Крадіжка власності в комп’ютерних мережах, Безпека ПЗ, Security & Hack, статті

В даний час комп’ютери настільки міцно увійшли в наше життя, що з кожним днем ​​все більше і більше користувачів і організацій зберігають в них свою віртуальну власність. І якщо багато хто з нас вельми трепетно ​​ставляться до своєї реальної власності, то віртуальна явно обділена подібним увагою.

Більшість користувачів продовжують вважати, що до них нікому немає діла, що в їх комп’ютерах немає нічого цінного для зловмисника, і вся комп’ютерна зараза пройде мимо. Давайте подивимося на цю проблему з іншого боку барикад – з боку зловмисників.

За останні роки свого інтенсивного розвитку, постійно винаходячи нові шкідливі технології, кіберкрімінал став прибутковим заняттям, пройшовши шлях від аматорських проб одинаків до бізнесу добре організованих груп.

Протягом 2005 року кіберзлочинці за різними оцінками заробили від десятків до сотень мільярдів доларів, що перевищує дохід всієї антивірусної індустрії. Безумовно, не все настільки значні кошти «Зароблені» на атаках на користувачів і організації, але вони займають значну частину в сумарному доході зловмисників.

У цій статті ми спробуємо проаналізувати, яка віртуальна власність користувачів викликає інтерес у зловмисників, до яких способів отримання чужих даних вони вдаються.


КРАДІЖКИ


Що крадуть


Отже, яка ж віртуальна власність може зацікавити комп’ютерного злодія?

За результатами проведеного аналітиками «Лабораторії Касперського» дослідження шкідливих програм, можна виділити 4 групи власності, яка найбільш часто піддається крадіжок з комп’ютерів користувачів. Підкреслимо, що це далеко не весь список того, чим цікавляться шахраї. Розглянемо їх докладніше:


Таким чином, якщо ви володієте хоч чимось з наведеного списку, то вже уявляєте інтерес для криміналу.

Чому крадуть дані і що з ними потім роблять, ми розповімо трохи нижче в розділі «збут краденого», а зараз зупинимося на тому, як здійснюються крадіжки.

Як крадуть


Для скоєння крадіжки в переважній більшості випадків використовуються спеціалізовані шкідливі програми або методи соціального інжинірингу, або і те й інше – для більшої ефективності.

Почнемо з шкідливих програм, завданням яких є шпигунство за діями користувача (наприклад, запис послідовності всіх натиснутих клавіш), або цілеспрямований пошук ключових даних в призначених для користувача файлах або системному реєстрі. Отримані дані шкідлива програма в кінцевому рахунку передає автору, який надійде з ними на свій розсуд.

Відповідно до класифікації «Лабораторії Касперського», подібні творіння відносяться до Trojan-Spy або до Trojan-PSW. Якщо кількість щомісяця виявляються нових модифікацій шпигунських програм представити у вигляді графіка, то він прийме наступний вигляд:



Рисунок 1: Зростання числа шкідливих програм, що займаються крадіжкою інформації.


Отримати шпигунські програми можна самими різними шляхами: при перегляді шкідливого сайту, поштою, в чаті, форумі, через інтернет-пейджер або іншим способом під час подорожі по всесвітній павутині. В більшості випадків зловмисники одночасно з шкідливими програмами використовують прийоми соціального інжинірингу, метою яких є спонукати користувача до вчинення необхідних кіберзлочинці дій. Як приклад візьмемо одну з модифікацій широко поширеного Trojan-PSW.Win32.LdPinch, який займається крадіжкою паролів до інтернет-пейджерам, поштовим скринькам, FTP та іншої інформації. Опинившись на вашому комп’ютері, ця шкідлива програма розсилає по контакт-листу всім вашим знайомим повідомлення виду:

Дивись
<Ссылка_на_вредоносную_программу>
Класна річ! 🙂

Практично кожен одержувач даного повідомлення йде по шкідливої ​​посиланню і запускає троянця. Відбувається це через високий рівень довіри до ICQ-повідомленнями. Одержувач не сумнівається, що повідомлення прийшло від його знайомого. І так по колу: заразивши комп’ютер вашого знайомого, троянець розсилає себе далі по всіх контакт-листах, забезпечуючи автора програми краденими даними користувачів.

Особливе побоювання викликає факт, що подібні шпигунські програми вже пишуть початківці – і також поєднують їх з методами соцінжінірінга. Ось, наприклад, програма від автора, тільки вчора освоїв англійську – Trojan-Spy.Win32.Agent.ih. При запуску дана шкідлива програма виводить діалогове вікно, показане на малюнку:



Рисунок 2: Діалогове вікно, виведене Trojan-Spy.Win32.Agent.ih.


