voor de belagers potentieel het meest lucratief. Negen van de tien bedrijven die het meest door phishers werden aangevallen, waren financiële instellingen.
Klikfraude – Klikfraude komt voor in on-lineadvertenties waarbij per klik wordt betaald wanneer een persoon, geautomatiseerd script of computerprogramma een legitieme gebruiker van een webbrowser imiteert door te klikken op een advertentie met als doel een onrechtmatige vergoeding per klik te genereren. Volgens de Click Fraud Index, een netwerk voor gegevensverzameling, bedraagt het percentage frauduleuze klikken branchebreed ongeveer 13,7 procent.
Zero-day exploits
In 2006 heeft Symantec het aantal zero-day exploits zien stijgen; het gaat hier om een softwarefout die pas wordt ontdekt nadat deze in het wild al is misbruikt en er geen patch beschikbaar is van de leverancier. Ze gaan op dat moment gerichte aanvallen uitoefenen om de kwetsbaarheid te misbruiken.
Eind vorig jaar kwam het bericht dat een zero-day exploit met grote impact, de Windows WMF-kwetsbaarheid, op de zwarte markt zou zijn verkocht aan een organisatie genaamd Iframecash.biz. Het eerste actieve gebruik van deze kwetsbaarheid werd gesignaleerd tijdens de kerstperiode van 2005.
In mei 2006 ontdekte Symantec een doelgerichte aanval, waarbij gebruik werd gemaakt van nog niet eerder gepubliceerde fouten in Microsoft Office. De trend gaat verder dan Office alleen; Symantec heeft ook twee zero-day exploits geïdentificeerd voor Ichitaro, een Japans tekstverwerkingsprogramma.
Softwarebedrijven/leveranciers boeken steeds vooruitgang bij het ontwikkelen en uitbrengen van patches voor deze kwetsbaarheden, maar het feit blijft dat aanvallers gemiddeld sneller exploits ontwikkelen dan leveranciers patches. Hierdoor blijven de betrokken systemen blootgesteld aan risico's.
Rootkits
Ofschoon rootkittechnologie niet nieuw is, werd deze techniek door aanvallers in 2006 steeds vaker toegepast. Bij rootkits worden speciale technieken gebruikt om de aanwezigheid van bepaalde programma's op een computer verborgen te houden. De acties die door een rootkit worden uitgevoerd, vinden plaats zonder instemming of medeweten van de eindgebruiker.
Aanvallers maken steeds vaker gebruik van rootkits, terwijl dit nog maar twaalf maanden geleden zeldzaam was.
Bomka is de op een na meest voorkomende nieuwe (Trojan-)familie van kwaadaardige code in het eerste halfjaar van 2006. Aanvalstactieken waarbij de rootkit in gebruikersmodus wordt gebruikt, zijn nu heel gewoon en aanvalstactieken waarbij de rootkit in kernelmodus wordt gebruikt, komen regelmatig voor in de nieuwe bedreigingen die zijn waargenomen in 2006.
Een beveiligingsoplossing moet rootkits kunnen identificeren, detecteren en verwijderen zonder de systeemintegriteit in gevaar te brengen, en moet onderscheid kunnen maken tussen rootkitbestanden enerzijds en verborgen bestanden voor legitieme doeleinden anderzijds.
Polymorfe virussen
Polymorfe virussen kunnen zichzelf elke keer dat zij een bestand infecteren, veranderen zodat standaardopsporingsmethoden niet altijd bruikbaar zijn.
De populariteit van polymorfe bedreigingen groeit weer nadat zij een periode lang grondig zijn verwaarloosd door malwareauteurs: in de eerste helft van 2006 zagen we twee belangrijke nieuwe polymorfe bedreigingen die zich sterk verspreidden: W32.Bacalid en W32.Polip.
De belangrijkste verwachtingen voor 2007
Komend jaar verwacht Symantec een toename van bedreigingen in Microsoft Vista, bedreigingen in Web 2.0-technologie, en binnen technologieën die zijn gericht op jongeren.
Symantec vindt het bemoedigend dat Microsoft de verantwoording neemt door de beveiliging van het nieuwste besturingssysteem Windows Vista, te verbeteren. Symantec meent echter dat klanten veiliger zijn als zij de keuzevrijheid hebben en de beveiligingsfuncties van Symantec en andere onafhankelijke beveiligingsleveranciers kunnen gebruiken, die worden uitgevoerd bovenop het Windows-platform. Symantec verwacht dat de nieuwe functies en veranderingen van de broncode van Windows Vista, gecombineerd met intensievere aandacht van beveiligingsonderzoekers, nog niet eerder gesignaleerde aanvallen gaan opleveren.
Interessante beveiligingstrends waarbij Web 2.0-technologieën worden gebruikt, geven aan dat aanvallers komend jaar belangstellend en gemotiveerd zullen zijn.
Door gebruikers gemaakte content bevat mogelijk browser exploits, ongewenste advertenties (splogs) of koppelingen naar kwaadaardige websites, of kan malware of spyware verspreiden.
