“Миттєві” загрози

Програми для миттєвого обміну повідомленнями вельми привабливі для різного роду зловмисників. Знання потенційних загроз, поширюваних через IM-клієнти, і способів захисту від них допоможе користувачам уникнути багатьох неприємностей при спілкуванні в Мережі.


IM-клієнти


У наші дні віртуальне спілкування в Мережі стало для багатьох невід’ємною частиною повсякденного життя. Існує безліч способів зв’язку, кожному з яких відведено певне місце в мережевому просторі – Електронна пошта, чати, різні форуми, коментарі в блогах і т.д. Серед користувачів також популярні системи миттєвого обміну повідомленнями (англ. instant messengers, або IM), які дозволяють спілкуватися з людиною, що знаходиться в будь-якій точці світу, в режимі реального часу.


Щоб спілкуватися за допомогою IM, користувачеві досить мати доступ в Інтернет і встановлену на комп’ютері програму (клієнт) для миттєвого обміну повідомленнями. Подібних програм дуже багато, і основні функції IM – власне обмін повідомленнями, пошук співрозмовників за інтересами, перегляд персональної інформації власника аккаунта, різні режими, в яких користувач може знаходитися в Мережі і т.д. – Реалізовані практично у всіх IM-клієнтах. Крім цього, деякі IM-клієнти (або, як їх ще називають, інтернет-пейджери) можуть мати набір додаткових функцій.


У Росії найпопулярнішим IM-клієнтом, без сумніву, є ICQ. Назва ICQ співзвучно англійській фразі “I seek you”, що означає “я шукаю тебе”. У кожного користувача ICQ є унікальний номер, або UIN (Unique identical number), за допомогою якого він авторизується на сервері. Кожен унікальний номер захищений паролем, який встановлює користувач. Повідомлення передаються по протоколу TCP / IP з використанням спеціального формату, розробленого компанією Mirabilis. Як правило, одне повідомлення уміщається в одному TCP-пакеті. Деякі інші клієнти – наприклад, QIP (Quiet Internet Pager) або Miranda – пересилають повідомлення, використовуючи різні версії цього ж протоколу.


Ще одна програма – її воліють багато західні користувачі – MSN Messenger (або Windows Live Messenger), стандартний IM-клієнт, розроблений компанією Microsoft. MSN Messenger використовує Microsoft Notification Protocol (іноді його також називають Mobile Status Notification Protocol – протокол для мобільного оповіщення). Протокол MSNP2 є повністю відкритим, проте код решти його версій на даний момент закритий. В останній версії MSN Messenger використовується версія MSNP16.


У Китаї є аналог ICQ, який називається QQ. Його популярність в даному регіоні дуже висока.


Рис. 1. Вікно китайського IM-клієнта QQ.


У програмі Skype крім функції інтернет-пейджера реалізована можливість голосового спілкування. Цей клієнт, що одержав широке поширення в усьому світі, дозволяє користувачам безкоштовно обмінюватися голосовими повідомленнями. Для цього кожному співрозмовнику необхідно мати гарнітуру з мікрофоном і комп’ютер з доступом в Інтернет і встановленими клієнтом. Skype також дозволяє дзвонити на телефонні номери, але така послуга коштує грошей.


IM-Загрози


На жаль, віртуальний світ в цілому і система миттєвого обміну повідомленнями зокрема доступні для зловмисників. Найчастіше в IM здійснюються наступні види незаконної діяльності:


  1. Крадіжка паролів до акаунтів IM-клієнтів шляхом перебору паролів (брутфорса) або виманювання їх у користувачів за допомогою методів соціальної інженерії.
  2. Поширення шкідливих програм.

    • Розсилка повідомлень з посиланнями, при активації яких на комп’ютер користувача намагається завантажитися шкідлива програма. Використовуючи методи соціальної інженерії, зловмисник провокує користувача відкрити завантажений файл, тобто запустити шкідливу програму.
    • Розсилка повідомлень з посиланнями на заражені веб-сторінки.

  3. Спам-розсилки.

Всі програми для миттєвого обміну повідомленнями схильні до різного роду загрозам. Візьмемо, наприклад, популярний в Китаї IM-клієнт QQ. Широко поширені в даному регіоні Trojan-PSW.Win32.QQPass і Worm.Win32.QQPass спеціально створені для крадіжки паролів до QQ-клієнтові. WormWin32.QQPass розмножується, копіюючи себе на змінні носії разом з файлом autorun.inf, що забезпечує автозапуск хробака на неінфікованих комп’ютері (в тому випадку, якщо функція автозапуску на останньому не відключена).


