По анализу сегодняшней мусорной e-mail корзины, собранной моим антиспамовым фильтром, не без вздоха заметил, что фишинг добрался уже и до сервисов контекстной рекламы. В частности, нападкам спамеров-фишеров уже точно подвергается рекламный сервис Google, о чем однозначно свидетельствует вот такое письмо:

Разумеется, в наше время контектной рекламой не "промышляет" разве что ленивый, потому и интерес мошенников к этим сервисам вполне понятен и мог быть предсказуем. Большинство наших соотечественников, конечно, стараются на этом сервисе заработать, и, соответственно, чаще выступают в роли "рекламопоказчиков", чем рекламодателей. В то время как сегодняшняя фишинг-провокация направлена против рекламодателей. Тем не менее, пострадать от подобных уловок могут как те, так и другие. Так что еще раз вспомним главные приметы мошеннических посланий от фишеров (в этом плане никакого прогресса у спамеров я лично пока не заметил, все старо и банально, аж скучно...):

1. Обезличенное обращение. Обычно так к нам обращаются сейчас только спамеры (и через них - фишеры). Почти все остальные службы поддержки используют имена или ники, под которыми мы у них зарегистрированы.

2. Гиперссылка в тексте письма. Волчьи уши из под овечьей шкуры торчат совершенно открыто и расчитано это на полного дилетанта. Большинство почтовых клиентов показывают реальную ссылку при наводе мышки на графическую гиперссылку в тексте письма. В данном случае мы видим доменное имя SOSKOLN.CN (никакого отношения к google, разумеется), к которому привязан (притянут "за уши") субдомен google. Понятно, что с тем же успехом любой из нас может создать в своей доменной зоне (например в зоне моего домена SURF-EXPERT.RU) аналогичный поддомен и морочить голову легковерным обитателям кибер-пространства...

В общем, по большому счету, ничего нового в методах, но явное расширение сферы деятельности: от интернет-банков и платежных систем фишинг стремительно распространяется в социальные сети (спам под видом сообщений от сайта "Одноклассники.ру", рекламные сервисы и им подобные интернет-структуры. Таковы печальные тенденции...

Многие обитатели Интернета знакомы с разновидностью бесплатной лотереи, в которой нужно выбрать 5 или 6 чисел и "кликнуть" по баннеру. Подобных сайтов и сейчас существует немало. Это действительно, хотя и "мелочная", но бесплатная лотерея, в том смысле, что за участие в ней не обязательно платить реальные деньги. "Бесплатность" эта, конечно, условна, как и любая другая халява: плата за участие в игре по сути принимается "натурой": нужно просмотреть сайт спонсора (который за это и платит), то есть по сути все это является гибридом "клик-спонсора" с лотереей и от традиционного рекламного сервиса (почтовика или САР - системы активной рекламы) отличается лишь тем, что серфер получает вознаграждение не за каждый "клик", но за каждый 10-й, 20-й, или 100-й, клик - в зависимости от аппетита устроителя этой лотереи, который кормится процентами. Но зато получает такой "серфер-игрок" не доли цента, а "аж целых" несколько центов, которые и преподносятся ему как "баснословный выигрыш". То, что за эти 10 центов ему пришлось кликать по баннерам два часа кряду, он уже обычно к этому моменту забывает... Хотя в общем и целом, это действительно является лотереей: ведь кому-то может "сказочно подфартить с первого клика"... В общем, ничего слишком криминального в такой лотерее нет и это исключительно дело вкуса каждого человека - как развлекаться... Однако, под такую бесплатную лотерею сейчас маскируются немало самых отъявленных лохотронов, от которых следовало бы держаться подальше. По сути, это направление относится к новой разновидности того самого "старого доброго лотерейного лохотрона", - сообщениях о миллионных выигрышах, которые раньше распространялись (впрочем, и по сей день еще распространяются) с помощью спама. Сегодня на такое "клюют" разве что совсем "темные" обитатели кибер-пространства. Видимо поэтому какому-то умнику пришла в голову идея: замаскировать этот старый механизм развода под бесплатную лотерею. И теперь все выглядит куда более правдоподобно: Потенциальный лох действительно играет и это создает у него стойкую иллюзию возможности выигрыша. Теперь никто из окружающих не может его вразумить резонным аргументом о том, что для того чтобы выиграть нужно купить, или хотя бы найти лотерейный билет... ну хотя бы один. В новом варианте билет фигурирует... правда халявный, но это уже детали.

