Küberkuritegevuse maailmas on info vahend eesmärgi saavutamiseks. Ja see eesmärk on enamasti raha teenimine. Sellepärast on infot varastav (infostealer) pahavara tõusnud suureks identiteedipettuse, kontode ülevõtmise ja digitaalse valuuta varguste ajendiks. Kuid on ka palju inimesi, kes elavad oma igapäevaelu veebis ja suudavad turvaliselt püsida. Võti on selles, et mõista, kuidas digitaalset riski tõhusalt hallata.

Siin on, mida pead teadma, et hoida oma isiklikku ja finantsteavet ohus.

Millist infot infostealerid varastavad?

Paljud infostealerid võivad oma alguse saada “ikoonilisest” pahavarast: pangandustroojalane nimega ZeuS, mis oli loodud varastama ohvrite finantsteavet, näiteks veebipanga paroole. Kui selle lähtekood lekkis 2011. aastal, üleujutasid küberkuritegevuse allmaailma uued versioonid ja hakkas hoogsalt arenema kasvav infostealerite tööstus, mille arendajad täiendasid ja kohandasid selle võimalusi. Tänapäeval on olemas versioonid peaaegu kõigi arvutiplatvormide jaoks, alates Windowsi arvutitest ja macOS arvutitest kuni iOSi ja Androidi seadmeteni.

See, mida infostealerid otsivad, sõltub variandist. Populaarne sihtmärk on sisselogimisandmed ja seansiküpsised, mis võivad võimaldada häkkeritel mööda minna mitmetegurilisest autentimisest (MFA). Üks aruannetest hindab, et 75% (2,1 miljardit) eelmisel aastal varastatud 3,2 miljardist kasutajatunnusest koguti infostealerite kaudu. Muu isiklik ja finantsteave, mis võib olla ohus, hõlmab:

  • Maksekaardi, pangakonto ja krüptorahakoti andmed (nt krüptorahakoti võtmed)
  • Muu finantsteave, sealhulgas kindlustus- või valitsuse heaolu (sotsiaalkindlustuse) andmed
  • Brauseriandmed, sealhulgas brauseri ajalugu ja kõik “salvestatud vormi” andmed, mis võivad sisaldada makseandmeid ja paroole
  • Teie arvuti või seadme süsteemiteave
  • Teie masinasse/seadmesse salvestatud failid, sealhulgas fotod ja dokumendid
  • Muu isiklik teave, sealhulgas nimed, telefoninumbrid ja aadressid

Kuidas infostealerid töötavad?

Pahavara eesmärk on vaikselt ja kiiresti leida sinu masinast või seadmest tundlikku teavet ja seejärel edastada see sinu ründajate kontrolli all olevasse serverisse. Seda tehakse veebibrauserite, e-posti klientide, krüptorahakottide, failide, rakenduste ja operatsioonisüsteemi enda rüüstamise teel. Muud tehnikad hõlmavad:

  • “Vormi haaramise” (form grabbing), mis hõlmab sisselogimisandmete otsimist, mida võisid olla sisestanud veebivormi, enne kui see turvalisse serverisse saadetakse
  • Keylogging, mis nõuab pahavaralt iga sinu tehtud klahvivajutuse salvestamist
  • Ekraanipiltide tegemist sinu koduekraanist/töölauast juhuks, kui seal on kuvatud tundlikku teavet
  • Masina lõikelaualt teabe varastamist

Kui teave on saadetud tagasi ründaja serverisse, sageli mõne sekundi jooksul, pakivad nad selle tavaliselt logideks ja müüvad küberkuritegevuse allmaailmas. Petturid kasutavad seda seejärel:

  • Oma veebikontode (nt Netflix, Uber) kaaperdamiseks, et varastada sealt salvestatud teavet ja/või müüa ligipääsu teistele
  • Identiteedipettuste toimepanemiseks, näiteks sinu nimel laenu taotlemiseks või sinu kaartide/pangaarve kasutamiseks ostude sooritamiseks
  • Meditsiinipettuste toimepanemiseks, hankides sinu nimel meditsiinilist ravi/ravimeid
  • Maksupettuste toimepanemiseks, esitades sinu nimel maksudeklaratsioone ja saades tagasimakseid
  • Oma kontaktide sihtimiseks phishing-sõnumite või rämpspostiga
  • Oma finantskontode tühjendamiseks
Joonis 1. Vidar infostealer installer näitab käivituskuva
Joonis 1. Vidar infostealer installer näitab käivituskuva ja jäljendab Midjourney’t (allikas: ESET Threat Report H1 2024)

Kuidas ma saan infostealeritega nakatuda?

Esimene samm infostealerite eest kaitsmisel on mõista, kuidas need levivad. Rünnakuks on erinevaid viise, kuid kõige levinumad on:

  • Phishing-meilid/tekstsõnumid: Klassikaline sotsiaalne inseneritehnika, et veenda sind klõpsama pahatahtlikke linke või avama manuseid, mis käivitavad varjatud pahavara installimise. Ohvrioht tavaliselt jäljendab usaldusväärset isikut, brändi või ametiasutust, sealhulgas võltsides saatja domeeni ja kasutades ametlikke logosid.
  • Pahatahtlikud veebisaidid: Neid võib kasutada phishing-kampaaniate osana või iseseisva “varana”. Võid olla sunnitud alla laadima/klõpsama linki, või sait võib käivitada “drive-by-downloadi” lihtsalt seda külastades. Ohvrioht võib kasutada musta mütsi SEO-tehnikaid, et kunstlikult tõsta neid saite otsingutulemustes kõrgemale, nii et need tõenäolisemalt ilmuvad, kui midagi veebist otsid.
  • Nakatunud veebisaidid: Mõnikord häkkerid nakatavad legitiimseid veebisaite, mida võid külastada, võib-olla ära kasutades brauseri haavatavust või sisestades pahatahtliku reklaami (malvertising). Mõlemad tehnikad võivad käivitada infostealeri installimise.
  • Pahatahtlikud rakendused: Legitiimse välimusega tarkvara võib peita endas ohtliku infot varastava üllatuse allalaadimisel. Risk on eriti suur mobiilseadmete puhul, mida sageli ei kaitsta nii hästi kui arvuteid. Ole eriti ettevaatlik populaarsete mängude ja muu tarkvara piraatversioonide suhtes.
  • Sotsiaalsed pettused: Petturid võivad üritada sind meelitada klõpsama ahvatlevat sotsiaalmeedia reklaami või postitust, võib-olla jäljendades kuulsust või isegi kaaperdades legitiimse konto. Ole ettevaatlik pakkumiste, auhinnajate ja eksklusiivse sisu suhtes, mis tunduvad liiga head, et olla tõsi.
  • Mängude modifikatsioonid/trikid: Mitteametlikud modifikatsioonid või trikid videomängude jaoks võivad sisaldada infostealer pahavara. Tegelikult leidsid ESETi teadlased mitmeid GitHubi repositooriume, mis väidetavalt pakuvad farmibotte ja automaatklikkijaid, mis on loodud Hamster Kombati mängimise kiirendamiseks. Tegelikkuses peitsid need Lumma Stealer’i varianti.
Joonis 2. GitHubi repositoorium, mis levitab Lumma Stealer'it ja mille ESETi teadlased avastasid
Joonis 2. GitHubi repositoorium, mis levitab Lumma Stealer’it ja mille ESETi teadlased avastasid (allikas: ESET Threat Report H2 2024)

Pilguheit ähvarduste maastikku

Nagu ESET oma H2 2024 Threat Report aruandes avalikustab, on infostealerite turg küberkurjategijate jaoks suur äri. Pahavara-kui-teenus (MaaS) mudel on demokratiseerinud juurdepääsu paljudele infostealer variantidele, mis on saadaval kuritegelikel turgudel. Mõned neist saitidest pakuvad ka logide töötlemise teenuseid, et aidata küberkurjategijatel andmeid töödelda või edasi müüa.

Nagu ESET märgib, on need pahavarad pidevas arengus. Formbook, näiteks, on tegutsenud alates 2021. aastast. Kuid hiljuti on see lisanud keerukaid obfuskeerimistehnikaid, mis on loodud turvalisuse teadlaste proovivõtu ja analüüsi raskemaks muutmiseks. Teised variandid, nagu RedLine, on kadunud tänu koordineeritud õiguskaitsemeetmetele. Kuid teised, nagu Lumma Stealer, lihtsalt tulevad nende asemele. See variant registreeris ESETi uurimuse kohaselt H2 2024 tuvastamiste 369% aastase kasvu.

Kuidas ma saan infostealeritest eemale hoida?

Kuidas siis tagada, et infostealer ei jõuaks sinu mobiilseadmesse või arvutisse? Arvestades, et pahavara võib levida mitmel viisil, pead meeles pidama mitmeid parimaid tavasid. Nende hulka kuuluvad:

  • Installi ja hoia turvatarkvara ajakohasena kõigis oma seadmetes. See aitab oluliselt kaitsta sind infostealerite ja muude ohtude eest.
  • Ole teadlik phishing’ust, mis tähendab, et sa peaksid vältima linkide klõpsamist mis tahes soovimatutes sõnumites või manuste avamist. Kontrolli alati saatjalt sõltumatult, et nad saatsid sulle sõnumi. Mõnikord võib “saatja” domeeni kohale liikumine paljastada, et e-kiri saadeti tegelikult kellegi teise poolt.
  • Laadi tarkvara/rakendusi alla ainult ametlikest veebipoodidest. Kuigi pahavara hiilib mõnikord Google Play’sse, eemaldatakse see tavaliselt kiiresti ja need ametlikud kanalid on palju turvalisemad kui kolmandate osapoolte poed. Samuti väldi piraat- või krüpteeritud tarkvara allalaadimist, eriti kui seda pakutakse tasuta.
  • Hoia operatsioonisüsteemi ja rakendusi ajakohasena, sest uusim tarkvaraversioon on ka kõige turvalisem.
  • Ole sotsiaalmeedias ettevaatlik ja pea meeles, et kui pakkumine tundub liiga hea, et olla tõsi, siis see tavaliselt ongi. Kui sa kahtlustad, proovi seda Google’is otsida, et näha, kas see võib olla pettus. Ja pea meeles, et ka sõprade ja kuulsuste kontosid saab kaaperdada, et reklaamida pettusi. Väldi soovimatute linkide klõpsamist.
  • Tugevda turvalisust sisselogimisel kasutades tugevaid, unikaalseid paroole iga konto jaoks, mis on salvestatud paroolihaldurisse. Ja lülita sisse mitmeteguriline autentimine (MFA) kõigi oma kontode jaoks. See pakub teatavat kaitset teatud infostealer-tehnikate vastu, nagu keylogging, kuigi see ei ole 100% petmatus.

Trikk on nende meetmete kihtide loomine, vähendades seega rünnaku võimalusi ohvriohtudele. Kuid pea meeles ka seda, et nad jätkavad uute lahenduste väljatöötamist, nii et valvsus on võti.

Loe täismahus analüüsi WeLiveSecurity veebist →