Niebezpieczne komunikatory część druga

Rozprzestrzenianie szkodliwych programów

Komunikatory oprócz ich podstawowej funkcji przyczyniają się także do rozprzestrzeniania szkodliwych programów. Podstawowe rodzaje złośliwego kodu rozprzestrzenianego dzięki komunikatorom wymieniono poniżej.

1.Robaki IM – szkodniki te rozprzestrzeniają się samodzielnie wykorzystując do tego komunikatory.

2.Trojany kradnące hasła.

3.Szkodliwe programy służące do wyłudzania od użytkowników pieniędzy.

Robaki IM wymagają niewielkiej interakcji w celu rozprzestrzeniania się. Posiadają one szereg funkcji: mogą kraść hasła, tworzyć botnety, czasem ich funkcja jest czysto destrukcyjna (np. usuwanie wszystkich plików z zaatakowanej maszyny). Jednak w większości przypadków, aby atak mógł się powieść niezbędna jest interakcja ze strony użytkownika. Aby nakłonić potencjalną ofiarę do kliknięcia odsyłacza i otwarcia pliku pobranego z odsyłacza, stosuje się szereg sztuczek socjotechnicznych.

Atakujący tworzą kilka kont użytkownika zawierających kuszące informacje w profilu. Bardzo dobrze na wyobraźnie ofiar działa kiedy w profilu osoby, z którą chcieliby porozmawiać zobaczą opis „ ładna dziewczyna, 22 lata, szuka chłopaka”. Jednak tak naprawdę z numerem tego profilu łączone są boty, które potrafią obsłużyć podstawową konwersację. Pierwszą rzeczą, jaką potencjalna ofiara chce zobaczyć, jest zwykle zdjęcie owej "ładnej dziewczyny". Bot odpowiada na takie żądania wysyłając odsyłacz, który oczywiście prowadzi do strony zawierającej złośliwe oprogramowanie.

Innym wariantem tej metody jest przypadek, gdy odsyłacz do szkodliwego programu jest zawarty w danych osobowych "dziewczyny". Tego typu atak wymaga większego wysiłku niż poprzednia metoda. Na przykład, należy wypełnić przynajmniej niektóre z głównych pól dla informacji osobowych i wybrać potencjalne ofiary. Później należy zacząć rozmowę, tak aby przekonać użytkowników do kliknięcia odsyłacza prowadzącego do "fajnych zdjęć" w danych osobowych "dziewczyny".

Sztuczki socjotechniczne stosowane są również podczas rozprzestrzeniania szkodliwych programów za pośrednictwem spamu. Mówiąc ściśle, to nie szkodliwe oprogramowanie jest rozprzestrzeniane - użytkownicy otrzymują odsyłacze do szkodliwego oprogramowania. Odsyłacze takie mogą prowadzić to stron serwujących ataki drive-by download. Prowadzą najczęściej do wcześniej zaatakowanych popularnych i legalnych witryn internetowych, na których umieszczono kod, który pobiera szkodliwy program na komputery osób odwiedzających stronę i posiadających niezałatane luki w przeglądarce Internetowej. Inną techniką jest stworzenie prostej strony na tanim lub bezpłatnym serwerze WWW, która zawiera podobny kod downloader-a. Strona taka będzie następnie reklamowana przy pomocy masowej wysyłki za pośrednictwem komunikatorów internetowych. Jeżeli użytkownik kliknie prowadzący do niej odsyłacz szkodliwe oprogramowanie zostanie ukradkiem pobrane na maszynę. Użytkownik może nawet nie podejrzewać, że strona, którą odwiedził, została zaatakowana lub jest fałszywa.

Luki wykorzystywane do przeprowadzania takich ataków mogą być obecne w samych komunikatorach internetowych. W wielu przypadkach luka może powodować przepełnienie buforu i wykonanie losowo wybranego kodu w systemie lub zapewnić zdalny dostęp do komputera bez wiedzy czy zgody użytkownika.

Jeżeli szkodliwy kod, który został uruchomiony w systemie na skutek przepełnienia bufora jest zdolny do samodzielnego rozprzestrzeniania się, wtedy przy pomocy tej samej luki w zabezpieczeniach aplikacji znajdującej się na innych maszynach program może przeniknąć do komputerów dużej liczby użytkowników, wywołując epidemię. Wykorzystywanie luk w zabezpieczeniach wymaga dużych umiejętności technicznych, co w pewnym stopniu ogranicza opcje dostępne dla cyberprzestępców.

Scenariusz ataków

Bardzo często ataki przebiegają w sposób wymagający od użytkownika popełnienia tylko jednego błędu. Użytkownik uruchamia plik pobrany za pomocą odsyłacza otrzymanego za pośrednictwem komunikatora, jednak obiecane zdjęcia długo się nie pojawiają na ekranie monitora. W czasie kiedy ofiara czeka na pobranie się zdjęć, trojan przeszukuje jej komputer w celu znalezienia przechowywanych na nim haseł. Niektóre hasła są zaszyfrowane, jednak cyberprzestępcy potrafią je bez trudu odszyfrować. Następnie trojan zbiera wszystkie hasła znalezione w komputerze i tworzy wiadomość e-mail zawierającą wszystkie zebrane poufne informacje. Wiadomość zostaje wysłana na adres e-mail cyberprzestępcy, który został utworzony specjalnie do tego celu. Aby uniemożliwić systemowi operacyjnemu ostrzeżenie użytkownika o zagrożeniu, trojan wyłącza zaporę sieciową poprzez zmodyfikowanie odpowiedniego klucza rejestru. Trojan wykonuje podobne działanie w stosunku do innych programów, które mogłyby uniemożliwić mu kradzież haseł i innych istotnych informacji użytkownika. Na koniec szkodliwy program usuwa samego siebie, niszcząc tym samym ślady szkodliwej aktywności. W ten sposób cyberprzestępca wchodzi w posiadanie imponującej listy haseł do kont e-mail, klientów FTP i gier online, a czasem nawet haseł do kont bankowych.