У тексті повідомлення користувачеві вказується на необхідність заплатити всього $ 1 за користування послугами інтернету, а саме повідомлення складено за всіма правилами соціального інжинірингу:


Перший етап роботи програми – зомбувати користувача, не залишити у нього сумнівів в необхідності введення даних кредитної карти. Законослухняному користувачу просто не залишають вибору, і він натискає кнопку «Pay credit card», що призводить до появи діалогового вікна, наведеного на малюнку 3:



Малюнок 3: Діалог для введення параметрів кредитної карти, виведений Trojan-Spy.Win32.Agent.ih.


Природно, що після заповнення всіх полів і натискання кнопки «Pay 1 $» ніякої оплати не відбувається, зате вся інформація про кредитну картку надсилається поштою шахраям.

Методи соцінжінірінга часто використовуються і окремо від шкідливих програм. Красномовним підтвердженням цього є фішинг – атака, спрямована на клієнтів того чи іншого банку, що використовують для управління свого рахунку систему онлайн-банкінгу. В розсилаємих від імені банку фальшиві листи стверджується, що обліковий запис клієнта заблокована з тієї чи іншої причини (це, звичайно, блеф), і для її розблокування пропонується ввести облікові дані по наведеній в тілі листа спеціальним чином сформованої посиланням. Приводиться посилання створюється зловмисниками таким чином, що на екрані жертви вона відображається як реально існуючий мережеву адресу сайту банку, насправді ж посилання при її активації приведе на сайт зловмисника. Введені дані знову ж потраплять не в банк, а до злочинця, який отримає дані клієнта, а разом з ними і можливість доступу до його рахунку. Приклад фішингової листа наведений на малюнку 4:



Рисунок 4: Приклад фішингової письма.


Схожим чином розсилаються і листи від імені різних служб підтримки, соціальних служб і т.п.

Однак шахраї полюють не тільки за даними кредитних карт. Їх цікавить і така річ, як списки електронних адрес з комп’ютерів користувачів. Яким же чином крадуть ці адреси? Неоціненну допомогу зловмисникам в цьому надають шкідливі програми, які, згідно класифікації «Лабораторії Касперського», отримали назву SpamTool. Ці програми займаються скануванням файлів даних на комп’ютері-жертві і пошуком в них всіх можливих адрес електронної пошти. Зібрані адреси можуть тут же фільтрувати по заданим критеріям: наприклад, видаляються належать антивірусним компаніям.

Всі зібрані email “и передаються розробнику шкідливої ​​програми.

Існують і куди більш цинічні способи проникнення троянців на комп’ютери користувачів. Відзначено випадки, коли злочинці пропонують платити власникам сайтів за завантаження їх відвідувачам шкідливих програм – чого вартий випадок з сайтом iframeDOLLARS.biz! Згідно розташованої там «партнерській програмі», веб-майстрам пропонувалося встановити на власних сайтах експлойти для подальшого завантаження відвідувачам (зрозуміло, без їх відома!) шкідливих програм. «Партнерам» пропонувалося $ 61 за 1000 заражень.

Збут краденого


Безумовно, головна причина всіх цих крадіжок – можливість отримання вигоди. В кінцевому підсумку практично вся викрадена інформація продається або безпосередньо використовується для отримання грошей. Але кому потрібні дані кредитних карт та електронні адреси?

Отже, крадіжка даних здійснена. Але це тільки частина справи, тепер необхідно вивести з платіжної системи гроші, або реалізувати отриману інформацію. Якщо результатом проведеної атаки стали, наприклад, параметри для доступу до системи онлайн-банкінгу або електронному гаманцю користувача, то кошти можуть бути виведені самими різними способами: через ланцюжок електронних обмінних пунктів з однієї електронної валюти (aka платіжної системи) в іншу, або з допомогою аналогічних послуг представників кіберкрімінала, або шляхом придбання товару в інтернет-магазинах.

У багатьох випадках цей етап легалізації крадених коштів є найнебезпечнішим для зловмисника, так як необхідно вказувати небудь свої ідентифікаційні параметри: адреса для доставки товару, номер свого рахунку / гаманця і т.д. Для вирішення проблем такого роду шахраї можуть використовувати людей, яких на мові кіберкрімінала називають «Дроп». Використовують їх для самої рутинної роботи, щоб не світитися самим – отримати гроші, товар. Самі «дропи» часто не знають, для чого їх використовують. Попередньо їх може найняти на роботу нібито міжнародна компанія через сайти з пошуку роботи, на руках у «дропа» навіть може бути укладений контракт з печаткою. Але у випадку їх затримання правоохоронними органами нічого зрозумілого про замовників вони, як правило, сказати не можуть, контракт і всі зазначені в ньому реквізити виявляються, безумовно, фальшивими, втім як і сайт компанії з зазначеними поштовими адресами і телефонами, через які здійснювалося спілкування з «Дроп».

