- Способи проникнення на комп'ютер
- Навіщо зловмисникам інформація про користувачів і доступ до їх комп'ютера
- Загальні рекомендації щодо захисту
- Віруси-вимагачі вміють робити і інші дії крім блокування комп'ютера
- викрадення аккаунтів
- фішинг
- Виманювання грошей у користувачів мобільних телефонів
- кейлогери
- Соціальна інженерія
- маловідомі атаки
Сучасні віруси не такі страшні, як їх попередники. покращені
механізми захисту операційних систем часто не дозволяють їм творити той же свавілля, що і раніше (наприклад, форматування вінчестера). Віруси і атаки шахраїв тепер в основному спрямовані на отримання фінансової вигоди або управління комп'ютером користувача, але не на знищення даних. При цьому для виконання перерахованих завдань не завжди навіть потрібно вірус, нерідко досить правильно складеного листи або SMS, щоб його одержувач сам відправив відомості про кредитну картку або іншу конфіденційну інформацію зловмисникам. У базі сигнатур більшості антивірусів міститься кілька мільйонів записів про різні віруси, проте серйозну загрозу становлять не більше 10 різних видів атак.
Способи проникнення на комп'ютер
Спочатку зупинимося на самому механізмі проведення атаки. Якщо мова йде про фішинг або соціальної інженерії, то повідомлення зазвичай приходять по чату в соціальних мережах, електронній пошті або на форумах. У ряді випадків зловмисники можуть розміщувати їх з посиланням на свій ресурс прямо в коментарях чужих сайтів. Якщо модератори вчасно не встигли їх видалити, то деякі користувачі перейдуть за посиланням і попадуться на вудку шахраїв.
Коли хакери намагаються встановити вірус на чийсь комп'ютер, то в більшості випадків їм потрібно, щоб користувач особисто запустив програму. Щоб переконати власника ПК зробити це, вірус, як правило, видають за якесь корисне ПО. Наприклад, критичне оновлення для Windows, антивірус, кодек, необхідний для перегляду відео на сайті, і т. Д. Віруси також поширюються в крек і генераторах ключів, але небезпека цих файлів дещо перебільшена. Спрацьовування антивірусного захисту при їх запуску не завжди означає, що вони дійсно заражені, оскільки антивіруси можуть так реагувати на їх основне призначення - зміна коду інших програм з метою їх злому. З іншого боку, при такій поведінці антивірусів користувач ніколи не може бути до кінця впевнений у нешкідливості утиліт подібного роду, адже відрізнити помилкове спрацьовування від дійсного виявлення вірусу в крек він не може.
Найпоширенішим вірусом вже тривалий час є Conficker і його модифікації, які займають відразу кілька місць в TOP 10 загроз, включаючи і перше. Вони поширюються за допомогою функції Autorun, яка запускає виконуваний файл, прописаний у файлі Autorun.inf при підключенні зовнішнього накопичувача до комп'ютера. Conficker копіює себе в систему, а потім на інші флеш-драйви та вінчестери, що приєднується до ПК. Найчастіше сам вірус використовується для організації ботнет-мереж. Ймовірно, саме в зв'язку з його епідемією Microsoft недавно відключила функцію Autorun в Windows XP / Vista за допомогою оновлення, випущеного на початку лютого цього року. У Windows 7 автозапуск неактивний за замовчуванням.
Навіщо зловмисникам інформація про користувачів і доступ до їх комп'ютера
Головних цілей всього дві. Досягаються вони різними способами, але шахраїв цікавить або отримання грошей від (суми можуть варіюватися в широких межах), або використання комп'ютера або акаунтів його власника для розсилки спаму.
Контроль над чужим ПК дозволяє створювати ботнет-мережі, до складу яких іноді входять сотні тисяч комп'ютерів. Такі віртуальні армії формуються для розсилки спаму або DDOS-атак на сайти. Користувачі часто навіть не підозрюють про те, що їх ПК керує хтось інший.
Загальні рекомендації щодо захисту
- Обов'язково встановіть антивірус (безкоштовного AVG, avast !, Avira, Comodo або Microsoft Security Essentials буде цілком достатньо). При бажанні доповніть захист за допомогою брандмауера.
- Оновлення браузер до останньої версії.
- Не заводьте незнайомих програм без антивіруса або з виключеною захистом.
- Не погоджуйтеся на інсталяцію супутнього ПО, запропонованого сайтом, якщо на 100% не впевнені в його необхідності.
- Перевіряйте ім'я ресурсу перед введенням даних на ньому.
- Для оплати в Інтернеті краще оформити додаткову карту і переводити на неї гроші з основною перед покупками.
