Современные вирусы не так страшны, как их предшественники. Улучшенные
механизмы защиты операционных систем часто не позволяют им творить тот же беспредел, что и раньше (например, форматирование винчестера). Вирусы и атаки мошенников теперь в основном направлены на получение финансовой выгоды или управление компьютером пользователя, но не на уничтожение данных. При этом для выполнения перечисленных задач не всегда даже требуется вирус, нередко достаточно правильно составленного письма или SMS, чтобы его получатель сам отправил сведения о кредитной карте или другую конфиденциальную информацию злоумышленникам. В базе сигнатур большинства антивирусов содержится несколько миллионов записей о различных вирусах, однако серьезную угрозу составляют не более 10 разных видов атак.
Содержание
Способы проникновения на компьютер
Сначала остановимся на самом механизме проведения атаки. Если речь идет о фишинге или социальной инженерии, то сообщения обычно приходят по чату в социальных сетях, электронной почте или на форумах. В ряде случаев злоумышленники могут размещать их со ссылкой на свой ресурс прямо в комментариях чужих сайтов. Если модераторы вовремя не успели их удалить, то некоторые пользователи перейдут по ссылке и попадутся на удочку мошенников.
Когда хакеры пытаются установить вирус на чей-то компьютер, то в большинстве случаев им нужно, чтобы пользователь лично запустил программу. Чтобы убедить владельца ПК сделать это, вирус, как правило, выдают за какое-то полезное ПО. Например, критическое обновление для Windows, антивирус, кодек, необходимый для просмотра видео на сайте, и т. д. Вирусы также распространяются в крэках и генераторах ключей, но опасность этих файлов несколько преувеличена. Срабатывание антивирусной защиты при их запуске не всегда означает, что они действительно заражены, поскольку антивирусы могут так реагировать на их основное предназначение – изменение кода других программ с целью их взлома. С другой стороны, при таком поведении антивирусов пользователь никогда не может быть до конца уверен в безвредности утилит подобного рода, ведь отличить ложное срабатывание от действительного обнаружения вируса в крэке он не может.
Самым распространенным вирусом уже длительное время является Conficker и его модификации, которые занимают сразу несколько мест в TOP 10 угроз, включая и первое. Они распространяются с помощью функции Autorun, запускающей исполняемый файл, прописанный в файле Autorun.inf при подключении внешнего накопителя к компьютеру. Conficker копирует себя в систему, а затем на другие флеш-драйвы и винчестеры, подсоединяемые к ПК. Чаще всего сам вирус используется для организации ботнет-сетей. Вероятно, именно в связи с его эпидемией Microsoft недавно отключила функцию Autorun в Windows XP/Vista с помощью обновления, выпущенного в начале февраля этого года. В Windows 7 автозапуск неактивен по умолчанию.
Зачем злоумышленникам информация о пользователях и доступ к их компьютеру
Главных целей всего две. Достигаются они разными способами, но мошенников интересует либо получение денег от (суммы могут варьироваться в широких пределах), либо использование компьютера или аккаунтов его владельца для рассылки спама.
Контроль над чужим ПК позволяет создавать ботнет-сети, в состав которых иногда входят сотни тысяч компьютеров. Такие виртуальные армии формируются для рассылки спама или DDOS-атак на сайты. Пользователи зачастую даже не подозревают о том, что их ПК управляет кто-то другой.
Общие рекомендации по защите
- Обязательно установите антивирус (бесплатного AVG, avast!, Avira, Comodo или Microsoft Security Essentials будет вполне достаточно). При желании дополните защиту с помощью файрвола.
- Обновите браузер до последней версии.
- Не запускайте незнакомых программ без антивируса или с выключенной защитой.
- Не соглашайтесь на инсталляцию сопутствующего ПО, предложенного сайтом, если на 100% не уверены в его необходимости.
- Проверяйте имя ресурса перед вводом данных на нем.
- Для оплаты в Интернете лучше оформить дополнительную карту и переводить на нее деньги с основной перед покупками.
Самые распространенные атаки
Блокировка компьютера
Весьма распространенной и в то же время довольно неприятной является атака, при которой злоумышленники блокируют компьютер, требуя отправить SMS для получения кода разблокировки. Причем владельцу ПК не всегда сообщают, сколько денег будет снято со счета. Как удалось выяснить, по крайней мере в ряде случаев речь идет о десятках гривен.
