27/06/2013

Jeżeli coś ma wartość, z pewnością zostaną zhakowane

Zagrożenia

Czy zastanawiałeś się kiedyś, ile w ogóle jest wart zhakowany komputer, adres e-mail lub inne konto internetowe? Oczywiste jest, że konto bankowe lub w serwisie PayPal mają dużą wartość, ale co z Facebookiem, Skypem lub innymi serwisami online?

36_value_hacked_01

Ich wartość możemy oszacować na dwa sposoby. Pierwszy to finansowy: jaka jest wartość rynkowa złamanego konta? Należy pamiętać, że konta takie są również wartościowe same w sobie dla osób wykorzystujących socjotechnikę. Innymi słowy, jak mogą one zostać użyte w atakach phishingowych na inne cele?

Brian Krebs, dawny reporter Washington Post i jeden z najbardziej szanowanych dziennikarzy w branży, kilka lat temu opublikował na swojej stronie, Krebs on Security, wykres ilustrujący wartość przechwyconych maszyn. Swój pomysł uzupełniał kilka razy o szacowane wartości zhakowanych kont e-mail oraz innych. Kontynuując ideę Krebsa, SANS Institute przełożył tę pracę na różne języki. Poniżej przedstawiamy wykres instytutu SANS:

Wykres instytutu SANS (kliknij, aby powiększyć)

Zacznijmy od czysto finansowej wartości różnych kont, oszacowanej przez Krebsa przy użyciu czarnorynkowych forów, na których są sprzedawane. Twierdzi on, że czołowy sprzedawca w tej branży pobiera opłatę 8 dolarów za konta w serwisie iTunes, 6 dolarów za konta na Fedex.com, Continental.com oraz United.com, 5 dolarów za konta na Grouponie, 4 dolary za konta na Godaddy oraz jedynie 2,5 dolara za aktywne konta serwisu Facebook i Twitter. Jesteśmy przekonani, że te ceny są nieco wyższe, jeśli właścicielami kont są osoby wyższej rangi, np. dyplomaci, znaczący ludzie w biznesie, celebryci, przedsiębiorcy z branży obronnej i inni. W oddzielnym raporcie utworzonym na podstawie innego sektora rynku, Krebs przedstawił konta online sprzedaży detalicznej firm takich jak Dell, Overstock, Walmart, Tesco, BestBuy czy Target, które warte są od 1 do 3 dolarów.

Zabawną rzeczą odnośnie zhakowanych kont bankowych oraz serwisu PayPal jest to, że ich wartość nie jest taka, jak myślisz. Przypuśćmy, że masz 2 000 dolarów na swoim koncie w banku, na karcie kredytowej lub dostępne przez serwis PayPal. Wartość tego konta to dwa tysiące, prawda? Nie do końca. Przestępcy hakujący takie konta robią to na poziomie hurtowym. Zazwyczaj nie ryzykują i nie opróżniają sami kont, bo jest to zwyczajnie zbyt pracochłonne i zbyt ryzykowne. Zamiast tego, hakują konto i sprzedają dostęp do niego w tym samym miejscu, czyli na forach związanych z czarnym rynkiem.

 Security Awareness Poster

Czytałem kilka aktów oskarżeń i innych prac opisujących schemat wyceny dla poszczególnych grup przestępczych zajmujących się oszustwami od używania fałszywych kart kredytowych (tzw. carding) po hakowanie kont serwisu PayPal. Ich wartości znacznie się różnią, jednak ogólna zasada jest taka, że ceny te są wyższe, jeśli konta należą do Amerykanów lub Europejczyków oraz znajduje się na nich odpowiednia kwota. Wartość konta znacząco wzrasta w serwisach, które umożliwiają połączenie z kontami bankowymi, kartami kredytowymi lub weryfikacją poprzez adres e-mail.

Kolejnym popularnym sposobem na zarabianie pieniędzy przy użyciu przejętego konta finansowego jest wykorzystywanie osób nazywanych słupami. W tych przypadkach twoje konto jest warte o wiele więcej, niż się na nim znajduje, ale to już zupełnie inna bajka. Krótko mówiąc, osoby poszukujące słupów zamieszczają ogłoszenia, w których oferują łatwy zarobek tym, którzy wycofają pieniądze z konta bankowego i prześlą je do wskazanego miejsca. Oczywiście w ogłoszeniu oszuści nie podają, że poszukują słupów, jednak ci, którzy przyjmują takie oferty, nieświadomie się nimi stają oraz często nie dostają zapłaty po wykonaniu wskazanych instrukcji.

Wartość kont e-mailowych oraz finansowych jest trudniej oszacować, ponieważ zależy ona od ich zawartości oraz tożsamości właściciela. Z tego powodu zhakowane konta są dobrym materiałem do wykorzystania ich w sposób inny niż finansowy. Konta poczty elektronicznej są często węzłem komunikacyjnym, przez który kontrolowane są inne konta – kiedy zapomnisz hasła, resetujesz je przy użyciu swojego adresu e-mail.

Dlatego bardzo ważne jest, by zadbać o porządną ochronę swojego konta e-mail – jeśli konto, przez które zarządzasz wszystkimi swoimi kontami, zostanie zhakowane, potencjalnie znajdziesz się w dużych kłopotach. Mając dostęp do Twojego głównego konta, przestępca może zresetować i przejąć kontrolę nad innymi Twoimi zasobami online. Zalecamy zmienianie swojego hasła co kwartał oraz korzystanie z każdej możliwej zaawansowanej ochrony. Dwuetapowa weryfikacja przez telefon komórkowy to konieczność. Jeśli ktoś uzyska dostęp do Twojego konta i ukradnie Twój telefon (co jest mało prawdopodobne), będziesz mógł resetować swoje hasło dostępu do poczty przy użyciu urządzenia przenośnego oraz odzyskać konto główne poprzez swoje sekretne konto pocztowe. To samo dotyczy konta bankowego – powinno być zabezpieczone w każdy dostępny sposób i posiadać irytująco skomplikowane hasło.

Przejęte konto pocztowe stanowi również zagrożenie dla osób z Twojej listy kontaktów. To samo może Ci się przydarzyć na różnych kontach w portalach społecznościowych. Ludzie, którzy znajdują się na liście Twoich znajomych, ufają Ci. Jeżeli ktoś z nich otrzyma wiadomość od znanego im adresata, prawdopodobnie kliknie umieszczony tam link i nikomu nie przyjdzie do głowy, że może to być wiadomość phishingowa, a odnośnik jest zainfekowany. Będziesz musiał żyć ze świadomością, że Twoja kiepska ochrona zatopiła czyjś statek.