Рік, що минає можна назвати роком розквіту інтернет-шахрайства. Рідкісний інтернет-користувач сьогодні не чув про це явище. У той час як для протидії інтернет-шахраям розробники захисного ПЗ постійно вдосконалюють свої продукти, правоохоронні органи також всерйоз взялися за цю різновид кіберзлочинності. Проте…
... інтернет-шахраї продовжує множитися і розвиватися, приймає нові втілення, використовує різні схеми отримання нелегального доходу. І вихід бачиться тільки в комплексному протидії зловмисникам - і з боку антивірусних компаній, і з боку тих фінансових інститутів, через які гроші надходять від користувачів-жертв до зловмисників, і з боку правоохоронних органів, і навіть з боку самих постраждалих користувачів.
За фактом зараження комп'ютера і вимагання грошових коштів вони можуть звернутися в міліцію, а також надати нову важливу інформацію в антивірусні компанії. Ця інформація може істотно посилити протидію інтернет-шахрайства.
Для наочності підводяться підсумків 2010 року подамо інформацію по шкідливим програмам, які в році, що минає використовували інтернет-шахраї. При цьому почнемо, як це часто прийнято в таких випадках, з останнього місця. Поруч з назвою типу шкідливої програми або схеми наводяться назви детектів відповідних шкідливих програм за класифікацією Dr.Web.
10. псевдопослуг
Досить часто зловмисники пропонують користувачам за невелику суму цікаву і при цьому часто незаконну інформацію. Розплата за таку «інформацію» - зазвичай СМС-повідомлення вартістю кілька сотень рублів. При цьому в якості «товару» можуть пропонуватися найфантастичніші речі - від приватної інформації про користувачів соціальних мереж до вмісту секретних архівів спецслужб. Якість таких послуг найчастіше виявляється сумнівним. Більш того, нерідко обіцяне є банальним блефом - зловмисники просто нічого не дають натомість відправлених грошей. Посилання на сайти, на яких використовується така схема шахрайства, зазвичай розповсюджуються за допомогою рекламних банерних мереж через сайти з безкоштовним контентом.
9. Помилкові архіви. Trojan.SMSSend
Зловмисники створюють підроблені торрент-трекери або фальшиві файлові сховища, з яких нібито можна скачати популярний контент (музику, фільми, електронні книги). Як наслідок, дані ресурси з'являються в перших рядках популярних запитів в пошукових системах. Скориставшись таким ресурсом, жертва шахрайства думає, що викачує архів з цікавою йому інформацією. На ділі «архів» виявляється виконуваним файлом, зовні дуже схожим на саморозпаковується. Відмінність такого архіву від справжнього полягає в тому, що в процесі «розпакування» в певний момент користувачеві виводиться інформація про те, що для закінчення розпакування необхідно виплатити деяку суму грошей. Фактично користувач обманюється двічі - відправляє гроші зловмисникам і не отримує ніякої корисної для себе інформації. В архівах не збереглися в собі нічого, крім графічної оболонки і сміття, а їх розмір (мабуть, для усипляння пильності користувачів) може досягати 70 МБ і більше.
8. Завантажувальні блокувальники. Trojan.MBRlock
У листопаді 2010 року зафіксовано поширення блокувальника, який при зараженні прописується в завантажувальну область жорсткого диска, тим самим блокуючи завантаження операційної системи. При включенні комп'ютера на екран користувача виводиться інформація з вимогами зловмисників.
7. Блокувальники запуску IM-клієнтів. Trojan.IMLock
Протягом декількох місяців в 2010 році зловмисники поширювали шкідливу програму, яка блокувала запис популярних клієнтів миттєвого обміну повідомленнями. Під ударом опинилися користувачі ICQ, QIP і Skype. Замість заблокованого IM-клієнта на екран виводилося вікно, схоже на інтерфейс заблокованого ПЗ, в якому повідомлялося, що за відновлення доступу до відповідного сервісу необхідно надіслати платне СМС-повідомлення.
6. фальшивий антивірус. Trojan.Fakealert
Фальшивий антивірус зовні схожі на популярне антивірусне ПЗ, і часто їх дизайн нагадує відразу кілька антивірусних продуктів. Але нічого спільного з антивірусами ці шкідливі програми не мають. Будучи встановленими в систему, такі «антивіруси» відразу ж повідомляють про те, що система нібито заражена (частково це відповідає істині), і для лікування системи нібито необхідно придбати платну версію антивірусної програми.
5. редиректоров на шкідливі сайти. Trojan.Hosts.
Дані шкідливі програми створюються зловмисниками для зміни системного файлу hosts таким чином, щоб при спробі зайти на популярний сайт (наприклад, однією з популярних соціальних мереж) в інтернет-браузері відображався фальшивий сайт з дизайном, схожим на оригінальний. При цьому з користувача за повноцінний доступ будуть вимагатися гроші, які можуть піти зловмисникам.
4. редиректоров на локальний веб-сервер. Trojan.HttpBlock
На відміну від Trojan.Hosts, дані шкідливі програми після зараження системи перенаправляють користувача на сторінки, які генерує локально встановлюваний на комп'ютері веб-сервер. В цьому випадку зловмисники полегшують собі завдання знаходження хостера, яка не видалить шкідливий сайт з своїх адрес до зараження комп'ютера користувача-жертви.