Попадают такие вирусы чаще всего на ПК неопытных пользователей, которые устанавливают на него программы (например, видеокодеки), предлагаемые при посещении сайтов мошенников.
Как бороться
В зависимости от степени блокировки компьютера стоит попробовать несколько разных сценариев.
При наличии доступа к Интернету советуем воспользоваться сервисами Dr.Web и Kaspersky для получения разблокирующих кодов. В их базах можно узнать, какой вирус проник на компьютер, по мобильному номеру или скриншоту программы.
В случае если вирус еще не добавлен в базы, коды следует поискать в Интернете самостоятельно по номеру телефона или сообщению. Главное в этом случае – не попасть на еще одну удочку мошенников и не подхватить другой вирус, выдаваемый за утилиту для борьбы с блокираторами.
Если удастся запустить Диспетчер задач, необходимо отыскать в списке процессов вирус и завершить его. Программа, скорее всего, имеет какое-нибудь типичное имя, например plugin.exe, которое злоумышленники выбирают, чтобы замаскировать свое приложение под системный процесс. После этого нужно удалить его из автозагрузки. Для этого можно воспользоваться стандартной утилитой msconfig.exe (для ее старта нажмите кнопку «Пуск» и введите в поле поиска msconfig). На закладке Startup перечислены программы, запускаемые из папки «Автозагрузка», а также через ключи реестра. Следует снять галочку рядом с вирусом, чтобы он больше не загружался при включении ПК. После этого желательно проверить компьютер антивирусом, чтобы полностью удалить вредоносную программу из системы и убедиться, что на ПК не осталось других ее копий.
Когда Диспетчер задач недоступен, нужно перезагрузить компьютер в безопасный режим (для этого следует нажать клавишу F8 за несколько секунд до появления логотипа Windows на черном экране), а затем повторить те же процедуры с msconfig и антивирусом. Чтобы скачать последний, понадобится активное соединение с Интернетом, поэтому необходимо выбирать режим Safe Mode with Networking.
Если по каким-то причинам безопасный режим использовать не получится, загрузите ПК с помощью live-CD с антивирусом. В этом случае нужен еще один работающий компьютер, где можно записать диск. Некоторые антивирусы записываются и на флешку, поэтому в качестве запасного ПК подойдут и нетбук, и ноутбук без оптического привода.
К сожалению, если все перечисленные действия не помогли или недоступны, придется переустанавливать ОС. Важно выполнить чистую инсталляцию системы, а не ее обновление – если сделать это поверх старой копии, то вирус никуда не денется.
Вирусы-вымогатели умеют совершать и другие действия помимо блокировки компьютера
Вот несколько распространенных примеров:
- программа угрожает удалить все файлы с ПК, если в течение нескольких часов не будут переведены деньги на определенный мобильный счет;
- пользователя предупреждают о том, что Windows не прошла лицензионной проверки, и чтобы ее зарегистрировать, необходимо получить код по SMS;
- на компьютере всплывает порнобаннер, убрать который можно только с помощью SMS;
- блокируется доступ на определенный сайт, например «В Контакте», и выдвигается требование отправить SMS для разблокировки;
- пользователя предупреждают о том, что онлайновый антивирус обнаружил опасную угрозу на ПК. Вирус временно блокирован (вместе с компьютером), но чтобы окончательно его удалить, требуется лицензионная версия антивируса, которую можно получить, отправив SMS;
- вирус шифрует файлы пользователя (чаще всего офисные документы) и предлагает вернуть к ним доступ только после ввода кода, полученного по SMS.
Это одна из самых опасных атак, поскольку бороться с ее последствиями практически невозможно. Например, вирус GPCode применяет для шифрования 1024-битовый RSA-ключ, и восстановить файлы без «финансовой помощи», оказанной злоумышленнику, не получится. Для раскодирования понадобились бы несколько миллионов компьютеров, работающих в течение года над подбором нужного ключа. Единственной лазейкой, позволяющей решить проблему, является то, что определенные модификации таких вирусов создают копию файла перед его шифрованием, которая затем удаляется. При определенных условиях есть шанс на его удачное восстановление.
Похищение аккаунтов
Следующей распространенной неприятностью для пользователей является похищение учетных записей. В большинстве случаев они даже не блокируются, и человек может работать на сайте, не замечая никаких изменений, однако в это же время от его имени другим людям будут приходить рекламные сообщения. Особенно актуальна такая угроза для социальных сетей, хотя вирус может рассылать спам и в службах обмена мгновенными сообщениями (ICQ, Skype и др.).
