Хостинг-провайдеры и специалисты по сетевой безопасности регистрируют резкий рост трафика на веб-сайтах, работающих на движке WordPress. Используя десятки тысяч IP-адресов, неизвестные злоумышленники пытаются получить доступ к административной панели сайтов перебором логин-паролей по словарю (метод brute force). В случае успеха взломанный ресурс становится частью ботнета и подключается к текущей серии атак.

Попытки массового взлома WordPress нередки, однако на сей раз хакеры действуют с небывалым размахом. По данным мониторинговой компании Sucuri, число заблокированных брут-форс атак на платформу WordPress в апреле утроилось и в среднем составляет 77,4 тыс. атак в сутки, а на пике превышает 100 тысяч. Боты запрашивают /wp-login.php и пытаются осуществить вход, оперируя списком из 1 тыс. популярных комбинаций логин-пароль. Чаще всего они авторизуются под именем admin, а из паролей отдают предпочтение admin, 123456, 666666, 111111, 12345678 и qwerty. На взломанный сайт внедряется бэкдор, обеспечивающий злоумышленникам удаленный контроль над ресурсом.

По оценке компании HostGator, которая первым из хостинг-провайдеров обнародовала информацию о глобальном инциденте, в хакерскую кампанию вовлечены свыше 90 тыс. разноплеменных IP адресов. Их мишенью является не только WordPress, но и Joomla, хотя и в значительно меньшем объеме. Оператор крупнейшей CDN сети CloudFlare, который обслуживает, по собственным оценкам, около 3% подаваемых по Сети запросов, за час заблокировал 60 млн. обращений к своим клиентам, использующим WordPress. При этом с каждого атакующего IP-адреса за раз подается всего лишь один запрос.

CloudFlare полагает, что атакующие оперируют небольшим ботнетом, составленным из домашних ПК, и намереваются создать более солидную сеть на базе веб-серверов. Последние доступны круглосуточно и способны генерировать мощный трафик, к тому же их не так-то легко заблокировать. Построенный на серверах ботнет может причинить большой ущерб, работая на фишеров, распространяя зловредов или участвуя в DDoS-атаках – например, с использованием эффективного набора скриптов itsoknoproblembro.

В этом печальном событии есть своя ложка меда: его масштабность подвигла хостинг-провайдеров на совместный поиск решений. В Сети стала появляться информация «из первых рук», предложения и рекомендации для многочисленных пользователей WordPress. Компания CloudFlare, как всегда, готова играть в открытую и поделиться с коллегами своей базой IP-адресов, участвующих в хакерском нападении. Ее эксперты загрузили на CDN-сеть сигнатуру атаки и блокируют все вредоносные запросы. Разработчик WordPress выложил в своем блоге предупреждение, отметив, что при таких масштабах атаки ограничение по IP-адресу или искусственное замедление процедуры авторизации не имеют большого смысла. По его мнению – и в этом с ним согласны все хостеры, все пользователи атакуемой платформы должны незамедлительно усилить пароли, включить опцию двухфакторной аутентификации, недавно введенную в обиход, а также удостовериться в актуальности установленной версии WordPress и плагинов.

Для справки: в декабре прошлого года в интернете насчитывалось 634 млн. веб-сайтов, в том числе 59,4 миллиона, построенных на WordPress. В настоящее время эту CMS используют более 64,2 млн. сайтов с совокупным числом просмотров 371 млн. в месяц.

Сотрудники полицейского подразделения по борьбе с экономическими преступлениями на территории Индии пресекли деятельность криминальной группировки, подозреваемой в совершении ряда краж с банковских онлайн-счетов. В результате расследования, проведенного по жалобе потерпевшего, задержаны и заключены под стражу двое местных жителей ― предположительно ключевые участники мошеннической схемы отъема денег в обход системы двухфакторной аутентификации.