Вірусописьменники не обійшли стороною і Skype. Worm.Win32.Skipi поширюється через Skype-клієнт, розсилаючи по контакт-листу користувача зараженої машини посилання на свій виконуваний файл. Крім цього, черв’як копіює себе на змінні носії разом з файлом autorun.inf, править файл hosts, роблячи неможливим відновлення антивірусних продуктів і Windows, а також намагається завершити роботу захисних програм в системі. Не обійшлося і без троянця, ворующего паролі до Skype. “Лабораторією Касперського” він детектується як Trojan-PSW.Win32.Skyper.


MSN Messenger, розроблений компанією Microsoft, Активно використовується зловмисниками для поширення різних IRC-ботів. Багато з них здатні розмножуватися через цей клієнт по команді, отриманої з центру управління бекдор. Відбувається це таким чином. Припустимо, у зловмисника є невеликий ботнет, який він хоче розширити. Для цього через центр управління всім бекдор надсилається команда розіслати по адресах з контакт-листів MSN Messenger “а заражених користувачів повідомлення з посиланням наступного вигляду: http://www. *** .com / Www.funnypics.com. Подальше залежить від дій користувача, що отримав дану посилання. Якщо він вирішить поглянути на “забавні картинки”, то в зомбі-мережі стане одним комп’ютером більше: якщо клікнути на посилання на комп’ютер користувача завантажується бекдор.


Інтернет-шахраї використовують MSN Messenger тому, що цей клієнт входить в інсталяційний пакет Windows, А значить, за умовчанням він є у всіх користувачів даної ОС. Популярність MSN за кордоном робить даний IM-клієнт вельми привабливим для зловмисників, охочих збільшити число заражених комп’ютерів в своїх зомбі-мережах.


Рис. 2. Частина шкідливої ​​програми Backdoor.Win32.SdBot.clg. Червоним кольором підкреслені команди, що відповідають за розмноження троянця.



Загрози в ICQ


На прикладі ICQ ми розглянемо найбільш поширені способи атак, які зловмисники можуть вживати і стосовно користувачів інших IM-клієнтів.



Крадіжка паролів


Як вже було сказано, у кожного користувача ICQ є свій унікальний ідентифікаційний номер, або UIN. В даний час найбільш поширені дев’ятизначний номери, проте багато користувачів хочуть, щоб їх UIN співпадав з номером мобільного телефону, був симетричним або містив однакові цифри. Такі UIN “и зручні для запам’ятовування, а для когось подібний номер – питання престижу. Особливо цінуються так звані “гарні” ICQ-номера – п’яти-, шести-або семизначні UIN “и, що містять, наприклад, тільки дві цифри.


“Красиві” номери продаються, і їх ціна, як правило, досить висока. На багатьох сайтах існує послуга “замовлення номера”: за встановлену плату власники сайту обіцяють з деякою часткою ймовірності “дістати” придивився замовнику UIN. Крім того, покупцям пропонують оптові партії нічим не примітних дев’ятизначних номерів, які представляють інтерес для любителів масових розсилок. Використання великої кількості номерів при проведенні спам-розсилок дозволяє спамерам обійти “чорні списки”, куди розгнівані користувачі заносять номери, з яких приходять спам-повідомлення.


Продавці “престижних” номерів рідко розповідають про методи їх отримання. В електронних магазинах покупців запевняють, що “гарні” UIN “и продаються на законних підставах. Але насправді в більшості випадків такі ICQ-номера видобуваються нелегальним шляхом.


Для крадіжки UIN “ов зловмисники використовують декілька способів. Численні інтернет-магазини, що торгують” красивими “номерами, часто займаються” промисловим “перебором паролів і крадіжкою акаунтів. Ще один спосіб – підбір пароля до primary email та зміна вихідного пароля до UIN “у користувача без відома останнього. Розглянемо цей спосіб докладніше.


Якщо користувач забув пароль до свого UIN “у, служба підтримки ICQ пропонує певну схему його відновлення. Вона неодноразово ускладнювалася, допрацьовувалася і в даний час являє собою систему, більш-менш надійно захищає пароль від крадіжки. Користувачеві пропонується ввести відповіді на встановлені ним самим питання. Якщо ж він забув відповіді, то питання можна змінити за допомогою primary email – поштової адреси, введеного в контактну інформацію при реєстрації. Схема досить надійна, але якщо зловмисник якимось чином одержав доступ до primary email, то UIN, можна сказати, у нього в кишені. Підібравши пароль до primary email, можна зв’язатися зі службою підтримки ICQ і від імені власника аккаунту попросити вислати новий пароль, оскільки старий нібито забутий. Після отримання нового пароля зловмисник може позбавити власника доступу і до ICQ, і до primary email, змінивши старі паролі. Слід зазначити, що такий спосіб крадіжки досить непростий: для перебору паролів до поштової скриньки, з яким пов’язаний номер ICQ, необхідний потужний комп’ютер або навіть мережу.