Рассмотрим чуточку подробнее механизм развода: Жертва получает теперь не подозрительное уведомление о выигрыше с незнакомого адреса, со спамом, как это происходит в устаревшем варианте развода, но приглашение поиграть в бесплатную лотерею. Причем это с успехом может распространяться не только через всем осточертевший спам, но также и в платных рассылках и системах активной или даже контекстной рекламы. По своему опыту переписки с подписчиками знаю, что многие даже специально ищут подобные лотереи, в надежде что-то в них выиграть...

Далее, как только "потенциальный счастливчик" оказывается на сайте, ему предлагается ввести свой номер в платежной системе, и, непременно зарегистрироваться (то есть ввести свои данные: ФИО, адрес, e-mail) Едва ли стоит в очередной раз повторять здесь тривиальные истины о том, сколь нежелательно разбрасывать на сомнительных сайтах подробную информацию о себе... впрочем, если написать в анкете, что вас зовут John Johnson (или Иван Сидорович Козлов), и дополнить это "дежурным", только что зарегистрированным e-mail-адресом, который не жалко и бросить если что, то большой беды нет. Поэтому многие осторожные, но по прежнему жаждущие халявы и потому страшно любопытные обитатели Интернета так и поступают.

Далее (внимание, главный отвлекающий маневр!) собственно лотерея: выбор нескольких чисел, даже "клик" по баннеру спонсора - все очень правдоподобно, как в настоящей бесплатной лотерее... И... ура! ВЫ ВЫИГРАЛИ МИЛЛИОН!!! (а вы-то сомневались?!) Поздравляем!!! Confirmation № 2494643221 отправлено вам на e-mail, немедленно свяжитесь с менеджером для получения выигрыша... ну и т.п., как говорится "бла-бла-бла..." - дальше ничего нового.

Удивительно, но многие покупаются на этот нехитрый, "шитый белыми нитками" трюк... Хотя проверить (если уж так хочется) все элементарно просто: зарегистрируйтесь и сыграйте еще разик, выиграйте еще миллион... Не дошло? Ну тогда еще разик... а затем успокойтесь и подумайте: если в "лотерее" каждый играющий (или пусть даже каждый вновь зарегистрированный) выигрывает по миллиону каждый раз, то - что это?

В любом случае, даже если основной замысел с лотерейным разводом не "прокатит" (напомним для забывших: трюк заключается в вытягивании из потенциального "миллионера" какой-то "скромненькой", - по сравнению с "выигрышем", - суммы под любым предлогом: налоги, орграсходы, открытие счета в банке, услуги юриста, оплата гостиницы в месте получения выигрыша... и т.д. и т.п.. Разумеется авансом). Так вот, даже если это провернуть не удается, то злоумышленник в накладе не останется: Вы будете смеяться, но очень многие наивные обитатели оставят ему свой настоящий e-mail, а заодно и другую личную информацию (имя, адрес, даже номера документов...), которую мошенник либо использует сам, либо выгодно продаст.

Прочитал вот недавно... Проникся и даже решил потратить 20 минут своего времени и перевести на русский...

По материалам сайта Finjan.com, дата публикации: 15 января 2008 г. Перевод на русский язык: Константин Комаров, админ портала Surf-Expert. Материал публикуется с незначительными сокращениями. Статья переведена специально для портала SURF-EXPERT и впервые опубликована здесь.

Портал FINJAN.com (один из лидеров по предоставлению сервисов сетевой безопасности, - Перев.), в своем ежемесячном отчете предупреждает о "мутирующем JS вирусе" (в оригинале: "random js toolkit", в буквальном переводе: "набор случайных джава-скриптов". - Перев.) – одном из самых последних изобретений кибер-преступников, используемом для подрыва репутации "заслуживающих доверия" web-сайтов.