Следствием установлено, что сетевые грабители покупали данные клиентов онлайн-банкинга на черном рынке и использовали их для перекачки денег на подставные счета. Чтобы жертва вовремя не обнаружила недостачу, мошенники от ее имени блокировали у оператора сотовой связи SIM-карту, привязанную к банковскому аккаунту, и оформляли дубликат, который устанавливали на свой телефон. После регистрации новой SIM в системе онлайн-банкинга злоумышленники получали возможность перехватывать SMS с одноразовыми паролями к транзакциям, высылаемые банком клиенту, а также предупреждения о подозрительных движениях средств на счету.

Действовать приходилось быстро: обнаружив, что мобильный телефон «умер», жертва пыталась проверить состояние счета и сервиса у оператора сотовой связи. Однако практика показывает, что убедить сервис-провайдера в подлоге порой бывает очень трудно. Эксперты Sophos помнят аналогичный случай 3-летней давности, когда оператор долго отказывал австралийской жертве кражи личности в повторной замене SIM-карты, заподозрив законного абонента в обмане.

По оценке делийской полиции, жертвами описанной выше мошеннической схемы стали многие жители столицы и других городов страны. Заявитель, по жалобе которого было начато расследование, потерял со счета 2 млн. рупий (свыше 37 тыс. долларов).

Эксперты Trusteer зафиксировали новую атаку банковского троянца Tatanga. В ходе этой атаки, направленной на перехват одноразовых кодов, создаваемых с помощью персонального TAN-генератора, используются методы социальной инженерии.

TAN-коды (Transaction Authorization Number) используются в системах онлайн-банкинга как дополнительный уровень защиты от мошенничества при проведении операций по клиентским счетам. Это одноразовые пароли, создаваемые для каждой транзакции, их ввод призван подтвердить аутентичность лица, зарегистрировавшегося в системе, и дает банку «добро» на завершение транзакции. В банковской среде существует много разных процедур подтверждения транзакций одноразовым паролем. В Германии, например, большой популярностью пользуются mTAN (код высылается клиенту в виде SMS) и chipTAN ― система, предусматривающая наличие у клиента персонального TAN-генератора. Последний создает одноразовый пароль на основе мигающей картинки, появляющейся при заходе на банковский сайт, которую он считывает прямо с экрана ПК.

Разумеется, злоумышленник может с помощью фишинга выудить у пользователя и его регистрационные данные, и TAN-код. Однако последний действителен лишь для одной транзакции, и грабителю нужно успеть им воспользоваться, пока этот короткий срок не истек, ― причем так, чтобы жертва не обнаружила кражу. Современные фишеры решают эту проблему с помощью троянцев, способных на лету подменять банковские страницы по методу html-инъекций и оперировать украденными данными в пользу своих хозяев (Man in the Browser, MitB-атаки).

Ярким представителем таких программ-перехватчиков является семейство Tatanga (в классификации ЛК Trojan-Banker.Win32.Tatag), появившееся на интернет-арене в начале прошлого года. По свидетельству экспертов испанской S21sec, Tatanga в полной мере наделен MitB-функционалом, использует руткит-технологии, умеет по удаленной команде блокировать антивирус, работает практически со всеми браузерами, совместимыми с Windows, и не терпит соседства конкурентов. Данный зловред предпочитает атаковать клиентов европейских банков, в особенности немецких.

В мае Trusteer обнаружила атаку Tatanga, запрашивающего у жертвы TAN-код, присланный банком по SMS-каналам. Предлогом для фальшивого запроса, сделанного от имени банка, служила проверка системы двухфакторной аутентификации, якобы проводимая банком. Вариант зловреда, обнаруженный в начале сентября, использует ту же тему, но немецкоязычный текст, размещенный на подставной странице, подробно инструктирует жертву, как создать одноразовый пароль для «тестовой» транзакции с помощью личного TAN-генератора. Пользователя просят ввести этот пароль в веб-форму, что дает Tatanga возможность скрытно провести мошенническую транзакцию. Чтобы клиент банка не обнаружил недостачу, зловред подменяет информацию о состоянии счета, присланную банком по завершении сеанса.

