Методы борьбы с распространенными информационными угрозами

Как злоумышленники получают доступ к компьютеру пользователя?

Существует несколько стандартных способов внедрения вредоносного программного обеспечения на компьютер жертвы.

Для того чтобы заманить пользователя на вредоносный сайт, ему присылается сообщение включающее ссылку на несущую угрозу web-страницу. Немалую роль в распространении фишинговых ссылок играют популярные ныне социальные сети. Подозрительные письма могут приходить также на почту или же всевозможные форумы. Осторожно следует относиться и к ссылкам, размещенным в комментариях к блогам, фотографиям и видеозаписям пользователей.

Отдельного внимания заслуживают специальные вредоносные программы, действие которых возможно только после их запуска на компьютере. Хакеры распространяют подобное ПО через интернет под видом обычных приложений. Вирусным может оказаться файл с кодеками, генераторами ключей, игр, патчей и даже антивирусов, приобретенных нелегальным образом, через сомнительные интернет-сервисы.

Современные антивирусы чаще всего блокируют действие подобных приложений, сигнализируя пользователям о возможной опасности. Однако существует небольшой нюанс. Речь идет о том, что генераторы ключей и крэки зачастую распознаются защитными системами как вредоносное ПО ввиду их функциональных особенностей. Так как эти программы, также как и вирусы внедряются в систему и меняют код приложений, кей-гены и крэки ошибочно активируют действие антивирусов. Поэтому чаще всего пользователям рекомендуют отключать антивирусы перед запуском генераторов ключей. Но в этом случае пользователь действует на свой страх и риск, подвергая компьютер возможным угрозам, ведь при выключенной системе защиты невозможно самостоятельно определить уровень опасности программ.

В последнее время достаточно широкое распространение получил вирус под названием Conficker. Данная утилита представляет собой достаточно серьезную угрозу и поэтому входит в TOP 10 угроз. Главное предназначение вируса заключается в создании ботнет-сетей. Вирус попадает на компьютер жертвы посредством функции Autorun, запуск которой осуществляется через Autorun.inf во время подключения внешних накопительных устройств к ПК. Попадая в систему, Conficker реплицируется и постепенно копируется на жесткий диск и все накопители, подключаемые к компьютеру. Для того чтобы предотвратить массовое распространение вируса разработчики компании Microsoft выпустили патчи с обновлениями Windows XP/Vista, в которых отключена функция Autorun. Операционная система Windows 7 изначально поступила в продажу с неактивной функцией автозапуска.

Какую цель преследуют хакеры?

Основная идея кибер-атак заключается в получении доступа к компьютеру жертвы с целью дальнейшего вымогательства или же рассылки спама. В первом случае происходит блокировка аккаунта, работы отдельных приложений или же всей системы, для ликвидации которой пользователю предлагают перечислить определенную сумму на счет мошенников. Второй же вариант атаки в большинстве случаев остается незамеченным для пользователя на протяжении длительного времени. Рассылка спама и DDOS-атака на сайты осуществляются без ведома владельца инфицированной машины. Так называемые ботнеты могут состоять из нескольких сотен тысяч компьютеров.

Последняя масштабная DDoS-атака была зафиксирована в апреле 2011 года. Действие злоумышленников было направлено на популярные блоги пользователей Живого Журнала.

Защитные меры:

• Обязательно следует установить качественный антивирус (например, Kaspersky Internet Security 2011  или ESET Smart Security Home Edition ESET )
• Необходимо позаботиться о наличии последней версии используемого браузера.
• Нужно тщательно проверять интернет-ресурсы перед осуществлением операций по вводу личных данных
• Нельзя выключать антивирус перед установкой и запуском незнакомых приложений.
• При работе с интернет-магазинами целесообразно использовать не основную, а дополнительную карту.

Поппулярные кибер-атаки

Блокировка компьютера

После того, как вредоносное обеспечение было внедрено на компьютер пользователя, на экране появляется окошко с требованиями отправить SMS на определённый номер. Таким образом может блокироваться работа как определённой программы, так и всей системы.

Если жертва выполняет требование хакеров, с её мобильного счета снимается некоторая денежная сумма (стоимость SMS может составлять как 3-5 грн. так и несколько десятков гривен), при этом код доступа к разблокировке компьютера зачастую пользователь так и не получает.

Инфицирование компьютера блокирующими вирусами происходит в результате посещения вредоносных сайтов или установки нелицензионного софта (игр, кодеков и т.д.).

Варианты угроз:

Окно блокировки может содержать следующие угрозы:

1. Вирус уничтожит все данные, находящиеся на жестком диске, если пользователь не осуществит перевод денежных средств на определенный мобильный счет.
2. Программа заблокировала систему в связи с отсутствием лицензии на Windows. Активация происходит посредством кода, полученного через SMS.
3. Приложение закрыло до ступ к определенному web-сайту (чаще всего к социальной сети: например, «В Контакте»). Для разблокировки также необходимо отправить SMS для получения кода доступа. При этом на весь экран располагается порнобаннер.
4. Блокировка операционной системы произошла якобы в связи с обнаружением вируса. Компьютер пользователя блокируется до тех пор, пока он не отправит SMS для активации лицензионной версии антивируса.
5. Наиболее опасным видом блокировки является способ шифрования данных. Офисные документы, находящиеся на компьютере шифруются и для того, чтобы восстановить их кодировку, необходимо отправить SMS.

