Вирусный дефицит

Кризис привел к росту числа безработных хакеров. Чтобы прокормиться, разработчики вирусов вынуждены искать новые подходы. Тренд-2009 – вычисление целевой аудитории с использованием маркетинговых стратегий для выуживания денег.

Одно из относительно свежих “изобретений” разработчиков компьютерных вирусов – программы-вымогатели. После неосторожной прогулки в Интернете на вашем мониторе появляется надпись, что компьютер заблокирован. “Внимание!!! при проверке подлинности Windows было обнаружено, что на вашем компьютере установлено нелицензионное программное обеспечение...” Далее пользователю предлагается либо отправить SMS-сообщение для получения доступа к заблокированной системе либо перевести деньги на один из web-кошельков.

О появлении нового образца такой троянской программы компания "Доктор Веб" сообщила еще в апреле 2009 года. А летом специалисты охарактеризовали данное вирусное вымогательство как массовое.

“Все сильнее набирает популярность SMS-мошенничество, при котором по тем или иным причинам пользователь вынужден отправлять платные SMS-сообщения злоумышленникам, — говорится в “Обзоре вирусной обстановки от компании "Доктор Веб" за первое полугодие 2009 года”. — Для достижения данной цели вирусописатели создают такие программы, как программы-вымогатели, блокирующие доступ к ОС Windows – Trojan.Winlock, порно-баннеры для браузеров Trojan.Blackmailer и т.д”.

При этом, по оценкам экспертов, компьютер пользователя подвергается опасности заражения таким подвидом вирусов и в ICQ, и в социальных сетях, и в почтовых спам-сообщениях. “Относительная простота вывода денег, полученных таким путем, и безнаказанность арендаторов "коротких номеров", на которые отправляются сообщения, дает практически неограниченные возможности злоумышленникам”, отмечают эксперты.

Еще одной новой тенденцией полугодия в “Доктор Веб” назвали освоение бот-сетями веб-ресурсов. Напомним, обычно бот-сети строятся из негласно зараженных компьютеров. “Преимущественно это домашние персоналки с постоянным интернет-подключением”, — уточняют эксперты. Используются бот-сети для проведения DDoS-атак, рассылки спама, кражи данных (например, неплохой доход дают кражи виртуальных товаров у пользователей сетевых игр или коллекционирование кодов электронных кошельков), манипулирования результатами онлайн-голосований и как стартовые площадки для тех же вирусных эпидемий.

“Если раньше наиболее крупные бот-сети состояли в основном из зараженных рабочих станций, то сейчас, благодаря JS.Gumblar, ситуация несколько изменилась. — пояснили в “Доктор Веб”. — Дело в том, что благодаря активности вредоносных объектов данного семейства была образована бот-сеть из более 60 тыс. зараженных веб-страниц”. Таким образом, киберпреступники создали и до сих пор осуществляют контроль над своеобразной бот-сетью, состоящей уже не из компьютеров-жертв, а из веб-ресурсов”, — констатировали эксперты.

Кстати, для “вирусного” рынка предложений характерны “общеэкономические” проблемы. У многих хакеров есть товар, но они испытывают затруднения со сбытом. Поэтому на специфических форумах достаточно распространены предложения вроде “Сдаю бот-сеть в аренду”, “Имеется сетка из 10 тыс. ботов (страны микс). Постоянно в онлайн от 300 до 700. Цена — $250/месяц”. При подобных предложениях потенциальный покупатель тут же начинает торговаться: “Ботов онлайн мало и цена высокая”...

Получается, слухи о миллионных заработках в интернет-подполье несколько преувеличены. Скорее, заработки у “вирусологов”, как в актерской среде – сверхдоходы только у отдельных звезд, а масса – голодает и подрабатывает тамадами на свадьбах и Дедами Морозами.

В то же время, корпоративные специалисты по информационной безопасности постепенно теряют страх перед вирусными угрозами. Из материалов отчета CNews Analytics о состоянии рынка информационной безопасности компаний в РФ в 2008 году следует, что “опасность вирусов в 2008-м признали 44% специалистов (против 59% в 2007-м), хакеров – 42% (против 47%), спама – 35% (вместо 46%)”. Кроме того, “в ближайшие 3 года 40% компаний планируют внедрить системы защиты от утечек информации, 35% — системы шифрования, 33% — комплексные системы управления информационной безопасности”, — прогнозируют CNews Analytics.

Постепенная потеря уважения со стороны легальных спецов к нелегалам легко объяснима. С одной стороны, армия интернет-злоумышленников растет, что снижает качество угроз. С другой – компании, использующие для получения прибыли Интернет, уже научились более-менее адекватно противостоять таким угрозам. “Если находиться на одном месте длительное время при взломе беспроводной сети, это может обернуться серьезными проблемами со службой охраны. Ведь как только факт вторжения в сеть заметят, вычислить твои координаты не составит труда”, — делится опытом один из анонимных специалистов, обучая подрастающее поколение хитростям вардрайвинга.

И, чтобы “банально не огрести по голове”, большинству недостаточно “продвинутых” любителей легких интернет-денег приходится искать счастья в частном секторе пользователей.