Блокування комп'ютера
Досить поширеною і в той же час досить неприємної є атака, при якій зловмисники блокують комп'ютер, вимагаючи відправити SMS для отримання коду розблокування. Причому власникові ПК не завжди повідомляють, скільки грошей буде знято з рахунку. Як вдалося з'ясувати, по крайней мере в ряді випадків мова йде про десятки гривень.
Потрапляють такі віруси найчастіше на ПК недосвідчених користувачів, які встановлюють на нього програми (наприклад, видеокодеки), пропоновані при відвідуванні сайтів шахраїв.
як боротися
Залежно від ступеня блокування комп'ютера варто спробувати кілька різних сценаріїв.
При наявності доступу до Інтернету радимо скористатися сервісами Dr.Web і Kaspersky для отримання розблокує кодів. В їх базах можна дізнатися, який вірус проник на комп'ютер, по мобільному номеру або скриншоту програми.
У разі якщо вірус ще не доданий в бази, коди слід пошукати в Інтернеті самостійно за номером телефону або повідомленням. Головне в цьому випадку - не потрапити на ще одну вудку шахраїв і не підхопити інший вірус, що видається за утиліту для боротьби з блокаторами.
Якщо вдасться запустити Диспетчер завдань, необхідно відшукати в списку процесів вірус і завершити його. Програма, швидше за все, має яке-небудь типове ім'я, наприклад plugin.exe, яке зловмисники вибирають, щоб замаскувати свій додаток під системний процес. Після цього потрібно видалити його з автозавантаження. Для цього можна скористатися стандартною утилітою msconfig.exe (для її часу, натисніть кнопку «Пуск» і введіть в поле пошуку msconfig). На закладці Startup перераховані програми, що запускаються з папки «Автозавантаження», а також через ключі реєстру. Слід зняти галочку поруч з вірусом, щоб він більше не завантажувався при включенні ПК. Після цього бажано перевірити комп'ютер антивірусом, щоб повністю видалити шкідливу програму з системи і переконатися, що на ПК не залишилося інших її копій.
Коли Диспетчер завдань недоступний, треба перезавантажити комп'ютер в безпечний режим (для цього слід натиснути клавішу F8 за кілька секунд до появи логотипу Windows на чорному екрані), а потім повторити ті ж процедури з msconfig і антивірусом. Щоб завантажити останній, знадобиться активне з'єднання з Інтернетом, тому необхідно вибирати режим Safe Mode with Networking.
Якщо з якихось причин безпечний режим використовувати не вийде, завантажте ПК за допомогою live-CD з антивірусом. У цьому випадку потрібен ще один працюючий комп'ютер, де можна записати диск. Деякі антивіруси записуються і на флешку, тому в якості запасного ПК підійдуть і нетбук, і ноутбук без оптичного приводу.
На жаль, якщо всі перераховані дії не допомогли або недоступні, доведеться заново ОС. Важливо зробити нове інсталяцію системи, а не її оновлення - якщо зробити це поверх старої копії, то вірус нікуди не дінеться.
Віруси-вимагачі вміють робити і інші дії крім блокування комп'ютера
Ось кілька найпоширеніших прикладів:
- програма загрожує видалити всі файли з ПК, якщо протягом декількох годин не будуть переведені гроші на певний мобільний рахунок;
- користувача попереджають про те, що Windows не пройшла ліцензійної перевірки, і щоб її зареєструвати, необхідно отримати код по SMS;
- на комп'ютері спливає порнобанер, прибрати який можна тільки за допомогою SMS;
- блокується доступ на певний сайт, наприклад «В Контакте», і висувається вимога відправити SMS для розблокування;
- користувача попереджають про те, що онлайновий антивірус виявив небезпечну загрозу на ПК. Вірус тимчасово блокований (разом з комп'ютером), але щоб остаточно його видалити, потрібно ліцензійна версія антивіруса, яку можна отримати, відправивши SMS;
- вірус шифрує файли користувача (найчастіше офісні документи) і пропонує повернути до них доступ тільки після введення коду, отриманого по SMS.
Це одна з найбільш небезпечних атак, оскільки боротися з її наслідками практично неможливо. Наприклад, вірус GPCode застосовує для шифрування 1024-бітовий RSA-ключ, і відновити файли без «фінансової допомоги», наданої зловмисникові, не вийде. Для розкодування знадобилися б кілька мільйонів комп'ютерів, що працюють протягом року над підбором потрібного ключа. Єдиною лазівкою, що дозволяє вирішити проблему, є те, що певні модифікації таких вірусів створюють копію файлу перед його шифруванням, яка потім видаляється. При певних умовах є шанс на його вдале відновлення.