Однак найбільш популярна крадіжка ICQ-номерів за допомогою різних шкідливих програм, серед яких лідирує Trojan-PSW.Win32.LdPinch. Дане сімейство загрожує користувачам протягом останніх кількох років. LdPinch краде паролі не тільки до ICQ та іншим IM-клієнтах (наприклад, Miranda), але також до поштових клієнтам, різним FTP-програмами, онлайн-іграм і т.д. Існують спеціальні програми-конструктори для створення необхідного зловмисникові троянця – вони дозволяють задавати параметри установки шкідливого ПЗ на заражений комп’ютер, визначати, які саме паролі шкідлива програма буде красти у користувача, і т.д. Після конфігурування злочинцеві залишається лише вказати електронну адресу, на який буде відправлятися конфіденційна інформація. Саме простота створення таких шкідливих програм призводить до того, що вони часто зустрічаються не тільки в поштовому, але і в IM-трафіку.


Рис. 3. Вікно програми-конструктора троянця Trojan-PSW.Win32.LdPinch.



Поширення шкідливих програм


Якщо в поштовому трафіку шкідливі програми, що поширюються мимовільно або завдяки спаму, є представниками самих різних сімейств, то через ICQ поширюються в основному три групи подібних програм:



  1. IM-хробаки – шкідливі програми, що використовують клієнт як плацдарм для саморозмноження.
  2. Троянські програми, націлені на крадіжку паролів, в тому числі і до номерів ICQ (в переважній більшості випадків це Trojan-PSW.Win32.LdPinch).
  3. Шкідливі програми, що класифікуються “Лабораторією Касперського” як Hoax.Win32. *. * (Сюди відноситься шкідливе ПЗ, призначене для отримання від користувача грошових коштів обманним шляхом).

Яким же чином поширюються шкідливі програми через ICQ?


Поширення IM-хробаків відбувається без участі (або майже без участі) користувача. Багато IM-хробаки після потрапляння на комп’ютер користувача поширюють посилання на себе за номерами, які містяться в контакт-листі IM-клієнта зараженої машини. Функціонал IM-хробаків досить різноманітний: це і згадане вище крадіжка паролів, і створення ботнетів, а іноді – звичайна деструктивна діяльність (наприклад, видалити всі файли формату. mp3 на комп’ютері користувача). Через ICQ активно поширювалися такі зловредів, як Email-Worm.Win32.Warezov та Email-Worm.Win32.Zhelatin (Storm Worm).


Однак у більшості випадків для успішного проведення атаки зловмисникам необхідно участь користувача. Тим чи іншим способом вони намагаються спровокувати потенційну жертву перейти за посиланням, розміщеної в отриманому повідомленні, а якщо по посиланню завантажується шкідлива програма – відкрити завантажений файл. Для досягнення бажаного результату шахраї часто застосовують методи соціальної інженерії.


Ось приклад атаки, кінцевою метою якої є завантаження на комп’ютер жертви шкідливого ПЗ. Для початку зловмисник реєструє деяку кількість користувачів з привабливою для знайомства інформацією (наприклад, “симпатична дівчина 22 років шукає хлопця”). Потім він “прив’язує” до цих номерів боти (невеликі програми з примітивним інтелектом, здатні підтримати просту розмову). У самому початку бесіди зацікавлені користувачі зазвичай хочуть побачити фотографію “симпатичної дівчини”, для чого бот пропонує їм перейти по посиланню. Чи варто говорити, що за вказаною адресою цікавого користувача очікує не фотографія, а шкідлива програма?


Ще один варіант – внесення посилання на шкідливу програму в особисті дані “симпатичної дівчини”. Цей варіант атаки вимагає від зловмисника додаткових зусиль: йому необхідно не тільки заповнити хоча б кілька основних полів в особистих даних і вибрати потенційних жертв атаки, але й самому спілкуватися з ними, намагаючись зацікавити їх “гарними фотографіями з узбережжя Тихого океану”, посилання на які розміщена в особистих даних “співрозмовниці”.


Поширення шкідливих програм за допомогою ICQ-спаму також не обходиться без методів соціальної інженерії. При цьому розсилається не сама шкідлива програма, а посилання на зловреда.


Посилання в спам можуть вести і на сайти (легальні, але зламані, або спеціально створені зловмисниками), сторінки яких заражені кодом троянців-даунлоадер. У завдання даунлоадер входить завантаження іншого шкідливого ПЗ на комп’ютер жертви. Нижче наведено більш докладний опис такої атаки.


Для завантаження шкідливого ПЗ за допомогою злобливої ​​коду, впровадженого на веб-сайт, найчастіше використовуються помилки, або уразливості, браузерів (в основному, Internet Explorer). Для початку зловмисник атакує легальний і, як правило, досить популярний веб-сайт, на сторінки якого він впроваджує код (наприклад, iframe або зашифрований Java-script), який встановлює шкідливу програму на комп’ютери відвідувачів даного сайту. Інший варіант – на дешевому або безкоштовному хостингу створюється простий сайт з подібним завантажувальним кодом. Потім проводиться масова IM-розсилка з рекламою даної веб-сторінки. Якщо користувач переходить за запропонованою йому посиланню, відбувається непомітна завантаження шкідливого ПЗ на його комп’ютер. При цьому користувач може навіть не підозрювати про те, що сайт, на який він зайшов, був атакований або є підробленим. А на його комп’ютері тим часом вже щосили орудує LdPinch або IRCBot.


