מהי תוכנה זדונית?

במתקפת דיוג, מישהו מעמיד פנים שהוא מקור מהימן במטרה לגנוב מידע רגיש באמצעות הודעות דואר אלקטרוני, אתרי אינטרנט, הודעות טקסט או תקשורת אלקטרונית אחרת. המתקפות האלה מספקות מנגנון להעברת תוכנה זדונית. בדרך כלל, במתקפות נגנבים שמות משתמש, סיסמאות, פרטי כרטיסי אשראי ופרטי בנק. סוגים אלה של מתקפות תוכנה זדונית עלולים להוביל לגנבת זהויות או לגנבת כסף ישירות מחשבון הבנק או כרטיס האשראי האישי של אותו אדם.

לדוגמה,פושע סייבר עשוי להתחזות לבנק מוכר ולשלוח דואר אלקטרוני שמתריע על כך שהחשבון של הנמען הוקפא עקב פעילות חשודה, ולבקש ממנו ללחוץ על קישור בדואר האלקטרוני כדי לטפל בבעיה. לאחר הלחיצה על הקישור, התוכנה הזדונית מותקנת.

תוכנות ריגול מתקינות את עצמן במכשיר ללא הסכמתו של המשתמש או מבלי לספק לו הודעה הולמת. לאחר ההתקנה, התוכנה יכולה לנטר התנהגות מקוונת, לאסוף מידע רגיש, לשנות הגדרות במכשיר ולפגוע בביצועי המכשיר.

בדומה לתוכנות ריגול, תוכנות פרסום מתקינות את עצמן במכשיר ללא הסכמת המשתמש. אבל תוכנות פרסום מתמקדות בהצגת פרסומות אגרסיביות, לרוב בצורת חלונות קופצים, כדי להרוויח כסף מהלחיצות. המודעות האלה מאטות לרוב את ביצועי המכשיר. סוגים מסוכנים יותר של תוכנות פרסום יכולים גם להתקין תוכנות נוספות, לשנות הגדרות בדפדפן ולהשאיר את המכשיר חשוף למתקפות של תוכנות זדוניות אחרות.

וירוסים מיועדים להפריע לפעולה הרגילה של המכשיר על-ידי תיעוד, השחתה או מחיקה של נתונים. הם נוטים להתפשט בעצמם למכשירים אחרים כשהם מטעים אנשים וגורמים להם לפתוח קבצים זדוניים.

קודי ניצול לרעה משתמשים בפגיעויות בתוכנה כדי לעקוף את אמצעי האבטחה של המחשב ולהדביק אותו. האקרים זדוניים סורקים מערכות מיושנות המכילות פגיעויות קריטיות ואז מנצלים אותן לפריסת תוכנות זדוניות. כאשר פושעי סייבר כוללים קוד ייעודי בקוד ניצול לרעה, הם יכולים להוריד עוד תוכנות זדוניות אשר מדביקות מכשירים ומסתננות לתוך ארגונים.

ערכות ניצול לרעה מכילות אוסף של קודי ניצול לרעה שיכולים לסרוק לאיתור סוגים שונים של פגיעויות בתוכנה. אם הערכות מזהות פגיעויות שכאלה, הן פורסות תוכנות זדוניות נוספות. התוכנות העלולות להידבק כוללות את Adobe Flash Player, ‏Adobe Reader, דפדפני אינטרנט, Oracle Java ו- Sun Java. Angler/Axpergle, ‏Neutrino ו- Nuclear הם רק כמה מהסוגים הנפוצים של ערכות ניצול לרעה.

קודי ניצול לרעה וערכות ניצול לרעה מסתמכים בדרך כלל על אתרי אינטרנט זדוניים או על קבצים מצורפים לדואר אלקטרוני אשר יפרצו לתוך הרשת או המכשיר, אבל לפעמים הם מסתתרים גם בפרסומות באתרי אינטרנט לגיטימיים מבלי שהאתרים מודעים לכך בכלל.