викрадення аккаунтів
Наступною поширеною неприємністю для користувачів є викрадення облікових записів. У більшості випадків вони навіть не блокуються, і людина може працювати на сайті, не помічаючи ніяких змін, однак в цей же час від його імені іншим людям будуть приходити рекламні повідомлення. Особливо актуальна така загроза для соціальних мереж, хоча вірус може розсилати спам та в службах обміну миттєвими повідомленнями (ICQ, Skype і ін.).
Шахраї мають вигоду вже від факту використання чужого комп'ютера, тому в даному випадку не вимагають від його власника грошової компенсації.
як боротися
Якщо вам повідомили про те, що від вашого імені відправляється спам, слід перевірити комп'ютер антивірусом зі свіжими базами, після чого змінити пароль на свій аккаунт.
фішинг
Більший улов шахраї часто намагаються отримати, задіюючи техніку фішингу. У багатьох випадках від користувача вимагають перейти по посиланню на підставний сайт і ввести там свої облікові дані, які потім застосовуються для розсилки спаму. Однак часом у користувача намагаються вкрасти не його аккаунт, а відомості про кредитну картку.
Як правило, на поштову скриньку приходить лист з повідомленням про злом системи захисту сайту. Щоб убезпечити свій профіль, вам нібито необхідно поміняти пароль, для чого пропонується зайти за посиланням на підставний ресурс, який зовні є повною копією оригіналу. Доменне ім'я зазвичай відрізняється всього на одну букву, і це не відразу впадає в очі (наприклад, facedook.com замість facebook.com). Користувач реєструється і отримує повідомлення про успішну зміну пароля, а іноді і напис про те, що на сервісі ведуться технічні роботи і спробу слід повторити пізніше. Насправді облікові дані вже відправлені на комп'ютер хакерів. У тих випадках коли від користувача вимагають ввести інформацію про свою кредитну картку, відповідно, шахраї отримують її номер і код cvv2.
Іноді також викрадаються акаунти від популярних онлайнових ігор для продажу героя або вмісту інвентарю.
як боротися
В першу чергу необхідно перевіряти доменне ім'я сайту, на який пропонується перейти в листі. Важливо звертати увагу на домен другого рівня (то, що розташоване ліворуч від .com). Наприклад, адреса checkpass.visa.com має пряме відношення до сайту Visa, а ось у адреси visa.checkpass.com вже доменне ім'я другого рівня checkpass, і даний ресурс належить зовсім іншим людям.
У ряді випадків швидко розібратися допоможе електронна адреса відправника. Якщо лист нібито відіслано від імені однієї компанії, а вказану адресу цього абсолютно не відповідає (наприклад, повідомлення від Facebook приходить з поштової скриньки @ yahoo.com), то послання можна сміливо ігнорувати.
Також слід дивитися не на посилання в тексті листа (там може бути написано все що завгодно), а на те, куди вона реально веде. Ця інформація відображається в статусному рядку браузера при наведенні курсору на посилання. Якщо в повідомленні використовуються скорочені посилання, то це додатковий сигнал до того, що реальна адреса хочуть приховати.
Даний тип загроз останнім часом зустрічається все рідше, оскільки для поширення листів доводиться використовувати електронну пошту або соціальні мережі, а спам-фільтри в цих службах добре справляються з подібною кореспонденцією. Наприклад, Gmail крім автоматичного розміщення таких повідомлень в спам також додає червоний текст в тіло листа з попередженням про те, що воно, швидше за все, є фішингом або спамом. Крім цього, в тексті блокуються всі посилання.
Переходячи по посиланнях на часто відвідувані сайти, також звертайте увагу на прохання про авторизацію. Якщо ви впевнені, що недавно вводили тут свої логін і пароль, а від вас знову вимагають це зробити, перевірте адреса в рядку браузера. Є ймовірність того, що ви зайшли на підроблений ресурс Помилкове посилання. Так, поширеною фішинг-атакою є повідомлення типу «Це ти на фото?» З посиланням на підставний сайт (наприклад, vkontavkte.ru). Відкривши некоректну посилання на альбом з фотографіями, користувач потрапляє на копію сайту, де у нього будуть викрадені ім'я і пароль після спроби авторизації.
