Kun haittaohjelma on asennettu uhrin tietokoneelle, se luo varaslokeja tai asiakirjoja, joihin se kerää kaikki varastetut tiedot. Hyvin koulutetun koiran tavoin virus nuuskii koko tietokoneen ja löytää arvokasta tietoa uhrista ja hänen laitteistostaan. Kaikesta varastetusta datasta muodostetaan näin ihmisen digitaalinen identiteetti.
Evästeet ovat pieniä datapisteitä, joita verkkopalvelimet lähettävät selaimeesi. Nämä datalohkot auttavat kutakin verkkosivustoa muistamaan tietosi ja räätälöimään selauskokemuksesi. Jos esimerkiksi annat verkkosivuston tunnistaa sijaintisi, se muistaa tämän asetuksen, kun vierailet sivustolla seuraavan kerran.
Varastamalla evästeesi haittaohjelma voi saada pääsyn käyttämillesi eri alustoille. Vaikka salasanat eivät paljastu evästeistä suoraan, ne voivat sisältää todennus- tai istuntotunnuksia, jotka tallentavat kirjautumisesi. Yksinkertaisesti sanottuna hakkeri voi asentaa varastettuja evästeitä selaimeensa ja kirjautua tilillesi välttäen kaksitekijäisen todennuksen.
Digitaaliset sormenjäljet ovat tunnisteita, joita selaimesi ja laitteesi jättävät jälkeensä, kun selaat verkkosivustoa. Sormenjäljet voivat sisältää laajan valikoiman tietoja, joihin kuuluvat niin laitteen asetukset (kuten näytön resoluutio, oletuskieli ja aikavyöhyke) kuin verkkotunnistetiedot (kuten IP-osoite, selainasetukset ja laajennukset).
Kun verkkorikolliset ovat kaapanneet tällaiset tiedot, he voivat loukata yksityisyyttäsi ja ohittaa suojakeinot, jotka on otettu käyttöön todentamista varten. Keskimäärin 2 % varastetuista datalokeista sisältää digitaalisia sormenjälkiä.*
Päivässä tulee käytettyä useita eri verkkopalveluita, kuten sosiaalista mediaa ja sähköpostitilejä tai musiikin ja elokuvien suoratoistopalveluja. Useimmissa tapauksissa käyttäjät säilyttävät kaikki käyttäjätunnukset ja salasanat selaimissaan. Tästä on turha syyttää ketään – kyseessä on vain aikaa säästävä valinta.
Toisaalta se voi olla myös mehevä jättipotti haittaohjelmille. Kun virus hyökkää laitteeseen, se voi napata käyttäjätunnukset, jotka on tallennettu kaikkiin selaimiin. Miten hakkeri voi käyttää niitä? Kuvittellaan esimerkiksi, että haittaohjelma varastaa ruokapalvelusovelluksen tilin käyttäjätunnuksen ja salasanan. Hakkeri voi täten helposti tehdä tilauksia ja nauttia aterioista käyttäjän piikkiin.
Jokainen bottiloki sisältää keskimäärin 54 varastettua kirjautumistunnusta.
Mitä tiedostoja tallennat työpöydällesi? Haluaisitko, että joku näkisi ne? Ilkivaltaisen hyökkäyksen aikana virus voi helposti ottaa tilannekuvan näytöstä. Tällainen yksityisyyden loukkaus on helppo ymmärtää – ajattelee vain, että joku murtautuisi omaan makuuhuoneeseen ja ottaisi kuvia kaikesta, mitä sieltä löytyy. Eikä siinä kaikki – joskus haittaohjelmat saattavat jopa pystyä ottamaan valokuvan uhrin webkameralla.
Automaattinen täyttö on monille ihmisille toinen tapa säästää aikaa. Esimerkiksi verkkokaupoissa suurin osa käyttäjistä tallentaa tällaiset tiedot automaattisesti täytettäviin lomakkeisiin sen sijaan, että he kirjoittaisivat toistuvasti kaikki yhteystietonsa ja luottokorttitietonsa.
Valitettavasti helposti löytyvät tiedot voivat osoittautua akilleenkantapääksi haittaohjelmahyökkäyksen aikana. Tietovaras voi kerätä luottokorttitietosi ja muita henkilökohtaisia tietojasi. Yksi bottiloki sisältää keskimäärin kaksi varastettua automaattisesti täytettyä lomaketta.
*Visuaalisesti näytettävät tiedot perustuvat Genesis-markkinoihin. Tutkimukset osoittavat, että näillä bottimarkkinoilla on 24 153 964 varastettua kirjautumistunnusta, 537 718 automaattisesti täytettyä lomaketta ja 81 728 digitaalista sormenjälkeä.
Tiedot bottimarkkinoista on koottu yhteistyössä kyberturvallisuutta vaarantavien tapausten tutkimukseen erikoistuneiden riippumattomien ulkopuolisten tutkijoiden kanssa. Tutkimusta suoritettaessa ja raporttia valmisteltaessa ei kerätty, arvioitu tai muutoin otettu huomioon tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Lisäksi tutkijat eivät käyttäneet pimeää verkkoa. Tiedot vastaanotettiin 29. syyskuuta 2022.