Зараз ця індустрія поставлена ​​в мережі на потік, зловмисникові немає сенсу самому шукати «дропов», їх постачанням може займатися людина, яка на мові кіберзлочинців називається «дроповодом». Кожному з ланок в цьому ланцюжку при легалізації грошей користувачів доводиться платити певний відсоток, але безпека коштує цих вкладень, тим більше що гроші «зароблені» зловмисниками не потім і кров’ю.

Що стосується вкрадених адрес електронної пошти, то їх можна продати на кримінальному ринку за чималі гроші тим же спамерам, які будуть їх використовувати в своїх подальших розсилках.

Поговоримо тепер про онлайн-іграх. Рядовому користувачеві буде цікаво дізнатися, що ж роблять з його обліковими записами. Насправді гравці купують собі за допомогою електронних грошей віртуальне зброю, заклинання, всіляку захист і купу чого ще. Відзначено випадки, коли віртуальні ресурси продаються за тисячі цілком реальних доларів. І всі ці багатства зловмисники, отримавши їх абсолютно безкоштовно, можуть продати за значно зниженими цінами, чим і пояснюється зростання популярності шкідливих програм, що займаються крадіжкою ігровий віртуальної власності. Наприклад, кількість модифікацій шкідливих програм, що крадуть паролі від відомої гри Legend of Mir, на кінець липня 2006 року нараховувала вже понад 1300 (!) штук. Більше того, останнім часом все частіше нашими аналітиками виявляються подібні шкідливі програми, які атакують не одну гру, а відразу декілька.


ШАХРАЙСТВО


Шахрайство зводиться до спонукання користувача добровільно розлучитися з грошима і для цього в переважній більшості випадків використовується любов користувачів до «халяви».

Бізнес постійно освоює нові області, в мережі продається все більше товарів і послуг, постійно з’являються нові. Слідом за бізнесом в мережу прийшов і кримінал, оперативно впровадивши в мережі шахрайські схеми з реального світу. Як правило, в таких схемах для залучення покупців (або клієнтів) ставка робиться на значно більш низькі ціни в порівнянні з цінами, запропонованими чесними продавцями. Прикладом тут може стати один з віртуальних магазинів, фрагмент сторінки якого наведено на малюнку 5:



Рисунок 5: Пропозиції ноутбуків за низькою ціною на шахрайському сайті.


Як видно з рисунку 5, ціна пропозиції неправдоподібно низька. Здавалося б, така ціна має викликати підозру у користувачів і змусити їх задуматися про придбання. Для того щоб цього уникнути, зловмисники аргументують низьку ціну наступними причинами:


Вся аргументація низької ціни у подібних «магазинів» вельми і вельми сумнівна. Але багато покупців вірять – чому б не продавати товар дешево, якщо він дістався безкоштовно.

При замовленні користувача просять внести передоплату, а іноді й оплатити всю вартість товару, після чого телефони / адреси злочинців перестають відповідати. Заплачені гроші, безумовно, ніхто не повертає. Зазначений сценарій може застосовуватися з різними модифікаціями. Наприклад, в Росії широко поширена доставка купленого в інтернет-магазинах товару за допомогою кур’єрів. У цьому випадку зловмисники можуть вимагати передоплату тільки за доставку, аргументуючи свою вимогу тим, що кур’єр часто приходить за адресою, де ніхто нічого не замовляв і витрати на кур’єра доводиться покривати інтернет-магазину. В цьому випадку покупець розлучається тільки з витратами на доставку, товар також не доставляється.

Фіктивні інтернет-магазини – це далеко не єдині пастки для користувачів, в кіберміре знаходять своє друге життя практично всі кримінальні ідеї з реального світу. В якості чергового прикладу можна розглянути ще один із «проектів», коли користувачеві пропонують вкласти певну суму під дуже привабливий відсоток, що змушує користувача віддавати гроші шахраям. На малюнку 6 показаний один з таких «інвестиційних» сайтів:



Рисунок 6: Шахрайський «інвестиційний» сайт.


Коментарі за розмірами пропонованих відсотків зайві. Тим не менш, знаходяться люди, що довіряють таким «проектам», автоматично перетворюючись з інвесторів в жертв, які втратили вкладені кошти.

