Niebezpieczne portale społecznościowe

To, że znajoma lub znajomy wysłał wam łącze lub polecił je na swoim blogu nie znaczy, że powinniście je kliknąć.
Najnowszą odmianę robaka Koobface w serwisie Facebook odkryłem wtedy, gdy kliknąłem łącze wysłane z zainfekowanego konta mojego dawnego kolegi, nawiasem mówiąc wiceprezesa firmy zajmującej się globalnymi zabezpieczeniami – pisze Rik Ferguson na swoim blogu poświęconym bezpieczeństwu.

– To, że znajoma lub znajomy upublicznił listę najważniejszych informacji o sobie, o których nikt wcześniej nie miał pojęcia nie znaczy, że musicie się rewanżować tym samym. To, że podziwiana przez was sławna osoba poleciła łącze na swoim blogu nie oznacza, że prowadzi ono do bezpiecznej strony ― zwłaszcza, gdy adres docelowy został zmieniony przez serwis skracający adresy URL. – pisze Rik Ferguson.

Portale społecznościowe w szybkim tempie zyskały bardzo dużą popularność ― z serwisu Facebook korzysta już niemalże 200 milionów użytkowników; MySpace nie publikuje takich statystyk, ale ewidentnie jest najgroźniejszym konkurentem Facebook na tym polu, natomiast w portalu Bebo swoje konta ma ponad 40 milionów osób. Użytkownicy wspomnianych serwisów niekoniecznie muszą być w wieku szkolnym bądź uniwersyteckim. Często jest wręcz przeciwnie ― według raportu firmy Nielsen z marca 2009 roku ― portale społecznościowe lub serwisy blogerskie odwiedza dwie trzecie wszystkich osób korzystających z Internetu na świecie i spędza w nich prawie 10% całkowitego czasu korzystania z Sieci. Zjawisko to nie ogranicza się jedynie do serwisów społecznościowych. Portal LinkedIn, który oferuje możliwości nawiązywania kontaktów biznesowych i poszukiwania pracy, mniej więcej z każdą sekundą powiększa się o nowego użytkownika, a wkrótce będzie mógł się szczycić 40 milionami zarejestrowanych w nim osób. Z kolei liczba użytkowników serwisu mikroblogerskiego Twitter wzrosła w ciągu roku o 1382% (wg danych z lutego 2009 roku).

W sytuacji, gdy tego rodzaju strony cieszą się ogromnym zainteresowaniem internautów nie ma się co dziwić, że stają się one również celem wzmożonych ataków przestępców internetowych. Technologia Web 2.0, dzięki bogatej, interaktywnej treści tworzonej przez samych użytkowników oraz serwisom społecznościowym ― na które składają się wzajemnie połączone, oparte na zaufaniu grupy i sieci użytkowników ― daje przestępcom internetowym duże pole do manewru. Mogą oni zarówno rozpowszechniać tradycyjne rodzaje szkodliwego oprogramowania nowymi kanałami, jak i stosować metody socjotechniczne, aby tworzyć profile potencjalnych celów oraz gromadzić dotyczące ich informacje.

Wśród tradycyjnych ataków prowadzonych za pośrednictwem portali społecznościowych, które zostały zaobserwowane na przestrzeni ostatnich kilku miesięcy, można wyróżnić następujące:
•    kilka epidemii (jak do tej pory) niezłośliwych robaków w serwisie Twitter, które przeprowadzają ataki typu cross-site scripting (osadzanie złośliwego kodu w treści strony) z wykorzystaniem luk w zabezpieczeniach oraz clickjacking (przechwytywanie kliknięć);
•    fałszywe profile na portalach Bebo oraz LinkedIn zawierające łącza do pobierania szkodliwego oprogramowania;
•    fałszywe aplikacje stworzone w celu gromadzenia informacji oraz słynny robak Koobface w serwisie Facebook;
•    wykorzystanie przejętych profili do przeprowadzenia ataku typu 419 scam wśród zaprzyjaźnionych użytkowników;
•    fałszywe ogłoszenia prowadzące do fikcyjnych, wielopoziomowych schematów marketingowych bądź o wiele bardziej niebezpiecznych stron.
Wiadomo też, że publicznie dostępne informacje były wykorzystywane do przeprowadzania ataków typu whaling (wyłudzania danych osobowych od osób na wysokich stanowiskach) oraz do oszustw związanych z kartami kredytowymi.