סוג זה של מתקפות סייבר מתאר באופן רחב תוכנות זדוניות שאינן מסתמכות על קבצים - כגון קבצים מזוהמים המצורפים לדואר אלקטרוני - כדי לפרוץ לתוך הרשת. לדוגמה, הן עשויות להגיע במנות רשת זדוניות המנצלות פגיעות כלשהי, ואז הן מתקינות תוכנה זדונית שנשארת רק בזיכרון הליבה. איומים ללא קבצים קשים במיוחד לאיתור ולהסרה משום שרוב תוכניות האנטי-וירוס אינן בנויות לסריקת קושחה.

ייתכן שאתה כבר מכיר פעולות מאקרו - דרכים שהופכות משימות נפוצות לאוטומטיות במהירות. תוכנות זדוניות של מאקרו מנצלות את הפונקציונליות הזו כשהן מדביקות קבצים מצורפים לדואר אלקטרוני וקובצי ZIP. כדי להטעות אנשים ולגרום להם לפתוח את הקבצים האלה, פושעי סייבר נוטים להסתיר את התוכנה הזדונית בקבצים המוסווים בתור חשבוניות, קבלות ומסמכים משפטיים.

בעבר, תוכנות זדוניות של מאקרו היו נפוצות יותר משום שפעולות מאקרו הופעלו באופן אוטומטי עם פתיחת המסמכים. אבל בגירסאות האחרונות של Microsoft Office, פעולות מאקרו מושבתות כברירת מחדל, כלומר פושעי סייבר שמדביקים מכשירים בצורה הזו צריכים לשכנע את המשתמשים להפעיל את פקודות המאקרו.

תוכנות כופר הן תוכנות זדוניות שמאיימות על הקורבן על-ידי השמדה של נתונים קריטיים או חסימת הגישה אליהם עד לתשלום הכופר. מתקפות תוכנת כופר המבוצעות על-ידי בני אדם מתמקדות בארגון מסוים באמצעות תצורות שגויות של אבטחה ומערכות נפוצות שחודרות לתוך הארגון, מנווטות ברשת הארגונית ומסתגלות לסביבה ולכל חולשה. שיטה נפוצה לקבל גישה לרשת הארגון כדי לבצע מתקפת תוכנת כופר היא באמצעות גניבת אישורים, כלומר כאשר פושעי סייבר גונבים את אישורי הכניסה של עובדים אמיתיים כדי להתחזות להם ולקבל גישה לחשבונות שלהם.

תוקפים המשתמשים בתוכנות כופר המופעלות על-ידי בני אדם מתמקדים בארגונים גדולים משום שהם יכולים לשלם סכומי כופר גבוהים יותר מהאדם הממוצע - לעתים קרובות מדובר במיליוני דולרים רבים. בגלל הסיכון הגבוה הכרוך בפריצה בסדר גודל שכזה, ארגונים רבים בוחרים לשלם את הכופר כדי למנוע דליפה של נתונים רגישים או כדי למנוע מתקפות נוספות של פושעי הסייבר, אף על פי שהתשלום אינו מהווה ערובה לאף אחת מהתוצאות הללו.

עם הגידול במתקפות תוכנת כופר המבוצעות על-ידי בני אדם, הפושעים העומדים מאחורי המתקפות נעשים מאורגנים יותר. למעשה, מתקפות רבות של תוכנת כופר משתמשות כיום במודל 'תוכנת כופר כשירות'. כלומר, קבוצה של מפתחים פליליים יוצרים את תוכנת הכופר עצמה ואז שוכרים פושעי סייבר שותפים אחרים כדי לפרוץ לרשתות של ארגונים ולהתקין שם את תוכנות הכופר, ואז מחלקים ביניהם את הרווחים לפי תעריף מוסכם.

כאשר פושעי סייבר משתמשים בתוכנות Rottkit, הם מסתירים תוכנה זדונית במכשיר למשך זמן רב ככל האפשר, ולפעמים למשך שנים, כך שהיא גונבת מידע ומשאבים על בסיס קבוע. משום שהיא מיירטת ומשנה תהליכים סטנדרטיים במערכת ההפעלה, תוכנת ה- Rootkit יכולה לשנת את המידע שהמכשיר מדווח על עצמו. לדוגמה, מכשיר שנדבק ב- Rootkit אולי לא יציג רשימה מדויקת של תוכניות שפועלות בו. תוכנות Rootkit גם עלולות להעניק הרשאות ניהוליות או מתקדמות במכשיר לפושעי סייבר, כך שהם יכולים להשיג שליטה מלאה במכשיר ואולי לבצע פעולות זדוניות כגון גנבת נתונים, ריגול אחר הקורבן והתקנת תוכנות זדוניות נוספות.