К примеру, известный вирус GPCode использует для шифрования 1024-битовый RSA-ключ, взлом которого практически невозможен. При инфицировании компьютера данным вирусом пользователю чаще всего приходится пользоваться услугами мошенников и отправлять платное SMS. Лишь в некоторых случаях, когда перед шифрованием создается копия файла, её удаётся восстановить на компьютер в первоначальном виде.

Защитные меры:

Ввиду большого количества разновидностей блокирующих программ, единственного метода выхода из подобной ситуации не существует. Поэтому стоит попробовать все возможные варианты.

1. Если при блокировке компьютера доступ к сети интернет остается открыт, следует воспользоваться услугами Dr.Web и Kaspersky. На официальных сайтах этих антивирусных компаний есть специальная база кодов, после ввода которых, происходит разблокировка ПК. Название вируса и соответствующий код можно увидеть на скриншотах приложений.

Если в предоставленной на web-сайтах базе нет необходимого кода, следует рассмотреть иной вариант. Использование кодов из непроверенных источников может усугубить ситуацию, так как используемый ресурс также может оказаться мошенническим.

2. Эффективным средством по борьбе с блокирующими вирусами является лечащая утилита Dr.Web CureIt! скачать которую можно на официальном сайте Dr.Web. Если нет возможности воспользоваться ею в обычном режиме, необходимо перезапустить компьютер, нажать клавишу F8 и войти в систему в безопасном режиме. В большинстве случаев через безопасный режим удается беспрепятственно скачать и запустить приложение Dr.Web CureIt!, которое при быстрой проверке компьютера за несколько минут способен обнаружить и удалить вредоносное ПО.

3. Если есть возможность запустить Диспетчер задач, следует открыть список процессов. В этом списке отображается работа как системных, так и вредоносных приложений. Для завершения работы вируса нужно завершить процесс выполнения соответствующей программы. Чаще всего мошенники называют программы несущие угрозу стандартными именами, имитируя системные приложения.

Удалить процесс из автозагрузки, можно воспользовавшись msconfig.exe вызов которой осуществляется через «Пуск» - поиск – msconfig. Отображение автоматически запускаемых программ можно найти на вкладке Startup или же в реестре.

После того, как вирус был удален из папки «Автозагрузка», компьютер в обязательном порядке необходимо проверить на наличие вирусов для полного удаления вредоносной утилиты и её копий.
4. Если все предыдущие действия результатов не принесли, можно воспользоваться антивирусом, запуск которого осуществляется с переносных накопителей. Для записи антивирусной программы может использоваться флешка, другой винчестер или диск.

5. При полном отсутствии реакции на все предпринимаемые действия нужно будет переустанавливать операционную систему. Перед установкой новой ОС для полного удаления вирусов и иных вредоносных программ, в обязательном порядке необходимо отформатировать диск.

Взлом аккаунта

Отправка sms для разблокировки аккаунта в этом случае не требуется, так как целью злоумышленников является только получение доступа к учетной записи.

Защитные меры:
Для того чтобы прекратить рассылку спама со своего аккаунта, необходимо поменять пароль и в обязательном порядке проверить свой компьютер современным антивирусом.

Фишинг

Фишинг – метод получения конфиденциальных данных пользователя обманным методом. Доступ к личной информации злоумышленники получают после того, как пользователь вводит свой логин и пароль на web-ресурсе мошенников. Ссылки на сайт присылаются пользователю в тексте сообщений на электронную почту, форум и т.д. Таким образом злоумышленникам удается получить информацию не только о контактных данных, но ещё и о номерах кредитных карт и банковских счетов.

Механизм действий преступников довольно прост. На почту присылается письмо о том, что взломан пользовательский аккаунт, с предложением ввести свои данные на подставном ресурсе. Зачастую пользователь не обращает внимание на то, что название сайта отличается от оригинального на одну или несколько букв. Во время регистрации жертва вводит свой логин и пароль, а иногда и банковские данные, которые автоматически передаются мошенникам. При этом пользователю приходит сообщение о том, что его аккаунт успешно активирован или же требует повторного ввода данных в ближайшее время. Такая технология применяется и для получения доступа к героям он-лайн игр.

Защитные меры:
Необходимо всегда тщательно проверять название сайтов, на которые ведет ссылка. Не следует доверять сообщениям, пришедшим от неизвестных пользователей.

Чаще всего для своих целей мошенники используют web-сайты, расположенные на доменах второго уровня.