Przestępcy internetowi mają do dyspozycji wiele różnych punktów dostępu do interaktywnego świata serwisów społecznościowych. Zaliczają się do nich fałszywe lub zainfekowane profile, szkodliwe aplikacje, szkodliwe reklamy, cybersquatting, wysyłanie spamu lub próby wyłudzania danych osobowych pod postacią powiadomień z portali społecznościowych, gromadzenie informacji za pośrednictwem rejestracji grupowych, ataki typu cross-site scripting oraz wiadomości bezpośrednie. Użytkownicy serwisów są również narażeni na kradzież tożsamości, oszustwo, zainfekowanie bądź też po prostu na bycie pośrednikiem w zainfekowaniu lub oszukaniu któregoś z ich przyjaciół lub znajomych.

Wspólnym elementem wszystkich ataków jest to, co charakteryzuje również wszystkie serwisy społecznościowe, a mianowicie zaufanie. Ponieważ ataki, wiadomości oraz łącza wysyłane są z profili przyjaciół lub znajomych, wydają się znacznie bardziej wiarygodne niż spam pochodzący od osób trzecich. Nawet standardowe, niemal podręcznikowe wiadomości przesyłane przez robaka Koobface o treści „You are veryy ggood at pposing to a spy cameera!” (Bardzo dobrze Ci idzie pozowanie przed ukrytą kamerą) wyglądają na bardziej wiarygodne, gdy dostajemy je od osoby znajomej. Co więcej, już sama nasza decyzja dołączenia do pewnej społeczności wyraża gotowość dzielenia się prywatnymi informacjami z każdym członkiem tejże społeczności. Wynika to bowiem ze wspólnych zainteresowań zarejestrowanych tam użytkowników.

Większość osób korzystających z sieci jest zbyt ufna w stosunku do innych ludzi, a także zbyt łatwo dzieli się swoimi prywatnymi danymi. Na forum publicznym, lub w najlepszym wypadku półprywatnym, osoby te ujawniają najdrobniejsze szczegóły dotyczące ich życia (a w niektórych przypadkach większe jego fragmenty), co znacznie ułatwia zadanie różnego rodzaju przestępcom, m.in. tzw. carderom (osobom wyłudzającym pieniądze z kard kredytowych) oraz oszustom kradnącym tożsamość (ID fraudsters). Kwestie serwisów społecznościowych poruszane są na „podziemnych” forach dotyczących cardingu, gdzie tematy w rodzaju „darmowa usługa wyszukiwania daty urodzenia” lub dziesiątki porad dotyczących najskuteczniejszych sposobów włamywania się na takie platformy, nie są niczym niezwykłym.

Musimy zdawać sobie sprawę nie tylko z tego, jak dużą wartość mają nasze prywatne dane, lecz także, jak istotne są dane dotyczące naszych znajomych. Musimy nauczyć się korzystać z zabezpieczeń dostępnych na serwisach społecznościowych oraz platformach zrzeszających osoby poszukujące nowych kontaktów biznesowych i faktycznie ich używać. Nie ma potrzeby publikowania na profilu najważniejszych informacji dotyczących naszej osoby oraz ujawniania całej historii zatrudnienia, edukacji i miejsc zamieszkania. Uważajmy, w jakiej formie podajemy nasze internetowe przezwisko lub wymyślone imię i unikajmy uwzględniania w nich danych, które mogą zostać wykorzystane do zmiany hasła naszej poczty elektronicznej lub uzyskania dostępu do danych finansowych ― przykładowo imienia psa bądź panieńskiego nazwiska matki. Nie musimy także podawać adresów e-mail przyjaciół lub członków rodziny, gdy zostaniemy poproszeni o polecenie dziesięciu znajomym zabawnej strony internetowej bądź pewnego oprogramowania.

Pamiętajmy, że gdy upubliczniamy nasze dane osobowe, wkrótce przestajemy tracić nad nimi kontrolę. Przestępcy umiejętnie potrafią wykorzystać tego rodzaju informacje i z ich pomocą włamać się do naszego internetowego konta, tak jak miało to miejsce w przypadku Sary Palin. Następnym razem, zanim klikniecie „wyślij”, zadajcie sobie pytanie, czy podalibyście tego rodzaju informacje dzwoniącemu do was nieznajomemu. Jeśli odpowiedź brzmi „nie”, lepiej odsuńcie od siebie mysz.

www.trendmicro.com