Програми для миттєвого обміну повідомленнями також мають уразливості, які можуть бути використані для атаки. За допомогою вразливості можна, наприклад, викликати переповнення буферу і виконання довільного коду в системі або отримати доступ до віддаленого комп’ютера без відома і згоди його власника.


Якщо злочинець вмонтує в код шкідливої ​​програми, яка буде запускатися в системі після переповнення буфера, функцію самораспространения з використанням тієї ж уразливості на інших машинах, то така програма може в короткі терміни проникнути на комп’ютери значної частини користувачів, що використовують вразливе додаток, і викликати справжню епідемію. Проте використання вразливостей IM-клієнтів для атаки вимагає від зловмисників високого рівня технічної підготовки, що дещо обмежує їх можливості.


Останнім часом за допомогою ICQ-спаму активно поширюються програми-обманки, нібито генеруючі пін-коди карт оплати послуг зв’язку різних мобільних операторів. Такі програми детектируются “Лабораторією Касперського “як not-virus.Hoax.Win32.GSMgen. Насправді дане ПО необмежену кількість разів генерує випадкову комбінацію цифр, яку і пропонується використовувати в якості пін-коду для поповнення телефонного рахунку. Програма видає результати у зашифрованому вигляді, а щоб їх розшифрувати, потрібно отримати від автора ключ (зрозуміло, за неї треба заплатити). Сума зазвичай невелика – приблизно 10-15 доларів, що служить додатковою спокусою для користувача. Він думає приблизно так: “Заплачу один раз 300 рублів, а потім все життя буду говорити по мобільному телефону безкоштовно”! Оскільки отриманий таким чином набір цифр не дозволяє поповнити рахунок, в даному випадку ми маємо справу зі звичайним шахрайством. (Відзначимо, що якби дана програма дійсно генерувала пін-коди карт оплати послуг зв’язку, то, по-перше, вона коштувала б набагато дорожче, а по-друге, творці програми дотримувалися б найсуворішу таємність, побоюючись привернути до себе увагу операторів мобільного зв’язку і спецслужб.)


Рис. 4. Вікно програми-“генератора” пін-кодів.


Спам в ICQ


На відміну від email-спаму, спам в ICQ на даний момент досліджений недостатньо добре. Нижче наведені результати невеликого дослідження, яке було проведено нами в період з 23 лютого по 23 березня 2008 року. Ми досліджували тематику небажаних повідомлень, які розсилаються користувачам ICQ, а також провели порівняльний аналіз спаму в ICQ і спаму, що розсилається по електронній пошті.


Популярні тематики в ICQ-спам


Тематика спам-повідомлень в ICQ дуже різноманітна: це може бути реклама нового сайту або ігрового сервера, прохання проголосувати за когось у якомусь конкурсі, пропозиція купити дорогий мобільний телефон за зниженою ціною і т.д. Однак, перейшовши по рекламному посиланню, можна потрапити на сайт з експлойт, що використовує уразливість Internet Explorer або іншого популярного браузера. Спам-повідомлення також може містити URL шкідливої ​​програми (повідомлення, які містять шкідливі посилання, в даному дослідженні в окрему категорію не виділялися).


Рис. 5. Тематичне розподіл ICQ-спаму.


Перше місце в нашому рейтингу займає реклама сайтів розважального змісту (18,47%). З високою часткою ймовірності можна стверджувати, що розсилки подібного роду будуть і надалі займати лідируючі позиції в спам-статистикою ICQ, що пояснюється високою ефективністю подібного спаму. Ось типова ситуація: людина протягом тривалого часу працює за комп’ютером, і тут йому по ICQ приходить повідомлення про відкриття нового сайту з безліччю смішних картинок / історій / відео і т.п. Швидше за все, втомлений користувач захоче відволіктися від роботи і перейде по запропонованому посиланню.


Що стосується зайняла друге місце рубрики “Спам” для дорослих “” (17,19%), то тут розсилаються повідомлення нагадують спам-листи в поштовому трафіку: це реклама сайтів знайомств, порно-ресурсів, приватного еротичного матеріалу і т.д.


У рубрику “Заробітки в Мережі” (15,83%) потрапили повідомлення, що містять пропозиції грошей за кліки по рекламі, відвідування певних сайтів, перегляд реклами, а також повідомлення, пов’язані з мережевим маркетингом.