По данным Experian, специализирующейся в области информационных услуг, с января по апрель текущего года на черном онлайн-рынке было выставлено на продажу свыше 12 млн. персональных идентификаторов. 90% из них составили пары логин-пароль. В то же время опрос, проведенный в июне по заказу компании, показал, что британские аккаунты являются легкой добычей для киберзлоумышленников: британцы в среднем держат 26 учетных записей и используют для их защиты лишь 5 разных паролей.

В опросе приняли участие 2 тыс. взрослых британских пользователей. 15% из них обнаружили или заподозрили, что их данные утекли в Сеть, причем в 28% случаев эта информация была впоследствии использована для совершения мошеннических действий. В результате у 9% жертв кражи личности (identity theft) появились долги, 14% было отказано в выдаче займа или кредита, а 7% лишились договорных услуг оператора сотовой связи.

Результаты опроса также показали, что наиболее плодовитыми участниками Сети являются молодые британцы (в возрасте 25-34 лет): за ними обычно числятся не менее 40 учетных записей. И число это продолжает увеличиваться; почти каждый пятый пользователь Великобритании (17%) ежемесячно создает по 6 и более новых профилей. И доступ ко всей этой массе обеспечивают в среднем лишь 5 паролей, причем четверть британских пользователей открывают большинство своих аккаунтов одним и тем же ключом, а у 4% (каждого 25-го) он вообще единственный.

Риск взлома увеличивает тот факт, что в британском секторе интернета существует много заброшенных аккаунтов, пароли к которым больше не обновляются, как того требуют общие правила безопасности. Две трети участников опроса признались, что у них есть неиспользуемые учетные записи, и они содержат важную информацию, включая данные финансового характера. Среди них ― профили социальных сетей (36%), почтовые ящики (18%) и клиентские кабинеты в интернет-магазинах (21%).

Верховный суд Германии оставил в силе решение нижестоящих инстанций, подтвердив, что жертва фишинга, не внявшая предупреждениям банка, сама несет ответственность за свои потери.

Дело о возмещении убытков было возбуждено по иску пожилого клиента одного из местных банков, со счета которого сетевые мошенники вывели в Грецию 5 тыс. евро. Они осуществили несанкционированный перевод через 3 месяца после того, как пенсионер ввел на подставной странице 10 одноразовых TAN-кодов, выданных ему списком для проведения транзакции онлайн.

Истец решил взыскать украденную сумму с банка, заявив, что тот обязан защищать своих клиентов от подобных абьюзов. В свою защиту представители банка отметили, что требование ввести в веб-форму несколько TAN-номеров ― верный признак попытки фишинга, о возможности которого предупреждает страница регистрации в их системе онлайн-банкинга. В этом же алерте приведена ссылка на информационные материалы для тех, кто плохо знаком с данной формой сетевого мошенничества. Кроме того, подписываясь на онлайн-услуги банка, клиент обязуется не передавать TAN-коды другому лицу. Коль скоро перевод прошел, значит, идентификаторы транзакций были введены правильно, и сделать это мог либо сам пострадавший, либо лицо, которому он сообщил эти коды в нарушение условий договора.

Суд признал, что банк принимает надлежащие меры для просвещения и защиты своих клиентов, и освободил его от ответственности за последствия неосторожных действий истца. К сожалению, найти владельца мошеннического счета не удалось, хотя к поискам была подключена греческая сторона.