2easy-markkinapaikka lanseerattiin vuonna 2018. Aluksi sitä pidettiin muita markkinoita pienempänä. Tilanne on kuitenkin muuttunut dramaattisesti sen jälkeen. Nykyään 2easy myy yli 600 000 varastettua tietolokia 195 maasta.
Genesis-markkinat aloittivat toimintansa vuonna 2017. Se on markkinapaikka, joka tarjoaa kaikkien bottimarkkinoiden edistyneimmän käyttöliittymän. Genesis myy yli 400 000 lokia 225 maasta.
Russian Market on suurin bottimarkkinapaikka. Siellä on myynnissä yli 3 870 000 lokia 225 maasta. Russian Market tarjoaa helpoimman tavan ryhtyä myyjäksi. Se on kuitenkin myös vaarallisempaa.
Suosituimpia haittaohjelmia, jotka varastavat ja keräävät tietoja, ovat RedLine, Vidar, Racoon, Taurus ja AZORult. RedLine on näistä yleisin. Esimerkiksi Russian Marketissa se kattaa yli 60 % koko markkinoista. TechRadarin mukaan RedLine-haittaohjelmaa on viime aikoina käytetty 2K Gamesin asiakastuen hakkeroimiseen. Hyökkääjät avasivat väärennettyjä tukipyyntöjä ja jakoivat sitten RedLine-haittaohjelmaa vastausosiossa.
Haittaohjelma jakaa kustakin uhrista kerätyt tiedot eri kansioihin. Sitten viruksen omistaja sijoittaa nämä hajautetut datapaketit (bottilokit) markkinoille ja asettaa niille hinnan. Hinta vaihtelee sen mukaan, mitä tietoja varastettu loki sisältää. Jos haittaohjelmalla on esimerkiksi onnistuttu saamaan uhrin luottokorttitiedot, tällaisella bottilokilla voi olla korkeampi hinta kuin sillä, joka sisältää vähemmän tärkeitä käyttäjätunnuksia tai henkilötietoja.
Kaikilla tutkituilla markkinoilla liiketapahtumat hoidetaan vain kryptovaluutoilla. Genesis-markkinoilla käyttäjät voivat suodattaa hakunsa löytääkseen etsimänsä tiedot (esimerkiksi Netflix-tilin kirjautumistunnukset). Jokaisen bottilokin vierestä asiakas näkee, mitä varastettua dataa se sisältää, milloin loki on päivitetty, ja mikä on sen hinta. Maksun suorittamisen jälkeen käyttäjä saa varastetut tiedot. 2easylla ja Russian Marketilla on enemmän tai vähemmän samanlaiset maksumenettelyt ja bottien hakusuodattimet.
Lyhyt vastaus molempiin kysymyksiin on useimmissa tapauksissa verkkorikolliset. Ostajien kirjo on laaja kyberhyökkäyksiä järjestävistä kiristyshaittaohjelmia käyttävistä ryhmistä yksittäisiin ihmisiin, jotka yrittävät vaarantaa jonkun tuttunsa.
Hakkerit voivat aiheuttaa paljon vahinkoa infostealer-haittaohjelmien varastamilla tiedoilla. Esimerkiksi sen jälkeen, kun haittaohjelma on varastanut luottokorttitietoja tai verkkopankkitunnuksia, verkkorikolliset voivat käyttää uhrin tiliä omaksi edukseen. He voivat myös paljastaa uhrien yksityisiä keskusteluja, valokuvia ja selaushistoriaa. Tällaisia tietoja voidaan käyttää sosiaalisen manipuloinnin tarkoituksiin. Vaihtoehtoisesti hyökkääjät voivat poistaa tai lukita kaikki uhrin tilit (kuten Netflixin, Spotifyn tai Steamin).
Digitaalinen turvallisuus riippuu muutamasta asiasta: verkkotottumuksista ja suojaukseen käytettävistä työkaluista.
Koskaan ei kannata napsauttaa epäilyttäviä linkkejä tai ladata tiedostoja hämäriltä verkkosivustoilta ja torrent-asiakasohjelmista. Ne ovat turvattomia ja laittomia – toisin sanoen täydellinen pesäpaikka haittaohjelmille.
Kannattaa välttää salasanojen tallentamista selaimeen – virus voi varastaa ne välittömästi. Suosittelemme käyttämään NordPassin kaltaista salasanojen hallintasovellusta. Se suojaa tunnuksesi ylimääräisellä salaustasolla.
Threat Protection -työkalu estää verkkoseurannan, skannaa tiedostot haittaohjelmien varalta ja pysäyttää mahdolliset haittaohjelmistohyökkäykset. Vahvaan virustorjuntaan yhdistettynä tästä työkalusta tulee haittaohjelmien vastalääke, jonka hankkimista et kadu.
Tallenna tiedostosi NordLockerin kaltaiseen salattuun pilveen. Se on helppokäyttöinen työkalu, joka takaa tallennettujen asiakirjojen yksityisyyden ja turvallisuuden.
Jos haluat lisätietoa tästä perusteellisesta ja varoittavasta tutkimusraportista, ota meihin yhteyttä painamalla painiketta alta.