В то же время, по данным опроса Фонда “Общественное мнение”, по итогам I квартала 2009 года число интернет-пользователей в РФ выросло до 37,5 млн человек. Интернет давно стал в России массовым. То есть, “богатенькие Буратино” благополучно теряются в толпе. Охотишься за “толстым кошельком”, тратишь время на взлом почты, а попадаешь на переписку тети Яны с тетей Таней, обменивающихся рецептами домашнего консервирования помидоров. Или, еще обидней, в “аську” семиклассников, самих мечтающих стать “крутыми хакерами”.

Поэтому “вирусологам” приходится изучать маркетинговые технологии поиска нужной аудитории — прямого выхода на целевую аудиторию. Видимо, это и есть главная тенденция вирусологии-2009.

Конечно, проще всего ловить частника на деньгах там, где он их “показывает”. Так, по оценкам экспертов “Лаборатории Касперского”, “на первом месте по числу фишинговых атак по-прежнему электронная платежная система PayPal. Доля атак, нацеленных на ее пользователей, в июне выросла на 8% и превысила 60% всех атак фишеров”.

Для справки. “Фишинг представляет собой рассылку спама (причем написанного так, как будто его прислал какой-либо банк или другая серьезная организация) с целью выудить у получателя чувствительную информацию (имена пользователей, пароли, акаунты IDs, ATM PIN’ы или информацию о кредитках), — поясняется на сайте www.securitylab.ru. — Обычно фишинговые атаки направляют получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода”.

По информации “Лаборатории Касперского”, в июне в русскоязычном спаме мошенники распространяли письма о том, что процентная ставка по кредиту якобы может быть увеличена. Получателям для уточнений предлагалось связаться с оператором банка по короткому номеру телефона. В письме не сообщалось, что разговор платный. “Такой способ мошенничества может быть более разорителен для пользователя, чем обычный мошеннический спам с просьбой отправить SMS-сообщение на короткий номер, так как минута разговора стоит около 2 долларов, а предсказать, сколько времени займет общение с фальшивым электронным оператором, сложно”, — констатировали эксперты.

Но параллельно злоумышленники стали охотиться на обеспеченных граждан в местах, где деньги переводятся из электронного состояния в бумажное. То есть – в банкоматах. “Особый тренд первой половины 2009 года – появление первой вредоносной программы для банкоматов”, — отмечают в компании “Доктор Веб”.

Напомним, в ряде банкоматов Санкт-Петербурга вредоносная программа Trojan.Skimer была обнаружена еще в марте. Мошенники устанавливали в банкомат флэш-карту с программой-вирусом и взламывали защиту. “Отметим, что Trojan.Skimer(такое название получил банкомат-вирус – прим. ред) сохраняет информацию банковских карточек, а также о балансе счета, если пользователь ее запрашивает с помощью банкомата, — уточнили в “Доктор Веб”. — Злоумышленники же впоследствии, путем изготовления поддельных карт, могут полностью опустошать счета своих жертв”. Данные о картах клиентов, на которых хранилось меньше миллиона рублей, отсеивались, а по остальным картам делались дубликаты. Выследить злоумышленников помогли записи систем видеонаблюдения. Правда, как на условиях анонимности сообщил корреспонденту “Росбалта” представитель компании, поставляющей системы видеонаблюдения для банкоматов, на настоящие видеокамеры тратятся далеко не все банки. Многие обходятся муляжами. Так что способ охоты на таких взломщиков пока не безупречен.

Следователь по особо важным делам Главного следственного управления при ГУВД по Санкт-Петербургу и Ленинградской области Ольга Смольянинова в интервью телевидению заявила: "Эта схема применялась впервые не только в России, но и в Европе — это точно”. “В настоящее время уязвимость ПО банкоматов, которую использовал Trojan.Skimer, закрыта. Производитель банкоматов разослал по банкам соответствующие инструкции для ее устранения”, — констатируют в “Доктор Веб”.

Следующий “маркетинговый” ход – выявление богатых россиян через приобретенные недешевые гаджеты. Так, на днях специалисты компании Symantec объявили, что выявили SMS-вирус, написанный под операционную систему Symbian, управляющую смартфонами Nokia, и распространяющийся при подключении к Интернету. По оценкам специалистов Symantec, данный вирус способен создать полномасштабную бот-сеть из зазомбированных телефонов.

В свете всего вышесказанного начинаешь осознавать, с каким нетерпением разработчики вирусов ждут не дождутся времен, когда начнется строительство “умных домов” и продажи управляемых “компьютерными шоферами” автомобилей. Идеальные целевые аудитории для вирусных атак.

Игорь Чубаха

P.S Кстати, в этом году исполнилось 10 лет первой глобальной вирусной атаке. 26 апреля 1999 в сети громко “заявил о себе” так называемый "Чернобыль". Авторство проекта принадлежало студенту тайваньского университета Чен Ин-Хау. И известность помогла создателю даже получить престижную работу. Правда, впоследствии “гения” все равно арестовали.