A crimeware-ek három arca

A crimeware egy olyan számítógépes program, vagy programcsoport, amelyet haszonszerzés céljából a pénzügyi bűncselekmények automatizálására fejlesztenek ki. A crimeware a korábban számítógépes bűnözés vagy kiberterrorizmus új elnevezése. Nem azonos a vírussal vagy a levélszeméttel, amelyeket a felhasználók többsége az internethasználat velejárójának tekint. A crimeware-ek esetében sokkal nagyobb a pénzveszteség kockázata.

"A crimeware-eket kimondottan bűnelkövetés céljából készítik" - nyilatkozta Ed English, a Trend Micro alelnöke és vezető biztonsági stratégája. "Ez esetben nem felugró hirdetésekről, hirdetőprogramokról vagy hagyományos vírusokról, férgekről és trójai programokról van szó. A crimeware billentyűnaplózással igyekszik információkhoz jutni, vagy e-mail formájában legális üzletet ajánlva próbál megszerezni személyes információkat, például banki azonosítókat, vagy a felhasználót egy álcázott webhelyre irányítja át, ahol szintén a titkos azonosítók megszerzése a cél. A crimeware-ek működési mechanizmusában az a közös, hogy céljuk a konkrét pénzügyi haszonszerzés" - tette hozzá English.

A Trend Micro vezető fenyegetéselemzője, Jamz Yaneza elmondta, hogy a crimeware-ek fogalmát az adathalászat-ellenes munkacsoport (Anti-Phishing Working Group - APWG) egyik ülésén fogalmazták meg. Az iparági szakértőkből és a törvényességet felügyelő munkatársakból álló non-profit szervezet célja az adathalászatból, az eltérítéses adatlopásból és a számítógépes bűnözés egyéb formáiból származó csalások és személyazonosság-hamisítások elleni védelem. Számos biztonsági szoftvergyártó is csatlakozott már az APWG szervezethez, amely a tagok különböző kutatási eredményeinek összegyűjtése mellett az együttműködést is koordinálja.

Az APWG definíciója szerint crimeware lehet bármely olyan szoftver, amelynek célja tiltott pénzügyi haszonszerzés vagy online csalás. Ebbe beletartozik a kémprogram, a trójai program, a hátsó ajtó, a váltságdíjat követelő program és a 900-as számot hívó betárcsázóprogram is, amely révén a felhasználó pénze ahhoz vándorol, aki a betárcsázóprogramot az áldozat rendszerén elhelyezte. A definíció magába foglalja az adathalászatot és a kémkedéses adathalászatot is, amely közvetlen módon veszi rá az embereket arra, hogy bejelentkezzenek bankjukhoz, és így tulajdonítja el az információkat. A tendencia azt mutatja, hogy a kémprogramok, az adathalászat és a rosszindulatú kódok terjedésével párhuzamosan csökken a konkrét károkozásra irányuló támadások száma. Annak ellenére, hogy globális vírusfertőzések ma már ritkábban törnek ki, még mindig léteznek.

"Egy vírus készítője 15 perc hírnevet szerezhet a vírus megírásával, de utána minden esetben számolnia kell a hatóságokkal. A szoftverek íróit általában bűnszervezetek bérelik fel kémprogramok, rootkitek, bothálózatok és egyéb crimeware-ek készítésére. De vajon mit tesz egy pórul járt vírusíró? Bűnszervezetnél talál munkát, ezért csökken manapság a nagy vírusfertőzések száma és nő ezzel párhuzamosan a konkrét pénzszerzésre irányuló kémprogramok száma" - tette hozzá Yaneza.

Anthony Arrott, a Trend Micro kémprogramkutatásának vezetője szerint a crimeware-ek abban az esetben a leghatékonyabbak (anyagi értelemben), ha más módszerekkel kombinálják őket.

Arrott szerint a crimeware-ek három modulból épülnek fel:
1. A szállítmány: A kárt okozó szoftver, amit a telepítő modul juttat célba.
2. A telepítő: A szállítmány feltelepítését végzi az óvatlan felhasználó gépére.
3. A testőrök: A sokszor rootkitek formájában megjelenő testőrök feladata a szállítmány felfedezésének megakadályozása.

"A bűnözőknek minden okuk megvan arra, hogy az óvatlan felhasználók megtévesztése érdekében elrejtsék az információt. A feladat nem az egyes kategóriák közötti különbségek részleteinek meghatározása, hanem ami ennél fontosabb, az egyes kategóriáknak a feltérképezése" - tette hozzá Arrott.

A kárt okozó szoftvert, a szállítmányt valamilyen formában fel kell telepíteni a gépre. Ezután a testőröknek, amelyek sokszor rootkitek, meg kell védeniük a felfedezéstől. A Coolweb Search például egy ravasz kémprogram, amelytől nagyon nehéz megszabadulni. Nem azért, mert trükkös módon települ fel és így is működik, hanem mert beágyazza magát a számítógép operációs rendszerébe, így a kémprogramvédelmi szoftverek nehezen tudják kiirtani. Ehhez hasonlóan a rootkitek is el tudják rejteni magukat a Windows API-k (Application Programming Interface - alkalmazásprogramozási felület) elől, így láthatatlanok maradnak. "A telepítő és a testőr együtt tulajdonképpen csak segédeszközök - nem érik el teljesen a célt, csak hozzájárulnak a megvalósulásához. Külön kell választani a szállítmányt és a szállítási mechanizmust" - magyarázta Arrott.

A célok három csoportra oszthatók. Az első az öncélú pusztítás, mint például a károkozó klasszikus vírusok és férgek esetében. "A sor másik végén a hirdetőprogramok, a nyomkövetők, a böngészőeltérítők és segítőik találhatóak, amelyek tulajdonképpen olyan marketing és reklám tevékenységet folytatnak, amelyek túllépik az elfogadható határokat. Szabványok hiányában állandó vita tárgyát képezi, hogy mi az, ami elfogadható. Ily módon megszerezhető a jelszó, a számlainformációk és a személyazonosság-lopás szállítmányai. Ezek legtöbbjét a billentyűnaplózók adják, amelyek a billentyűleütéseket rögzítik. Véleményem szerint a crimeware-ekkel való bűnözés tulajdonképpen egyfajta lopás: információ eltulajdonítása vagy tranzakciós csalás" - tette hozzá Arrott.