Мошенники имеют выгоду уже от факта использования чужого компьютера, поэтому в данном случае не требуют от его владельца денежной компенсации.
Как бороться
Если вам сообщили о том, что от вашего имени отправляется спам, следует проверить компьютер антивирусом со свежими базами, после чего изменить пароль на свой аккаунт.
Фишинг
Более крупный улов мошенники часто пытаются получить, задействуя технику фишинга. Во многих случаях от пользователя требуют перейти по ссылке на подставной сайт и ввести там свои учетные данные, которые затем применяются для рассылки спама. Однако порой у пользователя пытаются украсть не его аккаунт, а сведения о кредитной карте.
Как правило, на почтовый ящик приходит письмо с сообщением о взломе системы защиты сайта. Чтобы обезопасить свою учетную запись, вам якобы необходимо поменять пароль, для чего предлагается зайти по ссылке на подставной ресурс, который внешне является полной копией оригинала. Доменное имя обычно отличается всего на одну букву, и это не сразу бросается в глаза (например, facedook.com вместо facebook.com). Пользователь регистрируется и получает сообщение об успешной смене пароля, а иногда и надпись о том, что на сервисе ведутся технические работы и попытку следует повторить позже. На самом деле учетные данные уже отправлены на компьютер хакеров. В тех случаях когда от пользователя требуют ввести информацию о своей кредитной карте, соответственно, мошенники получают ее номер и код cvv2.
Иногда также похищаются аккаунты от популярных онлайновых игр для продажи героя или содержимого инвентаря.
Как бороться
В первую очередь необходимо проверять доменное имя сайта, на который предлагается перейти в письме. Важно обращать внимание на домен второго уровня (то, что расположено слева от .com). Например, адрес checkpass.visa.com имеет прямое отношение к сайту Visa, а вот у адреса visa.checkpass.com уже доменное имя второго уровня checkpass, и данный ресурс принадлежит совершенно другим людям.
В ряде случаев быстро разобраться поможет электронный адрес отправителя. Если письмо якобы отослано от имени одной компании, а указанный адрес этому совершенно не соответствует (например, сообщение от Facebook приходит с почтового ящика @yahoo.com), то послание можно смело игнорировать.
Также следует смотреть не на ссылку в тексте письма (там может быть написано все что угодно), а на то, куда она реально ведет. Эта информация отображается в статусной строке браузера при наведении курсора на ссылку. Если в сообщении используются сокращенные ссылки, то это дополнительный сигнал к тому, что реальный адрес хотят скрыть.
Данный тип угроз в последнее время встречается все реже, поскольку для распространения писем приходится использовать электронную почту или социальные сети, а спам-фильтры в этих службах хорошо справляются с подобной корреспонденцией. Например, Gmail помимо автоматического размещения таких сообщений в спаме также добавляет красный текст в тело письма с предупреждением о том, что оно, скорее всего, является фишингом или спамом. Кроме этого, в тексте блокируются все ссылки.
Переходя по ссылкам на часто посещаемые сайты, также обращайте внимание на просьбы об авторизации. Если вы уверены, что недавно вводили здесь свои логин и пароль, а от вас снова требуют это сделать, проверьте адрес в строке браузера. Есть вероятность того, что вы зашли на поддельный ресурс по неправильной ссылке. Так, распространенной фишинг-атакой является сообщение типа «Это ты на фото?» со ссылкой на подставной сайт (например, vkontavkte.ru). Открыв некорректную ссылку на альбом с фотографиями, пользователь попадает на копию сайта, где у него будут похищены имя и пароль после попытки авторизации.
Выманивание денег у пользователей мобильных телефонов
В арсенале недоброжелателей имеются следующие уловки:
- используя социальную инженерию, мошенники просят перечислить деньги на определенный счет. Для этого SMS составляют таким образом, чтобы казалось, будто его отправлял кто-то из родственников. В ряде случаев злоумышленники также подталкивают жертву совершить звонок на мобильный номер, а затем стараются подольше тянуть время, поскольку за разговор взимается специальная плата по более высокому тарифу;
- предлагается программа «SMS-шпион», якобы умеющая устанавливать местоположение человека по номеру его мобильного телефона. Чтобы воспользоваться услугой, абонентам, естественно, советуют зарегистрироваться с помощью SMS. После этого пользователь получает ссылку на сайт с общедоступной информацией о принадлежности того или иного кода определенному оператору связи или на сервисы интерактивных карт (Google maps или «Яндекс.Карты»). Формально такие действия даже не являются преступлением, поскольку где-нибудь на сайте указываются сведения о том, какие услуги будут предоставлены пользователю;
- за небольшую плату предлагается программа, которая якобы умеет читать SMS на любом телефоне после ввода нужного вам номера;
- приходит SMS с описанием малоизвестного способа пополнить счет без финансовых затрат, для чего необходимо отправить сообщение на номер.
