Ciemna strona VBA czyli makro na usługach cyberprzestępców

Każdego dnia jesteśmy zasypywani dziesiątkami, a nawet setkami wiadomości e-mail. Wydaje nam się normalnym postępowaniem to, że w pierwszej kolejności zajmujemy się rzeczami ważnymi i pilnymi. Dlatego najczęściej otwieramy otrzymaną wiadomość i pobieżnie przeglądamy jej treść. Następnie klikamy w załączony plik, bo przecież w nim musi być cenna informacja, skoro ktoś nam go przesłał. Niestety, okazuje się, że Word lub Excel znów „przeszkadza” w pracy, blokując zawartość załącznika. Nie zastanawiając się ani sekundy, klikamy, co trzeba, aby zobaczyć, co tak naprawdę jest w pliku. Ku naszemu zaskoczeniu załącznik działa prawidłowo, bo przecież nic nie wyświetla. Problem w tym, że działa i właśnie staliśmy się kolejną ofiarą cyberataku, którego celem jest kradzież danych lub przejęcie kontroli nad naszym komputerem…

13_INFO_05.jpg

Fikcja? Absolutnie nie! Statystyki pokazują, że bez większego namysłu otwieramy jedną trzecią takich maili, narażając siebie na ogromne niebezpieczeństwo. Co więcej, hakerzy umiejętnie wykorzystują tę słabość. Tworzą ogromne kampanie phishingowe, których celem jest wyłudzenie konkretnych informacji lub nakłonienie potencjalnej ofiary do wykonania określonych działań. W takiej korespondencji przestępca podszywa się pod inną osobę lub instytucję, np. bank, ubezpieczyciela lub dostawcę. Często stosowanym wabikiem jest załączanie do wiadomości dokumentów stworzonych w pakiecie Microsoft Office zawierających złośliwe makro VBA.

Czym jest makro VBA?

Makro to niewielki program umieszczony w pliku stworzonym w takich programach jak Excel lub Word, którego zadaniem jest wykonanie określonego zestawu czynności. Jego zastosowanie w codziennej pracy pozwala zwiększyć wydajność oraz zaoszczędzić sporo czasu, zwłaszcza tam, gdzie mamy do czynienia z powtarzającymi się działaniami.

Dla przykładu zamiast tracić cenne godziny na pobranie danych z systemów ERP, ich oczyszczenie, uporządkowanie i skonsolidowanie, a następnie wygenerowanie raportu według z góry określonego szablonu, wszystkie te zadania makro może wykonać samodzielnie. Końcowy efekt będzie taki sam jak w przypadku pracy użytkownika, ale zostanie zrealizowany w krótszym czasie. Jest to zdecydowana zaleta automatyzacji procesów.

Makra tworzone są w języku VBA (Visual Basic for Applications), który został opracowany na potrzeby pakietu Microsoft Office. Prostota języka oraz łatwość tworzenia sprawiają, że na dobrą sprawę każdy użytkownik Office’a może samodzielnie nagrywać lub pisać makra.

Warto pamiętać, że firma Microsoft, wdrażając obsługę języka VBA, pozwoliła, aby makra były uruchamiane automatycznie bez potrzeby pytania użytkownika o jego zgodę. Z jednej strony krok ten miał przyczynić się do usprawnienia pracy, z drugiej strony został sprytnie wykorzystany przez hakerów, którzy rozpoczęli na masową skalę ataki z użyciem złośliwych makr umieszczonych w załącznikach do wiadomości e-mail.

Co prawda błąd ten został częściowo naprawiony, ponieważ pakiet Microsoft Office, począwszy od wersji 2007, blokuje uruchomienie każdego makra, wymuszając na użytkowniku podjęcie stosownej decyzji. Niestety, nie stanowi to stuprocentowej ochrony przed atakami, ponieważ cyberprzestępcy wykorzystują w swoich działaniach różnego rodzaju triki socjotechniczne, aby zmylić ofiarę i wymusić na niej uruchomienie złośliwego makra umieszczonego w przesłanym pliku.

Jak przebiega atak z użyciem makr VBA?

Powodzenie kampanii phishingowej lub spear phishingowej (jej celem jest konkretna osoba) opiera się na dwóch głównych elementach – socjotechnice oraz przygotowaniu wiadomości e-mail w taki sposób, aby wyglądała na oryginalną. Bardzo często przybiera ona formę fałszywych powiadomień z banku, komunikatów od operatora telefonii komórkowej lub firmy kurierskiej czy korespondencji od dostawcy współpracującego z naszą firmą.

Celem takiego ataku jest zainstalowanie na komputerze ofiary złośliwego oprogramowania, które dla przykładu może podmieniać numery kont bankowych w zleceniach przelewu lub wykradać dane uwierzytelniające do skrzynek pocztowych, kont bankowości online, mediów społecznościowych i innych serwisów. Oszuści mogą również zablokować dostęp do danych na komputerze zaatakowanego użytkownika w celu wymuszenia okupu.

Zanim to jednak nastąpi, cyberprzestępcy przygotowują wiadomość e-mail, która ma nakłonić ofiarę do wykonania konkretnej akcji. Niejednokrotnie w takich przypadkach hakerzy podszywają się pod istniejące instytucje. W ten sposób wykorzystują zaufanie odbiorcy wiadomości do znanej powszechnie firmy i jego zaniepokojenie wynikające np. z konieczności uregulowania opłaty.

Chcąc zmylić czujność ofiary, przestępcy rejestrują domeny internetowe łudząco podobne do tych, które wykorzystuje rzeczywisty podmiot gospodarczy. W tym celu stosują różne zabiegi związane z podmianą liter, zmianą ich kolejności czy umieszczeniem dodatkowych liter. W takim przypadku łatwo jest oszukać ludzkie oko, zwłaszcza jeśli większość z nas, czytając maile, zupełnie nie zwraca uwagi na adres nadawcy wiadomości.

Dla przykładu hakerzy mogą wysłać komunikat, podszywając się pod jednego z pracowników banku i wykorzystując w tym celu fikcyjny adres i domenę piotr.nowak@bankmilllenium.pl. W rzeczywistości instytucja ta korzysta z domeny bankmillennium.pl. Jak widać, rejestrując domenę, w jej nazwie umieszczono dodatkowo literę „l”.

Podobnie rzecz ma się w przypadku zamiany liter. Hakerzy chcący wysyłać fałszywą komunikację w imieniu np. Wydawnictwa Explanator mogliby zarejestrować łudząco podobną domenę, w której nazwie zamieniliby literę „a” na „e”. W takim przypadku mogliby posłużyć się adresem jan.kowalski@explenator.pl, a prawdziwa komunikacja wychodzi z domeny explanator.pl.

Kolejnym elementem jest przygotowanie tytułu wiadomości, który ma nadać jej ważność i zwrócić uwagę odbiorcy. Niejednokrotnie w temacie stosowane są zwroty typu: faktura, nieopłacona faktura, wezwanie do zapłaty, ważny komunikat, zmiana regulaminu, niedostarczona przesyłka itp. W przypadku komunikacji w języku angielskim najczęściej pojawiają się słowa: transfer, invoice, request, urgent i payment.

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 49% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.

Kilka wariantów prenumeraty Pokaż opcje
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 100 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.