Согласно результатам прошлогоднего опроса, онлайн-сервис в разной мере используют 44% клиентов немецких банков, т.е. порядка 27 млн. держателей счетов. Жалобы на фишинг множатся: в 2010 году федеральная полиция получила 5,3 тыс. соответствующих заявлений ― на 82% больше, чем в предыдущем (статистики за прошлый год пока нет). Чтобы снизить риски, местные банки широко применяют различные системы двухфакторной аутентификации. Особой популярностью пользуются коды mTAN, высылаемые в виде SMS, а также ChipTAN, которые предусматривают наличие у клиента персонального TAN-генератора. От технологии iTAN (с указанием конкретного TAN из одноразового списка), которую использовал банк жертвы фишинга, почти все уже отказались ― из-за высокой вероятности фишинга.

Используя методы социальной инженерии, исследователи из Positive Technologies получили доступ к трем из пяти популярных веб-сервисов через процедуру восстановления пароля.

Проверка этого звена в системе безопасности проводилась на основе выборки из реальных почтовых аккаунтов Gmail, Mail.ru, Яндекс, а также профилей ВКонтакте и Facebook. Их владельцы были заранее проинформированы об эксперименте и дали согласие на свое участие. Работая с разными механизмами восстановления пароля, эксперты вели поиск информации о владельце аккаунта на общедоступных сайтах, вступали в переписку со службой техподдержки целевого сервиса. В отдельных случаях им приходилось провоцировать «жертву» на раскрытие нужных данных, устанавливая с ней контакт в социальной сети. Каждый из рассмотренных сервисов получил оценку по двум параметрам: уровень защищенности и удобство для пользователя, и был впоследствии ознакомлен с результатами.

Исследователи из Стэнфордского университета продемонстрировали уязвимость текстовых CAPTCHA к автоматизированным атакам, взломав 13 из 15 защитных решений, используемых на популярных веб-сайтах.

Полтора года американцы изучали современные средства противодействия алгоритмам сегментации и распознавания символов на живых примерах, взятых из Сети. По результатам исследования была создана полностью автоматизированная система для расшифровки тестов CAPTCHA, способная производить очистку от «шума», разбивать строки символов на отдельные фрагменты, нормализовать их размеры, опознавать знаки и осуществлять проверку правописания, если контрольное изображение представлено словом или фразой. Экспериментальный инструмент получил наименование Decaptcha и был применен для получения несанкционированного доступа к 15 разным по тематике сайтам, включая специализированные сервисы Captcha.net и Recaptcha.net.

В итоге на Baidu и Skyrock коэффициент результативности составил 1-10%, на CNN и Digg ― 10-24%; на eBay, Reddit, Slashdot и Wikipedia 25-49%; на Authorize.net, Blizzard, Captcha.net, Megaupload и NIH.gov 50% и выше. Бастионы Google и Recaptcha остались непокоренными. Следует отметить, что после проведения испытаний платежный сервис Visa Authorize и Digg поменяли свою защиту от ботов на reCAPTCHA.

Исходя из результатов исследования, академики составили список рекомендаций по усилению текстовых CAPTCHA. По их мнению, рандомизация длины цепочки символов и размера каждого знака не приведет в замешательство человека, но значительно усложнит работу автомата. Эффективными признаны также такие трюки, как волнообразная форма строки, слитное написание знаков и наложение шумовых штрихов произвольной длины. Использование большого набора контрольных тестов, верхнего регистра и похожих символов, против ожидания, оказалось малоэффективным и лишь увеличивает процент ошибок при авторизации легальных пользователей.

Работа университетских исследователей из Стэнфорда была представлена на чикагской конференции ACM по компьютерной и сетевой безопасности (CCS 2011). Ее авторы планируют продолжать совершенствование Decaptcha и техник противодействия автоматизированному взлому контрольных тестов.

Согласно результатам опроса, проведенного университетскими исследователями, каждый десятый житель Великобритании включает в завещание список паролей к сетевым репозиториям с мультимедийными архивами .

В опросе, запущенном Лондонским университетом с инициативы поставщика «облачных» решений Rackspace, приняли участие 2 тыс. британцев. Как оказалось, больше половины из них являются владельцами оцифрованной собственности, хранящейся в Сети, ― фильмотек, фотоальбомов, библиотек, музыкальных коллекций.

