Jelszótolvaj vírus a Facebookon

A Ramnit nevű féregvírus egy új variációja jelszólopásra készült, és segítségével bűnözők több tízezer facebookos azonosító/jelszó párost szereztek meg – áll a Seculert biztonsági cég január 4-ei közleményében.

A szakemberek a vírus működését és felhasználását irányító szerver (command-and-control server) vizsgálatakor vették észre, hogy a Ramnit említett verziója több mint 45 ezer facebookos belépési kódot szerzett meg a program íróinak (főként az Egyesült Királyság és Franciaország területéről), akik ezek után egy szokásos, az átlagos felhasználói szokásokra alapozó módszerrel azt próbálgatták végig, hogy a birtokukba került azonosító/jelszó páros segítségével más, a Facebookon tároltnál sokkal értékesebb információkhoz hozzájuthatnak-e máshol. Magyarul: a crackerek megnézték, hogy a belépési adatok érvényesek-e más, népszerű online szolgáltatásoknál (VPN, e-mail, esetleg bank stb.).

A Ramnit már régi ismerőse a biztonsági szakembereknek, másfél éve fedezték fel, és akkor a Microsoft jelentése is leírta, hogy a banki adatokra, illetve FTP-s jelszavakra vadászó vírus HTML-fájlokat, Office-dokumetumokat és végrehajtható, .exe kiterjesztésű Windows-fájlokat fertőz meg. A vírus a fertőzéshez és a továbbterjedéshez leginkább két fő lehetőséget használ ki: az automatikus indítással került be a rendszerekbe, illetve az ún. social engineering trükkjeit felhasználva a malware programozói a felhasználókat igyekeztek, igen gyakran sikerrel, rávenni arra, hogy indítsanak el egy álcázott fertőző fájlt. Emellett természetesen a kompromittálódott Facebook-fiókokba is bejelentkezik a program, és az illető ismerőseit elárasztja olyan linkekkel, melyekre rákattintva az adott felhasználó saját rendszerét is megfertőzi.

A mostani ügy egyik érdekessége, hogy újra csak a crackerek hozzáértő és kifinomult szakmai munkájára világít rá: a Ramnit egy általánosan használható adattolvaj vírus, ám az egyes variációi speciális feladatokat látnak el: van, amelyik banki információk után kutat, vagy épp, mint a legújabb, egy meghatározott közösségi oldalt vesz célba. A másik, amire érdemes figyelni, hogy az eddig főleg e-mailen terjesztendő vírusok újabb terepe a közösségi oldalak, mivel a vírusírók úgy látják, hogy ezek a portálok elegendő kapcsolatot tartalmaznak ahhoz, hogy egy ügyes átveréssel hatékonyan fertőzzenek meg sok ezer gépet. A közösségi oldalak, főként a Facebook sikere jó alapot biztosít erre, másrészt az e-mailezők egyre tudatosabbak, így egy olyan terepet keresnek a bűnözők, ahol vélhetőleg még kisebb mértékű a gyanakvás: egy ismerőstől érkező gyanús levelet egyre kevesebben nyitnak meg, ám ez a bejáratott óvatosság a közösségi oldalakon még nem elterjedt, a felkínált, gyakran roppantul veszélytelennek látszó linkek sokakat megtéveszthetnek.

A biztonsági cég közleménye egyébként újra elmondja a sokszor felemlegetett alapszabályt: senki ne használjon különféle szolgáltatásokban azonos bejelentkezési adatokat, mivel ha az egyikből megszerzik azokat, veszélybe kerülhet a többi fiók is, illetve rendszeres időközönként cseréljék le a jelszavakat. Ám ez a figyelmeztetés gyakran pusztába kiáltott szó, ezért minimális elvárásként azt is felvetik, hogy ha a felhasználó ezt nem vállalja, attól tartva, hogy nem képes megjegyezni, menedzselni a számtalan jelszót, amelyre szüksége van, legalább annyit tegyen meg, hogy más jelszót használ a bankjánál, ahol lenyúlhatják a pénzét, és mást a Facebookon.

Azóta történt