סוג זה של תוכנות זדוניות מתמקד במפתחי תוכנה וספקי תוכנה כשהוא ניגש לקודי המקור, לתהליכי בנייה או למנגנוני עדכון באפליקציות לגיטימיות. ברגע שפושע הסייבר מוצא פרוטוקול רשת לא מאובטח, תשתית שרת לא מוגנת או נוהל תכנות לא בטוח, הוא פורץ לתוכם, משנה את קודי המקור ומסתיר תוכנה זדונית בתהליכי הבנייה והעדכון.

תרמיות של תמיכה טכנית, המהוות בעיה בתעשייה כולה, משתמשות בטקטיקות הפחדה כדי להטעות את המשתמשים כך שישלמו על שירותי תמיכה טכנית בלתי נחוצים, שפורסם שהם יכולים לפתור בעיות מזויפות הקשורות למכשירים, לפלטפורמות או לתוכנות. סוג זה של תוכנות זדוניות מאפשר לפושעי סייבר להתקשר לאנשים ישירות ולהתחזות לעובדים של חברות תוכנה. ברגע שהם זוכים באמונם של הקורבנות הפוטנציאליים, התוקפים מפצירים בהם להתקין אפליקציות או לתת להם גישה מרחוק למכשירים שלהם.

כאשר מכשיר מכיל תוכנה לא רצויה, המשתמש עלול לעבור חוויה שונה של גלישה באינטרנט, בקרה שונה של הורדות והתקנות, הודעות מטעות ושינויים בלתי מורשים בהגדרות המכשיר. תוכנות לא רצויות מסוימות מצורפות לתוכנות שאנשים מתכוונים להוריד.

תולעים, המצויות בדרך כלל בקבצים המצורפים לדואר אלקטרוני, בהודעות טקסט, בתוכניות לשיתוף קבצים, באתרי רשתות חברתיות ובכוננים נשלפים, מתפשטות ברשת על-ידי ניצול פגיעויות אבטחה ושעתוק של עצמן. בהתאם לסוג התולעת, היא עשויה לגנוב מידע רגיש, לשנות הגדרות אבטחה או למנוע ממך לגשת לקבצים.

לאור הפופולריות הגואה של מטבעות קריפטוגרפיים, כריית מטבעות הפכה למנהג משתלם. כורי מטבעות משתמשים במשאבי המיחשוב של מכשירים כדי לכרות מטבעות קריפטוגרפיים. הדבקות בתוכנה זדונית שכזו מתחילות לרוב בקבצים המצורפים לדואר אלקטרוני המנסים להתקין תוכנה זדונית, או באתר אינטרנט אשר משתמש בפגיעויות בדפדפני אינטרנט או מנצל את כוח העיבוד של המחשב כדי להוסיף תוכנה זדונית למכשירים.

באמצעות חישובים מתמטיים מורכבים, כורי המטבעות מנהלים את ספר החשבונות של הבלוקצ'יין כדי לגנוב משאבי מיחשוב ולאפשר להם ליצור מטבעות חדשים. עם זאת, כריית מטבעות דורשת כוח עיבוד רב במחשב לגנבת כמויות קטנות יחסית של מטבעות קריפטוגרפיים. לכן, פושעי סייבר עובדים לרוב בצוותים כדי להגדיל את הרווחים ולחלק אותם ביניהם.

אבל לא כל כורי המטבעות הם פושעים - יש אנשים וארגונים שרוכשים חומרה וכוח אלקטרוני לצורך כריית מטבעות באופן לגיטימי. המעשה הופך לפלילי כאשר פושע הסייבר מסתנן לרשת ארגונית ללא ידיעת הארגון כדי לנצל את כוח המיחשוב שלו לכרייה.