Следует помнить, что каждый ресурс имеет свой корпоративный e-mail, с которого и происходит рассылка информационных сообщений. Предложения о вводе данных, поступающие якобы от разработчиков социальных сетей не могут приходить с электронной почты по типу @yandex.com.

С осторожностью нужно относиться к коротким ссылкам, в которых отображается не весь адрес. Узнать полный путь можно путем наведения курсора на ссылку.

Фишинговые ссылки распространяемые через электронную почту в основном блокируются защитными механизмами почтовых сервисов. Активация спам-фильтров происходит сразу же, как только в тексте письма распознаются подозрительные ссылки.

Почтовые ящики, расположенные на Gmail, надежно защищены от спама: подозрительное письмо помечается красным крестом, и блокируются все ссылки находящиеся в его теле.

Заманивая пользователей на свои сайты, мошенники зачастую используют названия популярных социальных сетей. К примеру, может быть использован адрес vckontakte.ru, vkontackte.ru и т.д. Переход по ссылке на подобный ресурс влечет за собой хищение логина и пароля пользователя.

Телефонное мошенничество

Действия злоумышленников не ограничиваются распространением компьютерных вирусов и спама.

Достаточно часто мошенники вымогают деньги у своих жертв посредством SMS. На телефон присылается сообщение с указанием номера счета, на который необходимо перевести некоторую сумму, для получения той или иной информации.

В некоторых случаях sms отправляется якобы от родственника или знакомого владельца телефона с просьбой о помощи. Используют в своих действиях мошенники также и платные номера, на которые просят перезвонить наивных жертв.

Правоохранительными органами также зафиксированы случаи, когда на телефон жертвы поступает звонок якобы от родственника с просьбой перечислить деньги на карточку для откупа от милиции, мошенников и т.д.

«SMS-шпион» - популярное приложение, которое предлагает пользователю узнать местонахождение абонента по номеру телефона. Реклама данной утилиты часто встречается на просторах интернета. Для того чтобы активировать услугу поиска человека по номеру его мобильного, необходимо протии процедуру регистрации посредством SMS. В ответ приходит сообщение с ссылкой на общедоступные карты Google или Яндекс.

Некоторые наивные владельцы мобильных телефонов попадаются на удочку мошенников, предлагающих услугу отслеживания SMS на чужих телефонах. Система якобы предоставляет полный доступ к информации, находящейся на мобильном телефоне абонента любой сотовой связи.

Известны также случаи, когда пользователи мобильных телефонов отправляли дорогостоящие сообщения на подставной номер для того, чтобы «бесплатно» полнить свой счет.

Кейлогеры

Кейлогеры – программы, предназначенные для считывания каждого нажатия клавиши на клавиатуре компьютера. Кейлогеры используются мошенниками для получения данных пользователя: логина, пароля и иной конфиденциальной информации. Самостоятельно узнать о наличии кейлогера на компьютере практически не возможно.

Защитные меры:

Не рекомендуется устанавливать приложения, скачанные с непроверенных источников.

В обязательном порядке необходимо установить современное антивирусное ПО и своевременно обновлять баузер и файрвол.

Современные серверы, предоставляющие услуги по обслуживанию банковских карт, в большинстве своем, оснащены виртуальной клавиатурой. Ввод данных целесообразно осуществлять с помощью цифровой клавиатуры, а не физической.

Последние версии браузеров включают технологию запоминания логина, пароля и иных данных. Функция LastPass в автоматическом режиме заполняет форму, при этом нет необходимости использовать физическую клавиатуру. Соответственно кейлогер в этом случае не фиксирует нажатие клавиш при вводе пароля, номера карточки и прочей информации. LastPass срабатывает только на оригинальных сайтах, предотвращая утечку данных. Данные о логинах и паролях хранятся в специальной базе LastPass.

Социальная инженерия

Для получения важных данных злоумышленники не всегда используют информационные технологии. Доступ к данным мошенники получают обманным путем, заставляя пользователя самостоятельно предоставить им нужную информацию.

Нераспространенные методы получения доступа к информации:

Смишинг (SMS-фишинг) – на телефон пользователя приходит SMS, в тексте которого находится ссылка на вредоносный сайт. Переход по ссылке влечет инфицирование мобильного устройства.

Блюбаггинг – технология получения доступа к мобильному телефону пользователя через Bluetooth. В распоряжении злоумышленников оказываются сообщения, контактные данные, фотографии и видеозаписи пользователя. Во избежание данной ситуации достаточно отключить Bluetooth на своем мобильном телефоне, или же как можно дальше удалиться от мошенника.

Сайдджекинг – использование номера ID сессии для получения доступа к web-ресурсам пользователя. Данные о ID сессии позволяют злоумышленнику полностью контролировать аккаунт пользователя.

Мобильные атаки – популярный в настоящее время способ получения доступа к конфиденциальной информации пользователя, используемый мошенниками. За 2010 год уровень спама, распространяемый в сети интернет, значительно снизился, что, по словам экспертов McAfee, может свидетельствовать об увеличении количества мобильных угроз.