Symantecs nieuwste Internet Security Threat Report (istr), volume 12, concludeert dat cybercriminelen steeds professioneler en commerciëler te werk gaan bij de ontwikkeling, verspreiding en toepassing van kwaadaardige code en services.
Cybercriminaliteit wordt nog altijd gemotiveerd door de zucht naar financieel gewin, maar de criminelen maken tegenwoordig gebruik van professionele aanvalsmethoden, tools en strategieën om hun kwaadaardige praktijken uit te voeren.
Tijdens de rapportageperiode van 1 januari tot en met 30 juni 2007 constateerde Symantec een toename van het gebruik van geavanceerde toolkits voor kwaadaardige aanvallen door cybercriminelen. Een voorbeeld van deze strategie is MPack, een professioneel ontwikkelde toolkit die op de clandestiene markt te koop is. Criminelen die deze toolkit kopen, kunnen met de diverse softwarecomponenten van Mpack kwaadaardige codes installeren op duizenden computers overal ter wereld. Vervolgens kunnen ze het succes van hun overval volgen via verschillende indicatoren op een onlinebeheerconsole die met een wachtwoord is beveiligd.
MPack is ook een goed voorbeeld van de gecoördineerde aanval waarvan Symantec melding maakte in het vorige ISTR, Volume XI, waarbij cybercriminelen een combinatie van verschillende kwaadaardige activiteiten inzetten.
Phishing-toolkits – reeksen scripts waarmee een aanvaller automatisch websites voor phishing-doeleinden kan opzetten die legitieme websites nabootsen – zijn eveneens verkrijgbaar voor professionele en commerciële cybercriminelen. De drie meest gebruikte phishing-toolkits waren samen verantwoordelijk voor 42 procent van alle gesignaleerde phishing-pogingen in de rapportageperiode.
"In de vorige Internet Security Threat Reports heeft Symantec een belangrijke trend beschreven: de verschuiving van de motivatie van de aanvallers van faam naar fortuin", vertelt Arthur Wong, senior vice president voor Symantec Security Response and Managed Services. "De internetgevaren en kwaadaardige activiteiten die we op het ogenblik waarnemen, tonen aan dat hackers deze trend een niveau hoger tillen door van de cybercriminaliteit echt hun beroep te maken. Ze passen zakelijke bedrijfsmethoden toe om dat doel te bereiken."
Toename van misbruik van vertrouwde omgevingen
Tijdens de rapportageperiode ontdekte Symantec aanvallers die hun slachtoffers indirect benaderden door eerst zwakke plekken uit te buiten in vertrouwde omgevingen, zoals veelgebruikte financiële, sociale en carrièresites. 61 procent van alle ontdekte beveiligingslekken zaten in webapplicaties. Is een vertrouwde website eenmaal gekraakt, dan kunnen de cybercriminelen deze gebruiken als bron voor de verspreiding van kwaadaardige programma's waarmee zij afzonderlijke computers kunnen belagen. Deze aanvalsmethode betekent dat de criminelen kunnen wachten tot hun slachtoffers naar hen toe komen. Zij hoeven niet actief naar hen op zoek. Sociale netwerksites zijn bijzonder waardevol voor aanvallers omdat ze toegang geven tot een groot aantal mensen, van wie velen vertrouwen zullen hebben in de site en de beveiliging ervan. Deze websites kunnen ook veel vertrouwelijke gebruikersinformatie opleveren, waarmee kan worden geprobeerd identiteitsdiefstal of online fraude te plegen, of waarmee toegang kan worden verschaft tot andere sites vanwaar weer nieuwe aanvallen kunnen worden gelanceerd.
Stijging van het aantal gefaseerde aanvallen
Tijdens de eerste zes maanden van 2007 nam Symantec een toename waar van het aantal gefaseerde aanvallen – aanvallen met een eerste fase die niet bedoeld is om direct kwaadaardige activiteiten te ontplooien maar waarin de daaropvolgende aanvallen worden voorbereid. Een voorbeeld van een gefaseerde aanval is een downloader waarmee de aanvaller het downloadbare element kan veranderen in elk type dreiging dat in zijn kraam te pas komt. Volgens het ISTR telde Symantec onder de 50 meest waargenomen stukken kwaadaardige code 28 gefaseerde downloaders. De Peacomm Trojan, beter bekend onder de naam Storm Worm, is een gefaseerde downloader. Dit was in de verslagperiode bovendien de meest gerapporteerde nieuwe kwaadaardige codefamilie. MPack dient niet alleen als toolkit voor aanvallers maar is ook een voorbeeld van de gefaseerde aanpak, inclusief gefaseerde downloader.
Andere belangrijke bevindingen
Creditcards waren het meest aangeboden artikel op de servers van de illegale economie en vertegenwoordigden 22 procent van alle advertenties. Bankrekeningen werden nipt tweede met 21 procent.
Symantec heeft 237 zwakke plekken in plug-ins van webbrowsers gedocumenteerd. Dit is een aanzienlijk stijging ten opzichte van de 74 in het tweede halfjaar van 2006 en de 34 in het eerste halfjaar van 2006.
Kwaadaardige code waarmee werd geprobeerd rekeninginformatie voor online games te stelen, vertegenwoordigde, wat betreft vormen van potentiële infectie, 5 procent van de 50 meest voorkomende voorbeelden van zulke code. Onlinegaming is een van de populairste internetactiviteiten aan het worden. Daarbij kunnen vaak aankopen worden gedaan met echt geld, wat aanvallers kansen biedt om financieel te profiteren.
Spam maakte 61 procent uit van al het gecontroleerde e-mailverkeer, een geringe stijging ten opzichte van de laatste zes maanden van 2006, toen 59 procent van de e-mail werd geclassificeerd als spam.
Diefstal of verlies van computers en andere opslagmedia was verantwoordelijk voor 46 procent van de gevallen van inbreuk op gegevens die zouden kunnen leiden tot identiteitsdiefstal. Ook blijkt uit Symantec's IT Risk Management Report dat 58 procent van de ondernemingen ten minste eens in de 5 jaar een groot geval van gegevensverlies verwacht.