Расширение использования мобильных устройств, бурный рост цифровых медиа и распространение соответствующих сервисов создают благоприятные условия для сбора и архивации результатов персональных увлечений в удобной и доступной форме. Около четверти участников опроса заявили, что больше никогда не будут отдавать фотоснимки в печать; 15% полагают, что собранной на интернет-ресурсах литературы им хватит лет на десять.

Меломаны, графоманы, поклонники кинематографа получили отличную возможность составлять подборки по своему вкусу, не выходя из дома. Нередко плоды их усилий представляют большую ценность. Если экстраполировать данные, полученные в ходе опроса, общая стоимость медийных «сокровищ» британцев в настоящее время превышает 3,16 млрд. долларов. Тем не менее, оказалось, что стремление передать наследникам ключи к интернет-архивам продиктовано, прежде всего, желанием сберечь для грядущих поколений семейные фото, традиции и воспоминания.

Как оказалось, кража технологических секретов RSA, которая заставила изрядно поволноваться всех клиентов крупнейшего производителя средств интернет-защиты, обязана своим успехом сотруднику компании, открывшему вредоносный файл, полученный в спаме.

По свидетельству экспертов, это был яркий пример целевой атаки, использующей приемы социальной инженерии и эксплойт нулевого дня. Неизвестные злоумышленники отослали ряд спам-сообщений, адресованных разным группам служащих RSA среднего звена. По всей видимости, этому предшествовал сбор личной информации сотрудников, опубликованной в интернете ― в первую очередь, в социальных сетях. Авторам целевой спам-рассылки удалось заинтриговать лишь одного из получателей, но и этого оказалось достаточно. «План расширения кадрового состава в 2011 году» с аттачем был извлечен из мусорной корзины, куда его направил защитный спам-фильтр, и зараженная xls-таблица открыта.

В результате отработки эксплойта, внедренного в файл Excel (тогда еще не пропатченная уязвимость CVE-2011-0609), в систему был установлен бэкдор ― один из вариантов Poison Ivy. Чтобы не светить командный трафик, программа удаленного администрирования сама подключалась к центру управления для получения дальнейших инструкций. Проникнув во внутреннюю сеть RSA через эту брешь, хакеры начали поиск нужной информации и сотрудников с соответствующим уровнем доступа.

Исследователь из американской компании AT&T Билл Чезвик (Bill Cheswick) изобрел новый способ ввода паролей, надежно защищенный от взлома и перехватов.

Достаточно лишь выбрать на снимке со спутника точку (лучше в той стране и местности, где никогда не бывал) и с помощью зума многократно увеличить изображение. Координаты конкретного места на географической карте и послужат надежным паролем. Например, широта и долгота, определенные с точностью до десятой цифры, в сумме дадут 20-значную строку, которую исключительно трудно угадать.

Идея использования кликабельной картинки для авторизации не нова и в свое время помогала успешно отражать происки хакеров, когда для взлома паролей использовались программы, выполняющие перебор по словарю. Однако за последнее десятилетие в криминальном арсенале появились усовершенствованные инструменты взлома, которые умеют определять положение курсора на экране и отслеживают срабатывание «мышиных» клавиш.

Если же в качестве рисунка использовать карту с возможностью масштабирования, все эти программы станут бесполезными. Можно засечь положение курсора и нажатие соответствующей клавиши, но для перехвата «координатного» пароля потребуется также выяснить, какой участок карты мира воспроизведен на экране и насколько был увеличен масштаб.

Чезвик пока не исследовал пользовательские характеристики своего метода, поэтому не уверен, что он окажется простым и удобным в повседневном использовании. Однако в условиях активной криминализации интернета персональные удобства все чаще отступают на второй план, когда на кон поставлена безопасность всего сообщества.