Рубрика “Решта спам” (12,77%) формується з повідомлень різної тематики, низький відсоток яких у загальному потоці спаму не дозволяє створити для них окремі рубрики. Фантазії авторів таких повідомлень можна тільки позаздрити. Розсилаються різні “листи щастя”, реклама зубної пасти, передбачення архієпископів про майбутню в Росії диктатуру фашизму і т.д. Основні рекламовані товари – це різні DVD-диски та автомобільні запчастини. У ICQ також зустрічаються фішингові повідомлення, про які буде докладно розказано нижче.


Повідомлення, тим чи іншим чином зачіпають ICQ, були віднесені до рубрики, що зайняла в нашому списку п’яте місце (8,17%). Осібно тут стоять “листи щастя ICQ-користувача”, які в більшості випадків містять такий текст (авторська орфографія і стиль повністю збережені):

“УВАГА! Починаючи з 1.12 ICQ стане платним.
Ти можеш запобігти цьому, пішли 20 членам з твого контактного
списку це повідомлення. Це не є ніякий жартом (джерело www.icq.com) Якщо ти послав його 20 разів
ти отримаєш електронного листа і твоя квітка стане синім. Тобто ти потрапляєш
в число тих, хто проти. Якщо голосування виграти, то аська залишиться безкоштовним ”

Змінюються лише дати і кількість осіб, яким пропонується надіслати дане повідомлення. Слід зазначити, що деякі послання містять багаторівневе цитування – це означає, що багато користувачів щиро вірять в те, що їх квітка коли-небудь “стане синім”, а ICQ назавжди залишиться безкоштовною.


Повідомлення на різних мовах, які агітують за перехід на нову, шосту версію ICQ-клієнта, також приходять користувачам досить часто. Чому такі повідомлення популярні у спамерів, до пори до часу залишалося незрозумілим. Малися непідтверджені дані про те, що ICQ 6.x містить уразливість, пов’язану з помилкою обробки повідомлень, сформованих певним чином. 28 лютого 2008 ця інформація підтвердилася: згідно http://bugtraq.ru, “… Відправка спеціально підготовленого … повідомлення (у простому випадку -“% 020000000s “) користувачеві з встановленою ICQ 6.x призводить до помилки при формуванні HTML-коду, призначеного для відображення тексту в інтегрованому IE-компоненті. Ця помилка здатна привести до виконання довільного коду на віддаленій системі “. В останній збірці ICQ цієї уразливості немає.


Повідомлення з рубрики “Комп’ютерні ігри” (5,79%) можна розділити на дві великі групи: перша рекламує різні браузерні онлайн-ігри, а друга – ігрові сервери, в більшості своїй для Lineage II і Counter-Strike.


Всього на третину відсотка від реклами комп’ютерних ігор відстають пропозиції нелегальних послуг (5,45%). Зловмисники пропонують користувачам за певну плату дізнатися пароль до потрібної поштової скриньки, організувати DoS-атаку, виготовити підроблені документи (як російські, так і зарубіжні), навчитися кардингу або придбати необхідну для нього інформацію.


Восьме місце займають повідомлення з проханнями проголосувати за того чи іншого учасника різних веб-конкурсів (5,28%).


На дев’ятому місці – пропозиції по роботі і спільному бізнесу (4,17%), на десятому – пропозиції комп’ютерних послуг, у тому числі хостингу (3,22%).


Рубрика “Мобільний спам” (2,72%), яка знаходиться в кінці нашого списку, також включає в себе дві групи повідомлень. До першої відносяться повідомлення з рекламою сайтів, які продають мобільні телефони. До речі, часто ціни на популярні моделі там істотно нижче ринкових, що змушує задуматися про походження та автентичності таких апаратів. У другу групу входять повідомлення, що рекламують сайти з різним мобільним контентом.


З 23 лютого по 23 березня 2008 року в ICQ-спам було зафіксовано не більше 1% повідомлень, що рекламують ліки або медичні послуги.


У ICQ також іноді з’являються фішингові повідомлення, які не були виділені в окрему групу з огляду на їх малу кількість. Зловмисники намагаються отримати паролі до UIN “ам користувачів, використовуючи методи соціальної інженерії. Тут успіх шахраїв багато в чому залежить від рівня інформованості користувача. Нагадуємо, що, як правило, у випадку яких-небудь неполадок і збоїв офіційна служба підтримки ICQ повідомляє користувачам про проблеми, але ні в якому разі не вимагає відіслати свій пароль на той чи інший електронну адресу або ввести його в веб-форму на сайті.


Рис. 6. Одне з фішингових повідомлень із спробою дізнатися пароль до ICQ.


Особливості ICQ-спаму


На відміну від електронної пошти, у ICQ реалізована можливість пошуку співрозмовників за інтересами, внесеним у контактну інформацію користувачів. Це дозволяє зловмисникам виробляти спам-розсилки, розраховані на цільову аудиторію. Спамер може досить легко отримати необхідні йому дані (в більшості випадків це вік і список інтересів користувачів) і використовувати їх для залучення уваги до повідомлень, які розсилає спам-повідомленнями.


