Финансовый сектор был и остается наиболее привлекательным полем для виртуального мошенничества. В отчете компании Symantec приводится результат исследований Интернет-угроз, которые проводились с июля по декабрь 2005 г. с учетом показаний более 40 тыс. датчиков, контролирующих сетевую деятельность в 180 странах и отслеживающих атаки по всему Интернету. Кроме того, Symantec обработала данные о вредоносных программах и сообщения о шпионском и рекламном программном обеспечении, полученные от 120 млн. клиентских, серверных и межсетевых систем, на которых установлены антивирусные продукты Symantec.

В отчете есть перечень основных типов атак, целевых портов и основных стран - источников атак, нацеленных на организации финансового сектора.

По данным исследования, в I полугодии 2005 г. главным источником атак в финансовом секторе были Соединенные Штаты (49%). Это существенно выше показателя исходящих из США атак по Интернету в целом (31% за тот же период). Впрочем, этот результат может объясняться тем, что в учреждениях финансового сектора США установлено больше датчиков, чем в любом другом регионе.

Вторым по интенсивности исходящих атак на финансовые компании стал Китай (19%). Япония генерирует 3% атак против финансовых учреждений, занимая третье место, и практически таким же является показатель относительного числа атак, исходящих из этой страны для Интернета в целом (см. таблицу).

Нажива бьет искусство

Аналитики Symantec констатируют неприятную тенденцию. Все чаще хакерство «из любви к искусству» и самовыражению (мотивация к взлому) сменяется хакерством ради наживы. Ожидается, что в ближайшие год-полтора этот сдвиг мотивации будет усиливаться: злоумышленники чаще будут переходить от угроз, нацеленных на уничтожение или искажение данных, к краже конфиденциальной, финансовой и персональной информации с целью материального обогащения. Инструменты, которые применяются для совершения подобных действий, часто называют преступным программным обеспечением.

Эксперты компании считают, что дальнейшее развитие получит использование взломщиками вредоносного кода, который, проникнув в компьютер пользователя, остается незамеченным. Скрыть его присутствие можно различными методами, однако Symantec предполагает, что особенно активно будет развиваться один из наиболее ходовых в настоящее время - rootkit. Он не заражает машину сам, как вирусы или «черви», а пытается создать необнаруживаемую среду, в которой вредоносный код и угрозы для безопасности смогут выполнять свои функции.

Используя rootkit, киберпреступник сможет еще активнее взламывать системы, т. к. получит возможность выполнять в них практически любые действия, включая удаленный доступ, кражу и передачу конфиденциальной информации, установку дополнительных угроз для безопасности - рекламного и шпионского ПО.

Отчет Symantec содержит и такие данные: за последние шесть месяцев 2005 г. число уникальных фишинговых сообщений, определенных как фишинг против финансовых учреждений, увеличилось на 27%. Мишенью фишинговых атак становились в среднем 15 финансовых учреждений в день.

Судя по отчету, в финансовом секторе за последние шесть месяцев 2005 г. чаще всего в ход пускалась атака Generic Extra SYN in TCP Connection Event. Это служит признаком того, что злоумышленники могут предпринимать попытки манипулировать соединением TCP/IP, что даст им возможность искажать данные или присваивать конфиденциальную информацию. На атаки с манипуляцией TCP/IP приходятся до трети основных видов атак, направленных на сектор финансовых услуг, что указывает на тревожную тенденцию для отрасли.

В основном, атакуя, злоумышленники ищут порты, используемые легитимными службами (включая два наиболее часто используемых порта): порт TCP 25 (e-mail) и порт TCP 443 (служба Secure Web на базе Secure Sockets Layer).

Это означает: злоумышленники пытаются выявить системы, которые либо плохо сконфигурированы, либо в недостаточной мере исправляются. Порты TCP 25 и 443 обычно открыты для трафика через брандмауэры. Служба Secure Web критически важна для финансового сектора, т. к. позволяет клиентам безопасно проводить онлайновые транзакции.

Малоутешительный прогноз

В течение ближайших годаполутора Symantec предвидит рост числа и разновидностей преступного ПО, предназначенного для получения прибыли, а также дальнейшее расширение торговли вредоносным кодом на популярных форумах. Ожидается рост количества и усиление опасности регистраторов нажатий клавиш, шпионского ПО, фишинговых атак и троянских программ. Возможно также, что основной целью сетевых атак станут не одноразовые взломы и информационные диверсии, а создание инфраструктуры, обеспечивающей работу и распространение преступного ПО.