Виманювання грошей у користувачів мобільних телефонів
В арсеналі недоброзичливців є такі виверти:
- використовуючи соціальну інженерію, шахраї просять перерахувати гроші на певний рахунок. Для цього SMS складають таким чином, щоб здавалося, ніби його відправляв хтось із родичів. У ряді випадків зловмисники також підштовхують жертву зробити дзвінок на мобільний номер, а потім намагаються довше тягнути час, оскільки за розмову справляється спеціальна плата за більш високим тарифом;
- пропонується програма «SMS-шпигун», нібито вміє встановлювати місце розташування людини за номером його мобільного телефону. Щоб скористатися послугою, абонентам, природно, радять зареєструватися за допомогою SMS. Після цього користувач отримує посилання на сайт з загальнодоступною інформацією про належність того чи іншого коду певного оператора зв'язку або на сервіси інтерактивних карт (Google maps або «Яндекс.Карти»). Формально такі дії навіть не є злочином, оскільки де-небудь на сайті зазначаються відомості про те, які послуги будуть надані користувачеві;
- за невелику плату пропонується програма, яка нібито вміє читати SMS на будь-якому телефоні після введення потрібного вам номера;
- приходить SMS з описом маловідомого способу поповнити рахунок без фінансових витрат, для чого необхідно відправити повідомлення на номер.
кейлогери
Для отримання даних про вашу кредитну картку зловмисники можуть використовувати кейлогери, зчитувальні натиснуті клавіші і відправляють цю інформацію шахраям. Без антивіруса кейлогери виявити практично не можна, оскільки вони себе ніяк не проявляють.
як боротися
Щоб не підхопити такий вірус, бажано не інсталювати програм, пропонованих невідомими сайтами. Також рекомендується мати антивірус і по можливості файрвол. Тут брандмауер зуміє виручити навіть в тому випадку, якщо антивірус не встановлено, оскільки кейлогерам необхідно відправляти зібрані дані на віддалений комп'ютер. У цей момент файрвол його і заблокує, а ви зможете визначити наявність вірусу.
Щоб уникнути перехоплення натискає клавішу при введенні інформації про кредитну картку часто застосовується віртуальна цифрова клавіатура, в якій
цифри кожен раз розташовуються в інших місцях. По можливості завжди слід використовувати саме її замість фізичної.
За допомогою зчитування натиснутих клавіш віруси можуть також викрадати акаунти. Запобігти подібним випадкам допоможе LastPass (з недавніх пір це додаток є для всіх популярних браузерів). Воно вміє автоматично вставляти ім'я і пароль користувача на сайт, а також заповнювати форми і навіть вводити інформацію про кредитні картки. Оскільки фізична клавіатура при цьому не задіюється, кейлогери не зможуть розпізнати натиснуті клавіші. LastPass вміє генерувати складні паролі і зберігати їх в своїй базі, так що їх не доведеться запам'ятовувати. Нарешті, LastPass не можна обдурити підробленим адресою, і плагін ніколи не введе інформацію про користувача на підставну сайті.
Соціальна інженерія
Особливий тип атак, які не потребують застосування технічних засобів. Простіше кажучи, замість пошуку вразливостей і написання вірусів зловмисники листами або розмовами підштовхують користувачів вчинити певну дію, яке відключить захист комп'ютера або якимось іншим чином відкриє доступ до потрібної інформації.
маловідомі атаки
Крім поширених типів атак існують і маловідомі, про які також варто знати, оскільки непідготовленість користувачів - запорука успіху хакерів.
- Смішинг (SMS-фішинг) - мобільна версія фішингу. По електронній пошті посилання на підставний сайт приходить по SMS. Запустивши ресурс в мобільному браузері, користувач відкриває вірусу шлях в пристрій.
- Блюбаггінг - спеціальна техніка отримання доступу до телефону по Bluetooth. При цьому його власник не отримує ніякого повідомлення про те, що з його апаратом встановлена бездротовий зв'язок. Зловмисник може дивитися прийняті дзвінки, адресну книгу, читати повідомлення, дзвонити і відправляти SMS, а також видаляти дані.
- Якщо користувач якимось чином здогадався про те, що став жертвою блюбаггінга, то позбутися від шахрая досить просто: достатньо вимкнути телефон, відключити Bluetooth або перейти в інше місце (радіус дії Bluetooth складає всього 10 метрів).
- Сайдджекінг - отримання доступу до акаунтів по ID сесії. Найчастіше в якості ID використовується спеціальне посилання з великим числом символів, що дозволяє відкрити сайт без авторизації. У деяких випадках замість неї застосовується також довгий набір символів в cookies. Якщо зловмисник дізнався ID сесії, то зможе отримувати доступ до сайтів користувача без авторизації і, наприклад, читати його пошту.
Як видно, дві вищеперелічені загрози застосовуються на телефонах. Мобільні віруси повинні по-справжньому розкрити всі свої можливості найближчим часом. Наприклад, компанія McAfee попереджає в одному з недавніх звітів про те, що їх кількість збільшилася майже на 50% за минулий рік. В кінці 2010 р був зафіксований найнижчий рівень спаму за останні 3 роки (80% від загального числа електронних листів). Схоже, це викликано тим, що зловмисники починають переключатися на мобільні платформи.
Так, поширеною фішинг-атакою є повідомлення типу «Це ти на фото?