Практично всі спам-повідомлення приходять з номерів, не внесених до контакт-лист користувача. Кількість небажаних повідомлень, одержуваних користувачем за одиницю часу, залежить від його ICQ-номера. На шестизначний номер в середньому приходить 15-20 небажаних повідомлень на годину, причому багато їх них містять посилання на Trojan-PSW.Win32.LdPinch. Нічим не примітні дев’ятизначний номери отримують 10-14 таких повідомлень в добу, а “красиві” – в 2-2,5 рази більше.


Тематичний склад ICQ-спаму значно відрізняється від тематики спаму в електронній пошті. Якщо в e-mail близько 90% спам-повідомлень рекламують різні товари та послуги, то в ICQ на частку таких пропозицій припадає менше 13% (сумарний відсоток рубрик “Нелегальні послуги”, “Комп’ютерні послуги”, “Мобільний спам”, “Медичний спам”), причому найчастіше (5,45%) пропонуються нелегальні сервіси.


В цілому для спаму в ICQ характерна розважальна спрямованість, що цілком логічно: цей канал зв’язку, як правило, не використовується для бізнес-комунікацій, а левову частку його користувачів становлять молоді люди. Спамери враховують специфіку аудиторії: в ICQ домінують пропозиції відвідати розважальні сайти і повідомлення з рекламою “для дорослих”. На молодіжну аудиторію орієнтований і спам з рубрик “Комп’ютерні ігри”, “Голосування”, “Мобільний спам”. В цілому на частку “молодіжних” тематик в ICQ припадає близько 50% всіх спамових повідомлень.


Специфікою цільової аудиторії ICQ-спаму обумовлена ​​і мала частка повідомлень “медичної” тематики. Нагадаємо, що в поштовому спам вони традиційно лідирують, а в нашому списку займають останнє місце з пайовою показником менше 1%. Ймовірно, реклама медичних товарів і послуг не отримує необхідного відгуку з боку користувачів ICQ.


Специфічні риси ICQ-спаму:



  1. Орієнтація на молодіжну аудиторію.
  2. Загальна розважальна спрямованість.
  3. Практично повна відсутність реклами споживчих товарів. Виняток становлять пропозиції про покупку мобільних телефонів і медичних препаратів, а також невелика кількість повідомлень, які потрапили в рубрику “Решта спам”.
  4. Досить високий відсоток (8,17%) повідомлень, тематика яких пов’язана власне з ICQ.
  5. Значуща частка (5,45%) повідомлень від осіб, що пропонують кримінальні послуги. Найбільш популярні пропозиції: злом пошти та ICQ, виготовлення підроблених документів, кардинг.


Сценарій атаки


Користувач запустив файл по посиланню, отриманням по ICQ, а довгоочікувана фотографія на його моніторі так і не з’явилася. Він чекає хвилину, дві, а в цей час троянець вже пройшовся по папках його комп’ютера в пошуках паролів. Подекуди вони зберігалися в зашифрованому вигляді, що жодним чином не заважає зловмисникові надалі їх розшифрувати. Потім троянець, зібравши список паролів, створює лист, в якому розміщує видобуту ним конфіденційну інформацію, і відправляє його на адресу зловмисника, який той зареєстрував за пару днів до атаки. Щоб вбудований в операційну систему файервол не попередив користувача про небезпеку, троянець виводить його з гри, змінивши відповідний ключ в реєстрі. Точно так само шкідливий код надходить з іншими програмами, здатними перешкодити йому красти у користувача паролі і зачую важливу інформацію. Зрештою, шкідлива програма створює bat-файл, який стирає троянця і самого себе, знищуючи таким чином сліди скоєного.


Хакер обробляє десятки або сотні (в залежності від масштабів розсилки) листів з паролями, які надіслав йому троянець, в той час як користувач тільки починає здогадуватися про те, що його обдурили. До речі, він з тим же успіхом може залишитися в повному невіданні про подію. У будь-якому випадку, на руках у користувача залишається всього одна зачіпка – посилання на “фотографію”, тому шанси обчислити зловмисника вельми невеликі.


“У мене на комп’ютері все одно нічого важливого не було”, – заспокоює себе обманутий користувач. Хакер, між тим, дотримується зовсім іншої думки. У нього тепер є значний список паролів: поштовий пароль, пароль до FTP-клієнта і онлайн-ігор, банківські акаунти користувача і, до речі, його пароль до самої ICQ.