Naarmate het gebruik van webservices en syndicated contentmodellen toeneemt, ziet Symantec ook nieuwe beveiligingsproblemen ontstaan. Perl.Santy was ongeveer het eerste malwarevirus dat effectief gebruik wist te maken van een webservice (Google Search) om kwetsbare hosts te vinden, die vervolgens werden geïnfecteerd.
Zogenaamde AJAX-toepassingen (een nieuwe ontwikkeltrend in webtoepassingen) zorgen voor een betere en contentrijke gebruikerservaring. De hoeveelheid gegevens die op AJAX-gebaseerde toepassingen kunnen opslaan in de browser heeft echter een grote impact op de privacy. Bovendien kunnen potentiële aanvallers de code van AJAX-toepassingen beter bestuderen en mogelijk kwetsbaarheden vinden die ze vervolgens kunnen gebruiken in verschillende soorten aanvallen.
On-linegames voor meerdere spelers worden in toenemende mate geconfronteerd met bedreigingen die specifiek gericht zijn op het ontvreemden van tekst, muziek, art work, etcetera (zogenaamde game assets) binnen de game community. Nummer vier op de lijst van meest voorkomende, nieuwe kwaadaardige codefamilies in de eerste helft van 2006 was de Detnat-familie, die een trojan downloadt die is ontworpen om game assets van het populaire Koreaanse spel Lineage te ontvreemden.
De technologieën die de jongeren van vandaag omarmen, zoals instant messaging en text messaging, zullen waarschijnlijk een nieuw speelveld worden voor on-linebedreigingen. Jongeren beschikken over technologische vaardigheden, maar niet noodzakelijkerwijs over levenservaring, waardoor zij ontvankelijk zijn voor on-linefraude. Zij moeten zich meer bewust worden van specifieke bedreigingen.
Begrippenlijst 2006
Bots – Bots (afkorting van ‘robots') worden heimelijk geïnstalleerd op een computer en stellen hackers in staat om de computer op afstand te besturen voor uiteenlopende kwaadaardige doeleinden. Aanvallers coördineren vaak grote groepen bot-controlled systemen die botnetwerken worden genoemd.
Clickbots – De geautomatiseerde vorm van klikfraude waarbij softwareprogramma's worden gebruikt die kliks simuleren.
Crimeware – Een algemene term die wordt gebruikt om een computerprogramma te beschrijven dat specifiek is ontworpen om misdaden te begaan. Er bestaan vele soorten crimeware, zoals bots, trojans en spyware.
Klikfraude – Klikfraude komt voor in on-lineadvertenties waarbij per klik wordt betaald wanneer een persoon, geautomatiseerd script of computerprogramma een legitieme gebruiker van een webbrowser imiteert door te klikken op een advertentie met als doel een onrechtmatige vergoeding per klik te genereren.
Phishing – Phishing is in wezen on-lineoplichterij en phishers zijn technologisch slimme oplichters en identiteitsdieven. Ze gebruiken spam, valse websites, crimeware en andere technieken om mensen met een truc over te halen persoonlijke gegevens te verstrekken, zoals bank- of creditcardgegevens.
Polymorfe virussen – Een virus dat zichzelf bij elke replicatie kan veranderen om ontdekking te voorkomen. Het is vergelijkbaar met een virus dat zelfmuterend is of zijn DNA verandert om zijn gastheer aan te vallen.
Rootkits – Een rootkit is een softwarecomponent die heimelijk opereert en probeert zijn aanwezigheid op een computer verborgen te houden. De acties die door een rootkit worden uitgevoerd, zoals het installeren van extra programma's, vinden plaats zonder instemming of medeweten van de eindgebruiker.
SMishing – Een SMishingbericht, een variatie op een phishingbericht, wordt via SMS
naar een mobiel apparaat verzonden. Het verwijst de gebruiker vaak naar een onechte phishing-website waar consumenten wordt gevraagd persoonlijke gegevens te verstrekken.
Vishing – Een variatie op phishing waarbij potentiële slachtoffers wordt gevraagd een telefoonnummer te bellen om rekeninggegevens te verifiëren, in plaats van dat hun wordt gevraagd op een koppeling in een e-mail te klikken. Criminelen beantwoorden de telefoon en proberen de bank- en creditcardgegevens van de consument te verkrijgen voor kwaadaardige doeleinden. Het blijkt dat vishing een bijzonder succesvolle manier is om vertrouwelijke informatie te vragen van consumenten. Dit komt doordat misbruik wordt gemaakt van de natuurlijke neiging van mensen om echte personen die zich presenteren via traditionele telefoonlijnen te vertrouwen, en doordat vishing-e-mails inspelen op de angst van consumenten omdat in de e-mails vaak wordt geschermd met ‘dringende' verzoeken aan de ontvanger om onmiddellijk te reageren om rekeningen actief te houden.
Zero-day aanvallen – Deze aanvallen worden zo genoemd omdat er ‘zero' hoeveelheid tijd zit tussen de ontdekking van een softwarekwetsbaarheid en het gebruik ervan in een aanval. Bij zero-day exploits wordt misbruik gemaakt van een kwetsbaarheid in een web- of softwaretoepassing voordat een beveiligingspatch beschikbaar is.