3. Шифрувальники даних. Trojan.Encoder
У 2010 році з'явилося безліч нових модифікацій троянців-шифрувальників, метою яких є документи користувачів. Після того як троянець зашифровує документи, виводиться інформація про те, що за розшифровку необхідно відправити гроші зловмисникам. У переважній більшості випадків фахівці компанії «Доктор Веб» оперативно розробляють утиліти, за допомогою яких можна розшифрувати призначені для користувача дані, але, оскільки це можливо не завжди і зловмисники вимагають за розшифровку значні суми грошей, Trojan.Encoder займає третю сходинку нашої десятки.
2. Блокувальники Windows. Trojan.Winlock
Друге місце по праву займають класичні блокувальники Windows, які тримають в напрузі користувачів і фахівців антивірусних компаній з осені 2009 року. До блокировщикам Windows відносять шкідливі програми, які виводять вікно (блокуючу інші вікна) з вимогами зловмисників. Таким чином, користувач позбавляється можливості працювати за комп'ютером, поки не заплатить за розблокування. Протягом року, що минає фахівці компанії «Доктор Веб» фіксували кілька піків поширення «вінлоков», але активне поширення нових модифікацій таких шкідливих програм триває і зараз.
1. Банківські трояни. Trojan.PWS.Ibank, Trojan.PWS.Banker, Trojan.PWS.Multi
Перше місце «хіт-параду» компанії «Доктор Веб», що складається з коштів озброєння кібершахраїв, присуджується банківським троянцам. До даної категорії шкідливих програм відносяться ті з них, які орієнтовані на отримання несанкціонованого доступу зловмисників до рахунків фізичних та юридичних осіб за допомогою систем дистанційного банківського обслуговування. Останні зараз стрімко набирають популярність, і злочинці прагнуть цієї популярністю скористатися. Ймовірно, в 2011 році ми станемо свідками зміщення сфери інтересів інтернет-шахраїв з приватних користувачів на юридичних осіб, на рахунках яких зосереджені куди більш значні суми грошей.
Статистична інформація за зверненнями користувачів
Наведемо кілька графіків, що показують динаміку звернень користувачів з проблем інтернет-шахрайства в 2010 році.
На першому графіку показано середньодобове кількість звернень користувачів в безкоштовну технічну підтримку компанії «Доктор Веб» за страховими випадками інтернет-шахрайства. З нього видно, що в червні, коли була відкрита безкоштовна підтримка по інтернет-шахрайства, щодня до неї зверталися близько 400 користувачів. До серпня активність розповсюдження нових типів шкідливих програм, що використовуються для шахрайства, дещо знизилася. Але ближче до кінця року кількість запитів знову стало рости, що було пов'язано з переходом шахраїв на нові схеми монетизації доходів, яким протидіяти складніше.
На другому графіку відображено процентне співвідношення кількості звернень користувачів з приводу шахрайських шкідливих програм, в яких використовуються різні схеми монетизації доходу. Синьою лінією показані звернення за програмами, які вимагають відправити платне СМС-повідомлення, а червоною - покласти гроші на рахунок мобільного телефону, який належить зловмисникам. З графіка видно, що в листопаді 2010 року відбувся переломний момент, починаючи з якого зловмисники частіше використовують другу схему.
Третій графік більш детально показує процентне співвідношення загального числа звернень і кількості випадків, при яких зловмисники вимагали покласти гроші на рахунок мобільного телефону за допомогою терміналу оплати. Синя і червона лінії відповідають двом популярним стільниковим операторам. До грудня року, що минає зловмисники переключилися на новий варіант тієї ж схеми передачі грошей на рахунку мобільних телеофнов зловмисників - зеленою лінією показана схема, зафіксована в листопаді 2010 року і активно застосовується в грудні.
Відповідно до неї користувачеві-жертві пропонується відправити гроші на рахунок мобільного телефону за допомогою СМС-повідомлення. По зручності така схема нічим не поступається класичній схемі з відправкою СМС-повідомлень, але при цьому зловмисникам не потрібно укладати договори з агрегаторами коротких номерів повідомлень і ставати їх субпартнерамі.
Інші помітні події 2010 року
Серед інших помітних подій 2010 року можна відзначити появу першого 64-бітного руткита сімейства BackDoor.Tdss, який заражав 64-бітові ОС Windows за допомогою буткіт-складової. Використання буткіти в багатокомпонентних шкідливих програмах приймає все більш масштабні форми.
Також можна відзначити зросле число шкідливих програм для Android та інших мобільних систем. Компанія «Доктор Веб» відповідає на цю ситуацію оперативним випуском нових антивірусних продуктів для найбільш популярних мобільних систем.
Користувачам як і раніше рекомендується дотримуватися елементарних правил інформаційної безпеки, а саме оновлювати в автоматичному режимі операційну систему і інше постійно використовуване ПЗ, встановити і в автоматичному режимі оновлювати антивірусну програму, використовувати альтернативні інтернет-браузери, не працювати в системі, особливо з підключенням до Інтернету , з правами адміністратора.
джерело: «Доктор Веб»