07.06.2006

"Рыбачьте"...без нас! Часть 1

PC Week №20/2006, Ника Комарова

Инциденты, связанные с компьютерным мошенничеством, всегда относились к разряду громких и занимали первые строки новостных лент. Еще бы: некое сообщество людей, живущих в разных точках планеты и никогда не видевших друг друга, занимается деструктивной или откровенно криминальной деятельностью.

Сегодня кибермошенничество устремляется именно в сторону криминализации, а отнюдь не на удовлетворение личных профессиональных амбиций хакеров, как было несколько лет назад. Подгоняемые финансовыми интересами, они активно развиваются и разрабатывают всё новые и более изощрённые способы “отъёма денег у населения”. Более того, сегодня способности таких программистов-"нелегалов" находят своего заказчика, а значит, фокус постепенно смещается в сторону адресных атак, направленных на конкретные физические лица или компании.

В соответствии с целями меняются инструментарий и последствия. Поскольку компьютеры разумных индивидуальных пользователей, не говоря о корпоративных ПК, оснащены антивирусными программами, злоумышленникам ничего не остается, как обходить эту защиту, используя новые, нетрадиционные способы проникновения в компьютеры и кражи данных. Для этого киберпреступность привлекает ресурсы, подчас поражающие своей глобальностью. В ход идёт всё, начиная от создания нового поколения вредоносных программ и заканчивая применением психотехник и социального инжиниринга. Растёт число Web-ловушек, состоящих из сотен связанных между собой фальшивых онлайн-ресурсов. В такие сайты интегрируется вредоносный код, который, как только ничего не подозревающий пользователь открывает сайт-ловушку, активируется, и задачу киберпреступника можно считать выполненной. Атаки всё чаще производятся с целью "зомбирования" корпоративных сетей компаний для дистанционного управления целой сетевой инфраструктурой, рассылающей спам, в 99% случаев содержащий зараженный контент.

Ловись, рыбка…

Способов заманить ничего не подозревающего пользователя на сайт-ловушку существует великое множество. Но все они основываются прежде всего на естественном желании любого человека либо не потерять, либо приобрести, и по возможности без особых усилий. Поэтому когда вы получаете электронное письмо от банка, в котором находятся все ваши сбережения, допустите ли вы хотя бы тень сомнения в том, что письмо может быть подделкой? А если в этом письме указаны и имя главы банка, и похожие на правду реквизиты финансового учреждения, и срочная просьба подтвердить ваши персональные данные, перейдя по ссылке? Согласитесь, вряд ли вы задумаетесь, а не обманывают ли вас. Вы послушно последуете на указанный в письме сайт (не вызывающий подозрений: и логотип, и оформление выглядят очень достоверно) и проделаете привычную процедуру по вводу своих реквизитов — номера банковского счёта, срока действия кредитки и т. п. Однако, думая, что пополняете официальную базу данных банка, на самом деле вы дарите свои конфиденциальные данные киберпреступникам, даже не подозревая о том, что собственноручно открыли им доступ к вашему счёту.

Используя свойства человеческой психики, социальные инженеры (или социоинженеры) играют на обещаниях (подарков, бонусов, скидок и т. п.), угрозах (аннулирования счёта), порядочности (обязательном соблюдении соглашений: банк сказал предоставить информацию — значит, нужно предоставить).

Вспомним недавний инцидент, произошедший 11 марта этого года с клиентами американского банка Chase. Они получили письма с предложением заработать 20 долл., приняв участие в онлайн-опросе, посвященном удобству интерфейса банковского сайта. К необходимым для заполнения полям относились, в частности, ID пользователя, номер банковской карты, PIN-код, номер верификации карты, девичья фамилия матери и номер в системе социального страхования, а также пользовательский пароль — якобы для перевода этих самых 20 долл. Мотивация сработала практически безотказно, и в качестве "подарка" часть клиентов получила нулевые счета.

Вот другой пример из недавней практики компьютерного мошенничества. В марте 2006 г. клиенты The Royal Bank Of Scotland (RBS, Королевский банк Шотландии), использующие систему e-banking, подверглись нескольким последовательным атакам с применением социоинженерных технологий. Им были разосланы письма с обратным адресом, выглядевшим очень похоже на официальный контакт RBS. Скажем, в слове "sale" буква "l" была заменена на цифру “1”: sa1e@bank.com вместо sale@bank.com. Обратите ли вы внимание на это отличие при правильно указанном домене? Скорее всего, нет. В тексте каждого письма сообщалось о том, что технический сервис банка был обновлен, а ПО улучшено для достижения большей безопасности и защиты онлайновых банковских транзакций. По этой веской причине клиенты должны заново подтвердить свои регистрационные данные, иначе доступ к сервису будет для них заблокирован. В письме была приведена ссылка, перейдя по которой клиент попадал на сайт, внешне ничем не отличающийся от официального сайта банка RBS. Дальнейший сценарий вы уже знаете. Среди интернет-мошенников такой приём весьма распространён.

