När skräppost utvecklas går kriminella till skadlig kod

Det var då de började inse att mer och mer av sina falska "phishing" -mails var blockerade. Säkerhetsforskare hade tillbringat föregående år noggrant studerat botnetnät av infekterade datorer och de blev ganska bra på att blockera många av de bedrägliga e-postmeddelanden som skickades från dessa system.

Detta skapade ett problem för phishers - online bedrägerier som sätter upp falska webbplatser och försöker lura offer för att besöka dem och ge upp sina användarnamn och lösenord. Med färre av sina meddelanden att komma igenom, måste de skicka ut mer och mer skräppost för att fungera deras bedrägerier.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

I augusti gick phishing-banden in på en ny sätt att tjäna pengar.

I stället för att fråga folk att besöka en falsk webbplats började fler och fler phishers att få offer att installera plug-ins eller andra typer av program. För att dra av det skulle de skicka e-post som kommer med skadlig programvara som ska vara en säkerhetsuppdatering från en bank. Ibland skulle de helt enkelt köpa tid på infekterade botnetdatorer och installera kod som stjäl bankuppgifter från maskiner som redan hackats.

Anfall som installerar skadlig programvara är lättare att starta än de någonsin har varit och uppenbarligen stiger, säger Mickey Boodaei, VD för Trusteer, ett säkerhetsföretag som gör skrivbordssäkerhetsprogramvara som används av banker. "Vi ser ett tydligt skifte från phishing-attacker."

Inte att någon tycker att phishing är borta. Attacknummer stiger fortfarande stadigt, men e-post som innehåller phishing-bedrägerier har tredubblats under det gångna året, eftersom phishers har blivit mer tekniskt sofistikerade med sina attacker, säger Dave Jevans, ordförande för Anti-Phishing Working Group. "Det här är inte saker som bara stjäl dina lösenord," sa han. "Dessa lägger till botnets."

Några av denna malware är ganska otäck. Phishersna utnyttjar sin kunskap om bankwebbplatser för att skapa anpassad kod som körs inuti webbläsaren, tyst stavar dina online-uppgifter, sade Boodai. "De försöker att injicera HTML-sidor i sessioner med dessa banker för att stjäla information," sa han.

Tidigare i månaden introducerade Trusteer ett sökverktyg så att banker och webbplatsoperatörer kan söka igenom denna skadliga kod för att se om deras domäner riktar sig mot dessa angrepp.

Major finansiella varumärken som Lloyds, Citibank, PayPal och Bank of America står fortfarande för majoriteten av phishing-attacker, men phishers har styrt mot mindre finansiella institutioner vars användare kanske inte är lika förberedd för en falsk e-post. De har också åkt efter offer utanför USA. "Med de europeiska bankerna har det varit det värsta året de någonsin har haft", säger Jevans.

Och phishers stoppar inte på malware. De är ständigt ute efter nya områden att slå.

Under de senaste två månaderna har Jevans också sett phishers spoofföretag som FedEx och United Parcel Service med attacker som är utformade för att installera skadlig programvara på datorer. Och i en oroande utveckling har phishers också riktat domännamnregistratorer i hopp om att stjäla referenser som skulle kunna tillåta dem att omdirigera hela Internet-domäner till sina skadliga servrar.

Vissa säkerhetsexperter tror att en sådan phishing-attack kan ha gett brottslingar tillgång till CheckFree online-betalningstjänstens internetdomän tidigare denna månad. I den händelsen, som kom omkring en månad efter att domännamnregistratorer drabbats av phishers, blev CheckFree-kunder omdirigerad till en webbplats som försökte installera skadlig programvara.

Sociala nätverkssidor var också ett främsta mål för flera månader sedan, även om dessa attacker har sjunkit "dramatiskt", som webbplatser svarade på problemet, enligt John Scarrow, chef för säkerhetstjänster hos Microsoft. "Det är verkligen en ebb och flöde", till attackerna sa han.

Även om flytten mot skadlig kod har gjort phishing mer komplicerat för vissa, finns det också många nykomlingar, enligt Don Jackson, chef för hot intelligence med SecureWorks. "Det finns ingen brist på utbildning, stöd och hjälp till varandra när det gäller att upprätta bedrägerierna."

Ta herr Brain. Tror att han är en marockansk hackare, utvecklar han gratis phishing-paket för nybörjare så att de snabbt kan komma in i verksamheten. Med alla konton gör han ett bra jobb och bygger smarta phishing-paket för banker som ännu inte har attackerats. "Han är den främsta leverantören av dessa gratis phishing-kit," sa Jackson. "De är gratis och de är faktiskt ganska tillgängliga."

Medan hans phishing-paket är gratis, är de inte kända för de amatörkriminella som laddar ner dem, de kommer med en fångst. Alla phishing-data som är inloggade av dessa falska webbplatser skickas automatiskt till herr Brain. Så grönhornsfiskarna hamnar på att få sig själva.

Men det stoppar inte dem. Vinsten är för bra, och eftersom phishers kan drabbas offer i avlägsna länder, fungerar många av dem som om de är utanför lagen. Och med phishingverktyg och köpare för de stulna uppgifterna är det lätt att hitta, fortsätter phishing att dra en ny generation av brottslingar.

För dem är phishing enklare än någonsin tidigare, säger Sean Brady, senior chef med RSA Security. "Om jag kunde kalla det någonting, skulle jag kalla det en handelsbrott."