Питається, навіщо хакеру може знадобитися ще один нікому не відомий дев’ятизначний номер? А ось навіщо: хакер введе отриманий пароль у свій клієнт, дістане доступ до контакт-листу обманутого користувача і розішле його знайомим повідомлення наступного змісту: “Привіт! Слухай, Петя (Ваня, Саня і т.д.), не позичиш мені терміново до завтра 50 електронних баксів?!?!” Подальше залежить від щедрості Петі і від того, які його відносини з обдуреним користувачем. Найчастіше умовити коливного Петю виявляється зовсім нескладно. Паралельно хакер буде прохати Ваню і Саню. Час грає проти нього, тому зловмисник постарається не пускатися в довгі розмови. Навіть якщо тільки одна людина з контакт-листа кожного зараженого користувача погодиться перевести хакеру віртуальні долари, то за якийсь годину спілкування він одержить пристойну суму грошей, порівнянну з денним окладом гарного програміста.


А FTP-аккаунт? Що буде, якщо на FTP-сервері, до якого зловмисник отримав доступ за допомогою вкраденого пароля, зберігаються web-сторінки якогось досить популярного сайту? У злочинця з’явиться можливість дописати в кінець кожної web-сторінки простий iframe або зашифрований JavaScript, який буде приховано завантажувати і запускати на виконання ту чи іншу шкідливу програму на комп’ютерах всіх користувачів, що відвідали даний web-сайт.


Всі перераховані вище дії хакера легко ставляться на потік. Зловмисник може почерпнути адреси ICQ для спам-розсилки на численних сайтах знайомств і форумах. Вірніше, це зробить не сам зловмисник, а спеціальна програма, яка виконає за нього всю чорну роботу, в тому числі відсіє дублікати номерів і перевірить спам-лист на активність. Потім хакер розмістить на безкоштовному хостингу троянця і розішле посилання на нього по створеному спам-листу. Після цього попередньо написана програма відсортує купу листів, надісланих запущеними троянцями, і розкладе вкрадені паролі за категоріями. Список нових ICQ-номерів, отриманих від троянця, перетвориться на ще один спам-лист. Якщо номер ICQ зараженого користувача виявиться “красивим”, його можна буде продати за чималі гроші. І кінцевий етап – розсилка повідомлень з максимально переконливими проханнями позичити трохи грошей. Якщо відповідь на таке прохання отриманий, в гру вступає сам хакер, використовуючи свої пізнання в психології і методах соціальної інженерії. Після всього цього оптову партію “викрадених” номерів можна продати спамерам. На перший погляд все описане вище може здатися вигадкою, але, як показує практика, подібні махінації здійснюються постійно.


Резюмуючи все вищесказане, перерахуємо цілі, які переслідують зловмисники, атакуючи IM-клієнти:



  1. Продаж крадених ICQ-номерів (оптових партій дев’ятизначних номерів і штучних “красивих” номерів).
  2. Створення спам-листів для продажу їх спамерам або для здійснення масових розсилок шкідливих програм.
  3. Використання контакт-листів вкрадених номерів в якості довірених джерел для “позичання” грошей.
  4. Завантаження шкідливого програмного забезпечення через уразливості.
  5. Крадіжка паролів до FTP-серверів з метою зміни web-сторінок легальних сайтів для подальшого завантаження шкідливого програмного забезпечення на комп’ютери відвідувачів.
  6. Створення ботнетів або розширення вже існуючих зомбі-мереж.
  7. Інша шкідлива діяльність.

Методи протидії зловмисникам в IM


Що ж робити користувачеві, проти якого діє настільки розумна і нещадна система? Звичайно ж, захищатися! Ось кілька корисних порад, які допоможуть протистояти загрозам, поширюваним через IM-клієнти.


Перш за все, користувачеві необхідно бути уважним і не клікати бездумно по посиланню в отриманому повідомленні. Нижче наведені кілька типів, які мають викликати у одержувача побоювання:



  1. Повідомлення, яке прийшло від невідомого користувача з дивним ніком (наприклад, SbawpathzsoipbuO).
  2. Повідомлення від користувача, включеного в ваш контакт-лист, з підозрілим пропозицією переглянути нові фотографії з розширенням. Exe.
  3. Повідомлення, нібито містить сенсаційну новину про зв’язки двох знаменитостей, з репортажем “прямо з місця подій”. “Репортаж” в даному випадку найчастіше є посилання на файл http://www. ****** .com / Movie.avi.exe. А по посиланню, швидше за все, знаходиться Trojan-PSW.Win32.LdPinch.
  4. Повідомлення з пропозицією завантажити програму, що відкриває перед користувачем небачені горизонти, наприклад: “НОВИЙ ПАГ в ICQ, за допомогою якого можна реєструвати будь неіснуючий номер”. За посиланням, яка наведена в такому повідомленні, буде знаходитися небудь програма, ворующая паролі від UIN “ов невдачливих користувачів.

Такі повідомлення найкраще ігнорувати.


Якщо повідомлення надійшло від знайомого користувача, слід уточнити, посилав він це повідомлення насправді. І, зрозуміло, не варто завантажувати на свій комп’ютер файл з розширенням. Exe по надісланої вам засланні і запускати його. Навіть якщо розширення файлу не вказано, за посиланням ви можете потрапити на сайт, який перенаправляє вас на іншу посилання, що містить шкідливе ПЗ.