Направленные на конкретную целевую аудиторию, эти интернет-преступления стали новой "головной болью" под названием фишинга (phishing). В английском слове, обозначающем этот вид киберпреступлений, намеренно сделана ошибка, иллюстрирующая один из приёмов злоумышленников, проводящих фишинг-атаки.

Масштаб интернет-"рыбалки"

В 2003 г. ФБР назвало фишинг наиболее опасным и быстро распространяющимся видом сетевого мошенничества. Его корни уходят в 90-е годы. Одной из первых жертв фишинга в 1996-м стал крупный американский провайдер America Online (AOL). Атака завершилась успехом, однако тогда ИТ-сообщество не придало происшествию должного значения и, видимо, сочло его "единичным". Интересно, что в декабре 2005-го та же AOL совместно с National Cyber Security Alliance провела исследование среди нескольких сотен домашних пользователей по всему миру. В результате выяснилось, что каждый четвертый пользователь в течение месяца (декабря 2005 г.) получил фишинг-послание, с помощью которого у него пытались выманить конфиденциальную информацию, и при этом 70% из них с легкостью выдали злоумышленникам свои данные. О сегодняшнем массовом распространении фишинга и популяризации этой темы косвенно свидетельствует даже такой факт, как включение понятия “фишинг” в ИТ-глоссарий новой редакции популярного и авторитетного словаря Oxford Dictionary of English.

Итак, фишинг — это комбинированный вид киберпреступления, сочетающий методы социального инжиниринга и интернет-технологий, которые служат для незаконного получения и использования конфиденциальных данных. Причем спектр применяемых в нем технологий по разнообразию сравним с приёмами воздействия на человеческое сознание. Сюда можно отнести и разработку вредоносного ПО (сетевые черви, “трояны”, программы-шпионы и др.), и создание целых сетей фальшивых сайтов, и регистрацию доменов-подделок, и целенаправленное заражение официальных корпоративных сайтов, и уже упоминавшееся "зомбирование" корпоративных сетей. И это далеко не полный перечень приёмов, предназначенных для того, чтобы вы попались на удочку.

Фишинг непосредственно связан с так называемой "кражей идентичности" — преступлением, возглавляющим рейтинги сегодняшних интернет-угроз и распространяющимся очень быстрыми темпами. Являясь, по оценкам ФБР, "мощнейшим и наиболее проблематичным из новых видов жульничества в Интернете", за 12 месяцев с мая 2004-го по апрель 2005 г. фишинг с целью кражи идентичности и использования полученных данных для совершения преступлений нанёс урон 11 млн. пользователей в США (по данным исследовательской группы Gartner). Ежегодные потери от этого типа кибермошенничества, по информации Федеральной комиссии США по торговле (ФКТ), составляют 50 млрд. долл. С 1999 г., т. е. в течение пяти лет, "кражи идентичности" держат первое место в составляемом ФКТ ежегодном списке видов сетевых преступлений.

Финансовые институты, как видно из приведенных примеров, являются наиболее привлекательными жертвами фишинга и "кражи идентичности" пользователей. В своём отчёте за 2005 г. входящая в IDC исследовательская компания Financial Insights сообщает о том, что около 60% потребителей в США обеспокоены проблемой кражи реквизитов, а 6% из них даже сменили банк с целью уменьшения риска стать жертвами фишинга. В исследовании JupiterResearch констатируется, что 27% всех клиентов, обращающихся к банкам через Web-ресурсы, не используют некоторые возможности онлайн-сервисов по соображениям безопасности. Более того, 31% всех сетевых пользователей, исходя из тех же опасений, и вовсе отказываются от электронных банковских услуг.

Картина ясна: потребители боятся, а финансовые организации вынуждены искать средства, которые убедят клиентов в сохранности их информации и безопасности электронных сделок, как взаимных, так и с участием третьих сторон.