Про такі випадки можна розповідати нескінченно: постійно виявляються помилкові обмінні сайти для електронних грошей, клієнти яких також позбавляються своїх коштів, періодично з’являються інтернет-піраміди (Аналог шахрайських «пірамід» з реального світу), розсилається спам про існування секретних спеціалізованих електронних гаманців, які подвоюють / потроюють отримані суми і т.д. Як ми вже сказали раніше, всі подібні шахрайські підходи використовують любов користувача до халяви.


ВИМАГАННЯ


У 2006 році чітко проявилася небезпечна тенденція: в Росії та інших країнах СНД стало інтенсивно розвиватися здирництво. У січні 2006 року з’являється Trojan.Win32.Krotten, який модифікував реєстру комп’ютера-жертви таким чином, що нормальна робота для користувача ставала неможливою. Після перезавантаження комп’ютера Krotten висував вимоги про переведення зловмисникові 25 гривень (близько 5 USD) за відновлення працездатності комп’ютера. Але володіючи необхідною кваліфікацією, користувач таки міг відновити робочий стан системи самостійно, або проинсталлировать операційну систему спочатку, що дозволяло йому позбутися від цієї шкідливої ​​програми. Більшість наступних виявляються здирників з інших сімейств вже не надавали таку можливість, і вибір «платити чи не платити »перед користувачем вже не стояло, чаша терезів усе частіше схилялася на користь першого рішення.

Поширювався Krotten в чатах, на форумах під виглядом сенсаційних програм, що дозволяють отримувати безкоштовну IP-телефонію, безкоштовний доступ до інтернету, безкоштовний доступ до стільникових мереж та ін

Слідом за Trojan.Win32.Krotten 25 січня 2006 з’являється перша модифікація Virus.Win32.GpCode, який шифрував файли даних на диску, не даючи можливості користувачеві декріптовать їх самостійно. Відновлення інформації було платним, каталоги з зашифрованими даними містили файл readme.txt:

    Some files are coded by RSA method.
    To buy decoder mail: xxxxxxx@yandex.ru
    with subject: RSA 5 68251593176899861

Незважаючи на повідомлення про використання RSA-алгоритму шифрування, зловмисник насправді використовував звичайне симетричне шифрування, що робило відновлення даних не настільки складним.

Всього за 6 місяців 2006 року GpCode пройшов досить довгий шлях у своєму розвитку, що супроводжувалося зміною алгоритму шифрування і постійним збільшенням його складності. Сума викупу для різних версій варіювалася від 30 до 70 USD.

Поширювався GpCode за допомогою спам-розсилки.

Далі – більше. Протягом року активно зростала кількість сімейств програм-вимагачів (з’являються Daideneg, Schoolboys, Cryzip, MayArchive тощо), ширилася географія їх появи: до кінця півріччя подібні шкідливі програми виявлені у Великобританії, Німеччині та інших країнах. Однак і інші методи вимагання продовжували застосовуватися не менш інтенсивно. Красномовним прикладом цього стала атака на проект 21-річного британського студента Алекса Тью, який створив сайт з продажу рекламного місця у вигляді квадратів в кілька пікселів і заробив на своїй незвичайній ідеї 1000000 доларів протягом чотирьох місяців. Зловмисники зажадали значну суму у успішного студента, погрожуючи йому DDoS-атакою. Після закінчення трьох днів з моменту висунення вимоги сайт студента піддався DDoS-атаці. До честі студента, платити він так і не став.

Чому ж здирство і шантаж користуються такою популярністю в кіберкрімінальних колах? Відповідь проста: на це провокують самі жертви. У надії відновити загублені або зіпсовані важливі дані вони згодні виконати будь-які умови зловмисників.


ЯК НЕ СТАТИ ЖЕРТВОЮ Зловмисники?


Після прочитання нашої статті у читача може скластися враження, що її мета – залякати користувача і повідомити, що врятувати його може тільки антивірус. Насправді ніякої антивірус не допоможе користувачеві в мережі, якщо він не буде дотримуватися елементарної обережності. Нижче наводиться кілька простих рекомендацій, дотримання яких допоможе вам не стати «подарунком» для зловмисників:


 

ВИСНОВКИ


У цій частині були розглянуті найбільш поширені способи відбирання віртуальної власності користувачів в мережі. Найкращим гарантом вашої безпеки можете бути тільки ви самі. Як то кажуть, хто попереджений, той озброєний. І ми сподіваємося, що наша стаття допоможе вам у цьому.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*