Зрозуміло, всім користувачам треба дотримуватися елементарних правил “комп’ютерної гігієни”: на комп’ютері має бути встановлений антивірус з оновленими базами і файервол, що блокує несанкціонований доступ в Мережу. Бажано, щоб в антивірусі були реалізовані такі технології, як евристичний аналізатор і / або проактивний захист, який дозволяє визначати невідомі шкідливі програми, аналізуючи їх поведінку.


Найчастіше користувач може навіть і не знати, що на його комп’ютері відпрацювала шкідлива програма. Вказати на те, що ПК був заражений, можуть дивні запитання знайомих, наприклад: “Навіщо ти вчора просив у мене 50 WMZ, коли ми говорили по ICQ? “, хоча подібної розмови між справжнім власником номера та його знайомим не було. Ще більш явно на зараження вказують безуспішні спроби скористатися своїм логіном і паролем від того чи іншого сервісу. Це свідчить про те, що пароль був змінений – або офіційним постачальником тих чи інших послуг, або зловмисником. У першому випадку користувач гарантовано отримає новий пароль або повідомлення про його заміну поштою або іншим способом. У другому випадку нічого подібного, зрозуміло, не відбудеться.


Що робити, якщо троянець вже зробив свою чорну справу і встиг себе видалити? Для початку варто упевнитися, що комп’ютер дійсно чистий, перевіривши його антивірусом. Далі рекомендується по можливості перемінити всі паролі, які троянець міг вкрасти. Для цього необхідно пригадати, в яких програмах використовувалися паролі, і спробувати їх ввести. Якщо спроба увінчалася успіхом, пароль потрібно відразу ж змінити. Має сенс розіслати всім користувачам з контакт-листа IM-клієнта повідомлення з відповідним попередженням та закликом не відгукуватися на можливу прохання дати гроші в борг, розісланому від вашого імені за IM, і вже тим більше не намагатися подивитися фотографії по присланої нібито вами посиланням.


Установка останньої версії ICQ, завантаженої з офіційного сайту, допоможе запобігти виконання довільного коду в системі через уразливість в ICQ 6.x, пов’язаної з обробкою HTML-коду.


Для захисту від ICQ-спаму користувачам рекомендується виконувати наступні дії. Враховуючи, що у спамерів є можливість перевірити ICQ-статус користувача з web-сайту, має сенс заборонити в клієнті таку можливість для вашого номера. Спам-розсилка розрахована на користувачів, постійно спілкуються в ICQ або просто знаходяться в онлайні. Тому краще всього по можливості залишатися в невидимому режимі. Однак не варто забувати про те, що є програми, які можуть повідомляти іншим користувачам, чи дійсно ви знаходитеся в офлайні, або це всього лише невидимий статус. У даній ситуації вам може допомогти антиспам-бот – найпростіший модуль, який підтримують деякі IM-клієнти (наприклад, QIP). На скріншоті відображена конфігурація найпростішого антиспам-бота.


Рис. 7. Конфігурація найпростішого антиспам-бота.


Який же принцип роботи антиспам-бота? Припустимо, з вами хоче поспілкуватися користувач, не внесений у ваш контакт-лист. Для того щоб відправити вам повідомлення і почати розмову, йому доведеться відповісти на питання. До тих пір, поки відповідь не буде дана, він не зможе нічого написати. При цьому бажано використовувати питання, відповіді на які всім відомі, наприклад: “Скільки буде 2 +2 * 2?” або: “Назва нашої планети “. Якщо користувач напише відповідно” 6 “або” Земля “і відішле це повідомлення, йому буде дозволено вам писати. Такий захист досить успішно протистоїть різним ботам, розсилати спам, однак є ймовірність, що деякі з них досить інтелектуальні для того, щоб відповідати на найпопулярніші питання – наприклад, на ті, що стоять у захисних модулях за замовчуванням.


Висновок


Як вже було сказано, програми для миттєвого обміну повідомленнями вельми привабливі для різного роду зловмисників, у зв’язку з чим проблема поширення шкідливого ПЗ через IM-клієнти варто досить гостро. Нові версії клієнтів містять невідомі до пори до часу уразливості, які можуть бути виявлені спочатку хакерами, і тільки потім – творцями програми. Такі ситуації чреваті масовими епідеміями. Крім того, багатьох користувачів турбують небажані повідомлення (IM-спам).


Специфічних засобів захисту IM-клієнтів на даний момент не існує, проте дотримання елементарних правил “комп’ютерної гігієни”, правильно налаштований антиспам-бот, а також уважність і розсудливість дозволяють користувачам успішно протистояти інтернет-шахраям і спокійно насолоджуватися спілкуванням в Мережі.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*