Для аккумулирования опыта борьбы с фишингом, углубленного изучения этого явления и эффективной борьбы с ним была создана международная ассоциация Anti-Phishing Working Group (APWG), насчитывающая несколько тысяч членов по всему миру, 1500 компаний, а также ряд вендоров и разработчиков антивирусов. По данным отчёта APWG за 2005 г., количество атак, связанных с фишингом, ежемесячно увеличивается на 26%. Ассоциация составляет ежемесячные и годовые отчёты, наглядно демонстрирующие ситуацию по распространению фишинга. Согласно последнему годовому отчету, в марте 2006 г. число уникальных фишинг-сообщений, полученных пользователями Интернета, достигло 18 480, что почти в полтора раза больше, чем за этот же месяц в 2005-м. Теперь рассмотрим статистику по новым фишинг-сайтам, созданным за год. Здесь отметка достигла 9666 уникальных Web-ловушек, что почти в три с половиной раза больше аналогичного показателя за март 2005 г. По сравнению с январем 2006-го, демонстрировавшим показатель 9715, можно констатировать некоторое снижение активности фишеров. В марте же поступило 70 официальных жалоб от известных торговых компаний, сетующих на подделки их интернет-сайтов. Годом ранее этот показатель составлял 78 сообщений об инцидентах. Впрочем, вряд ли это можно считать тенденцией к спаду.

Как уже было отмечено, наибольший интерес для фишеров представляют финансовые организации. К примеру, на их долю пришлось 95% всех фишинг-атак за 2005-й. В марте нынешнего года этот показатель по-прежнему держится на уровне 90%, однако выводы делать пока рано: за один только март 100 компаний финансовой сферы США и Европы подверглись атакам фишинг-"троянов". Перечень стран, для которых фишинг является едва ли не сетевой угрозой номер один, согласно отчёту APWG, по-прежнему возглавляет CША. На её территории "хостятся" 35,13% всех фишинг-сайтов, и это несмотря на то, что в 2004 г. президент Буш подписал акт об усилении наказания за кражу реквизитов пользователей, в котором определялась ответственность за это преступление и усиливались обязательные по закону наказания за мошенничество, совершённое с использованием украденных реквизитов. На энтузиазм фишеров это явно не повлияло. Вслед за США по числу "хостящихся" фишинг-сайтов следуют Китай (11,93%), Корея (8,85%), Германия (3,57%), затем Япония, Румыния, Испания, Бразилия и Аргентина.

Для того чтобы понять, как обстоят дела с фишинг-сайтами в России, обратимся к проекту “Crimeware”, инициированному в июне 2005 г. лабораторией Websense Security в сотрудничестве с APWG. В его рамках была создана "Карта фишинга и киберпреступлений на криминальной основе", куда наносится постоянно обновляемая информация о странах, на информационных просторах которых располагаются сайты с вредоносным кодом. Упор сделан именно на криминальную подоплёку действий вирусописателей и других компьютерных мошенников, преследующих криминальные цели с финансовой выгодой. Согласно этой карте, на момент написания статьи на долю России приходилось 3,36% зарегистрированных фишинг-сайтов. На территории Украины карта фиксировала отметку в 0,14%, а в Белоруссии и Казахстане случаев хостинга фальсифицированных сайтов вообще не обнаружено. Лидировали, по данным этого проекта, по-прежнему США с 46,45%.

За нами следят?

Очевидно, что в среде киберпреступности наблюдается значительный технический прогресс в применении способов, которыми преступники атакуют ничего не подозревающих пользователей. Хотя фишинг с использованием провокационных писем-приманок и фальсифицированных сайтов по-прежнему остаётся наиболее популярной технологией, появляется всё больше других методов получения реквизитов пользователей или контроля над их счетами без прямого обмана. В том числе активно появляются новые типы malicious software (или malware) — вредоносного ПО.

Основная опасность malware в том, что эти программы используют метод незаметного инсталлирования на компьютер пользователя в ходе посещения им различных Web-страниц или, например, скачивания вполне с виду безобидного TV-ролика либо презентации. Судя по полицейским данным о количестве успешных краж в Бразилии, совершённых пойманными фишерами (в каждом случае речь идет о более чем 10 млн. бразильских долларов), набирает обороты технология отслеживания клавиатурного ввода (key-logging). С неё и начнём перечень основных технологий, используемых фишерами.