Кейлогеры
Для получения данных о вашей кредитной карте злоумышленники могут использовать кейлогеры, считывающие нажатые клавиши и отправляющие эту информацию мошенникам. Без антивируса кейлогеры обнаружить практически нельзя, поскольку они себя никак не проявляют.
Как бороться
Чтобы не подхватить такой вирус, желательно не инсталлировать программ, предлагаемых неизвестными сайтами. Также рекомендуется иметь антивирус и по возможности файрвол. Здесь брандмауэр сумеет выручить даже в том случае, если антивирус не установлен, поскольку кейлогеру необходимо отправлять собранные данные на удаленный компьютер. В этот момент файрвол его и заблокирует, а вы сможете определить наличие вируса.
Во избежание перехвата нажимаемых клавиш при вводе информации о кредитной карте часто применяется виртуальная цифровая клавиатура, в которой
цифры каждый раз располагаются в других местах. По возможности всегда следует использовать именно ее вместо физической.С помощью считывания нажатых клавиш вирусы могут также похищать аккаунты. Предотвратить подобные случаи поможет LastPass (с недавних пор это дополнение доступно для всех популярных браузеров). Оно умеет автоматически вставлять имя и пароль пользователя на сайт, а также заполнять формы и даже вводить информацию о кредитных картах. Поскольку физическая клавиатура при этом не задействуется, кейлогеры не смогут распознать нажатые клавиши. LastPass умеет генерировать сложные пароли и хранить их в своей базе, так что их не придется запоминать. Наконец, LastPass нельзя обмануть поддельным адресом, и плагин никогда не введет информацию о пользователе на подставном сайте.
Социальная инженерия
Особый тип атак, не требующих применения технических средств. Проще говоря, вместо поиска уязвимостей и написания вирусов злоумышленники письмами или разговорами подталкивают пользователей совершить определенное действие, которое отключит защиту компьютера или каким-то другим образом откроет доступ к нужной информации.
Малоизвестные атаки
Помимо распространенных типов атак существуют и малоизвестные, о которых также стоит знать, поскольку неподготовленность пользователей – залог успеха хакеров.
- Смишинг (SMS-фишинг) – мобильная версия фишинга. Сообщение со ссылкой на подставной сайт приходит по SMS. Запустив ресурс в мобильном браузере, пользователь открывает вирусу путь в устройство.
- Блюбаггинг – специальная техника получения доступа к телефону по Bluetooth. При этом его владелец не получает никакого извещения о том, что с его аппаратом установлена беспроводная связь. Злоумышленник может смотреть принятые звонки, адресную книгу, читать сообщения, звонить и отправлять SMS, а также удалять данные.
- Если пользователь каким-то образом догадался о том, что стал жертвой блюбаггинга, то избавиться от мошенника довольно просто: достаточно выключить телефон, отключить Bluetooth или перейти в другое место (радиус действия Bluetooth составляет всего 10 метров).
- Сайдджекинг – получение доступа к аккаунтам по ID сессии. Чаще всего в качестве ID используется специальная ссылка с большим числом символов, позволяющая открыть сайт без авторизации. В некоторых случаях вместо нее применяется также длинный набор символов в cookies. Если злоумышленник узнал ID сессии, то сможет получать доступ к сайтам пользователя без авторизации и, например, читать его почту.
Как видно, две вышеперечисленные угрозы применяются на телефонах. Мобильные вирусы должны по-настоящему раскрыть все свои возможности в ближайшее время. Например, компания McAfee предупреждает в одном из недавних отчетов о том, что их количество увеличилось почти на 50% за прошедший год. В конце 2010 г. был зафиксирован самый низкий уровень спама за последние 3 года (80% от общего числа электронных писем). Похоже, это вызвано тем, что злоумышленники начинают переключаться на мобильные платформы.