Фарнборо, Великобритания, 14 января 2008 г: FINJAN Inc., лидер по производству продуктов сетевой безопасности, сегодня объявил о том, что его Исследовательский Центр Вредоносных Кодов (MCRC) выявил еще одну весьма опасную web-эпидемию, порожденную последней разновидностью вредоносного кода, превращающего надежные и заслуживающие доверия web-сайты в коварные ловушки для ничего не подозревающих посетителей. Эпидемия, которую FINJAN назвал "мутирующим набором джава-скриптов" (random js toolkit) заключается в распространении чрезвычайно трудноуловимого троянца, заражающего компьютеры конечных пользователей и отправляет данные с этих компьютеров через Интернет своему владельцу, кибер-преступнику. Украденные троянцем данные могут включать документы, пароли, информацию о посещаемых web-ресурсах, или любую другую секретную информацию, интересующую злоумышленника.

Мутирующий джава-скрипт был обнаружен с использованием запатентованной компанией FINJAN технологии проверки кодов в реальном времени, при диагностике web-трафика пользователей в декабре 2007-го. Эпидемия подробно описана в последнем отчете Исследовательского Центра Вредоносных Кодов компании FINJAN, опубликованном сегодня (15.01.08 – Перев.) Отчет основательным образом раскрывает новое направление атаки, предоставляя иллюстрацию ее развития, обнаруженной в реальной сети; в отчете приводятся также анализ эффективности использованных во время атаки трудноуловимых технических методов, конкретные примеры высоко котируемых и считающихся надежными доменов, которые были скомпрометированы в результате применения этой технологии нападения. Скачать этот отчет можно по ссылке: http://www.finjan.com/Content.aspx?id=1367

Описанный мутирующий вирус (названный "random js toolkit") представляет собой код джава скрипта, который создается динамически и изменяется при каждом обращении к нему. В результате его почти невозможно обнаружить с помощью традиционных антивирусных методов и программ, основанных на анализе сигнатуры. Представитель FINJAN Ювал Бен-Ицхак прокомментировал ситуацию так: «Анализ сигнатур динамического кода неэффективен. Неэффективен также анализ сигнатур самого исполнительного кода, поскольку эти эксплоиты изменяются постоянно, всегда опережая выпуск средств для их обезвреживания. Создание постоянно обновляемого списка "надежных-подозрительных" доменов может обеспечить лишь частичную защиту от атак такого вида.

Для противостояния этому эксплоиту необходима разработка такой методики динамического анализа кода, которая может действовать и блокировать атаки в реальном времени, - добавил Бен-Ицхак. – Эта методика не зависит от исходного URL, сигнатуры или репутации сайта, но исследует содержание web-сайта в реальном времени, по мере исполнения кода. Она должна анализировать намерения кода, прежде чем разрешать его исполнение в браузере конечного пользователя».

Более 30000 инфицированных web-страниц появляется ежедневно.

Бен-Ицхак отметил, что мутирующий джава-вирус является вирусом нового направления, которые кибер-преступники используют для подрыва web-сайтов, которые традиционно считаются "надежными и заслуживающими доверия". По его словам, "Исследования, проведенные в середине 2007-го, показали, что ежедневно появлялось около 30000 инфицированных сайтов. Около 80 процентов этих страниц, содержащих вредоносные коды или производящих загрузку опасного содержания, были расположены на законных сайтах, взломанных хакерами. Сегодня ситуация намного хуже".

Атака с использованием мутирующего джава-вируса производится путем динамического внедрения скриптов на web-страницу. Это обеспечивает случайное имя файла, обращение к которому возможно лишь один раз. Такое динамическое внедрение осуществляется столь выборочно, что после того, как пользователь получает страницу с внедренным в нее вредоносным скриптом один раз, она больше не обнаруживается при дальнейших запросах. Этот метод позволяет избежать обнаружения вредоносного программного кода при дальнейшем расследовании и анализе.

Исследования компанией FINJAN мутирующего джава-вируса показали, что около 10000 вполне «благопристойных» доменов "обслуживали" эти вредоносные коды в декабре. Среди зараженных web-сайтов компания FINJAN выявил весьма известные и уважаемые домены. Компания FINJAN предупредила администраторов обоих этих сайтов и вредоносный код впоследствии был удален с сайтов.