Фишинг-трояны: "клавиатурные шпионы"

Этот троян, отслеживающий вводимую с клавиатуры информацию, может быть запущен с помощью программы-шпиона (spyware), которая шпионит за всеми действиями пользователя. Собранная информация отправляется создателю “шпиона”, позволяя ему отслеживать все посещения сайтов, подсматривать вводимые вами пароли и PIN-коды, читать ваши электронные письма, чаты, смотреть фотографии, которые просматриваете вы…

На Западе эта технология также широко применяется для составления "рекламного пакета" под конкретного пользователя. Одно из "народных" названий такого типа вирусов — "мониторщики". Учитывая, что "мониторщик" знает, какие Web-площадки вы посещаете, "рекламной кампании" его создателя успех практически гарантирован.

В отличие от таких клавиатурных шпионов созданные для фишинга содержат компоненты, которые помогают различать специфические действия пользователя и обращения в определённые организации (кредитно-финансовые, интернет-магазины и другие, связанные с э-коммерцией) для выявления конкретной информации, в особенности реквизитов для доступа к сайтам финансовой направленности, электронной коммерции и почтовым службам.

Фишинг-трояны: редиректоры

Этот тип троянов предназначен для переадресации сетевого трафика пользователя. Они содержат вредоносный код, который изменяет файлы hosts и иные данные, относящиеся к системам доменных имён, а также вспомогательные модули для браузеров, из-за чего информация перенаправляется на сайты мошенников. Сюда же относится злонамеренное ПО, способное установить в сети драйвер или фильтр, перенаправляющий трафик на сайты компьютерных мошенников.

Фарминг: "человек посередине"

Атака, носящая название pharming (опять же с измененными первыми буквами английского слова farming — занятие сельским хозяйством), предназначена для перехвата информации между взаимодействующими сторонами с целью перенаправления пользователей на фишинг-сайты. Самый популярный тип фарминга — модификация DNS, посредством которой пользователи направляются на фишинг-сайты, специально созданные кибермошенниками для сбора конфиденциальной информации. Фарминг-атаки могут быть также запущены при помощи использования любой программной уязвимости, дающей доступ к системным файлам.

Подмена адресов и настроек

Для изменения поведения системных или пользовательских программ используется такой тип вредоносного ПО, как "налётчики" (hijackers). "Налётчики" могут выбирать своей целью браузер и подменять его стартовую страницу, перенаправляя пользователя на другой сайт. “Налёты” проводятся на автозагрузку, кэш, рабочий стол, папку "Избранное".

Фиксация опечаток

Эта технология получила название typo-attacks. Для её реализации можно использовать, например, трояны, которые фиксируют неправильный набор адресов популярных доменов, вводимый в строке браузера. Далее цель одна — зарегистрировать ошибочный домен, подсадить на него, “шпиона” и заразить каждого, кто ошибся при вводе адреса.

Заражение поисковых систем

Эта технология также может быть реализована с помощью трояна или червя, как в случае с P2Load.A, подменяющим поисковую систему Google. Он распространялся через P2P-сети, а точнее, через пиринговые программы Shareaza и Imesh, маскируясь под файлы компьютерной игры. При запуске P2Load.A выдает сообщение об ошибке, информирующее пользователя о том, что не найден определенный файл, и предлагает скачать этот файл. При инсталляции файла червь заражает компьютер, изменяя стартовую страницу и подменяя интернет-поисковик Google. Когда пользователь пытается зайти на поисковик, его запрос перенаправляется на страницу, по виду точно такую же, как и Google, и даже выполняющую схожие функции. Однако при этом в результатах поиска отображаются те сайты, которые хотят показать создатели червя, а не те, что показал бы Google-подлинник.

"Крысы"

Для завоевания контроля над целой сетью компьютеров уже давно и широко используются так называемые "крысы" (RAT, remote access trojan) -- это троянские программы, прикидывающиеся чем-то совершенно безобидным, например презентацией PowerPoint, а на деле обеспечивающие атакующему злоумышленнику полный контроль над компьютером или сетью.

Некоторые трояны создаются специально для того, чтобы блокировать работу антивируса на компьютере пользователя. Они меняют сценарии загрузки новых антивирусных баз и вместо них закачивают новые вирусы, трояны и другое вредоносное ПО.

Сегодня на так называемых "троянских схемах" базируются все автоматические системы фишинга. Как свидетельствует все та же APWG, перехват сеанса работы за компьютером в последние три месяца демонстрирует стремительный рост, что подтверждает мнение специалистов APWG о том, что будущее в этой преступной среде принадлежит системам автофишинга.

(Продолжение следует)