Zanim użytkownik zacznie coś podejrzewać, cyberprzestępca przetworzy dziesiątki lub setki wiadomości z hasłami przesłanymi przez trojana. Nawiasem mówiąc, wielu użytkowników w ogóle nie zdaje sobie sprawy, że miała miejsce jakakolwiek szkodliwa aktywność. Jedynym dowodem, jaki posiada użytkownik, jest odsyłacz do nieistniejących zdjęć, dlatego szanse na wyśledzenie cyberprzestępcy są bardzo niewielkie.

Poza tym wchodząc w posiadanie danych umożliwiających dostęp do konta komunikatora z którego korzysta ofiara, cyberprzestępca zyskuje dostęp do obecnych tam kontaktów. Może zatem wysłać wiadomość z prośbą o pożyczenie drobnej sumy pieniędzy i obiecać, że zwróci ją następnego dnia. Ponadto można to łatwo zautomatyzować i prośby o pożyczkę wysyłać będzie bot, a atakujący wkroczy dopiero gdy uzyska odpowiedź na taką prośbę, dalej posługując się manipulacją. W ten sposób w ciągu niewielkiego czasu można dorobić się sporej sumy pieniędzy w przeliczeniu na stawkę dzienną pracownika branży IT.

Ponadto jeśli cyberprzestępca uzyska dostęp do serwera FTP, na którym przechowywane są strony WWW wystarczająco popularnej strony Internetowej to będzie mógł dodać do niej prostą ramkę lub zaszyfrowany kod JavaScript. Będzie on niepostrzeżenie pobierał i uruchamiał szkodliwy program na wszystkich komputerach, z których dana strona będzie oglądana.

Lista powodów dla których cyberprzestępcom opłaca się atakować komunikatory internetowe jest przekonująca:

  • Sprzedaż skradzionych numerów.

  • Tworzenie list spamowych przeznaczonych do sprzedaży spamerom lub w celu masowej dystrybucji szkodliwych programów.

  • Traktowanie list kontaktów zaatakowanych użytkowników jako zaufanych źródeł, od których można wyłudzić pieniądze.

  • Pobieranie szkodliwego oprogramowania przy użyciu luk w zabezpieczeniach używanych aplikacji.

  • Zmiana stron WWW legalnych witryn internetowych w celu pobrania szkodliwego oprogramowania na komputery osób odwiedzających strony.

  • Tworzenie botnetów lub rozszerzanie istniejących sieci zombie.

Obrona przed atakami

Oczywiście nie jest tak, że użytkownicy komunikatorów internetowych są w tej walce bezbronni. Wystarczy wykazać się rozsądkiem i przestrzegać pewnych reguł, by zminimalizować prawdopodobieństwo padnięcia ofiarą takiego ataku.

Przede wszystkim, nie należy bezmyślnie klikać odsyłaczy zawartych w otrzymywanych wiadomościach. Poniżej przedstawiamy kilka typów wiadomości, które użytkownicy powinni przeglądać z największą ostrożnością:

1.Wiadomości otrzymywane od nieznanych użytkowników z dziwnymi nick-ami.

2.Wiadomości od użytkowników z Twojej listy kontaktów, którzy proszą Cię o obejrzenie zdjęć o rozszerzeniu pliku .exe.

3.Wiadomości zawierające rzekomo sensacje na temat romansu między dwiema sławnymi osobami.

4.Wiadomości sugerujące użytkownikowi pobranie programu, który zapewni mu nowe możliwości. Odsyłacz w wiadomości bez wątpienia będzie prowadził do programu, jednak program będzie raczej zajmował się przestępczą aktywnością.

Takie wiadomości należy po prostu ignorować.

Jeżeli wiadomość pochodzi od użytkownika, którego znasz, ustal, czy rzeczywiście został przez niego wysłany. Nie pobieraj i nie uruchamiaj pliku z rozszerzeniem .exe. Nawet jeżeli rozszerzenie pliku nie jest określone w odsyłaczu, możesz zostać przekierowany na inną stronę zawierającą szkodliwy program.

Użytkownicy powinni także posiadać zainstalowany program antywirusowy z aktualną bazą danych oraz zaporą sieciową, która blokuje nieautoryzowane połączenia sieciowe. Dobrze byłoby, gdyby produkt antywirusowy zawierał ochronę proaktywną, która wykrywa szkodliwe programy na podstawie ich zachowania i/lub mechanizm analizy heurystycznej. Ponadto należy zawsze pamiętać o aktualności całego oprogramowania zainstalowanego na komputerze. Luki dostępne w starych wersjach oprogramowania mogą przyczynić się do przejęcia kontroli nad atakowaną maszyną.

W sytuacji, gdy trojan dostarczył swoją szkodliwą funkcję, a następnie usunął się z komputera należy sprawdzić, czy komputer jest naprawdę czysty, wykonując skanowanie za pomocą programu antywirusowego. Następnie, jeśli jest to możliwe, należy zmienić wszelkie hasła, jakie mógł skraść trojan. Najrozsądniej byłoby również ostrzec wszystkich użytkowników na liście kontaktów i poprosić ich, aby nie odpowiadali na prośby o pożyczenie pieniędzy wysyłane z twojego konta komunikatora internetowego, oraz aby nie próbowali oglądać zdjęć poprzez klikanie odsyłaczy w wiadomościach wysyłanych za jego pośrednictwem.

Dla osób zainteresowanych ochroną swoich zasobów, które mogą być zagrożone poprzez użytkowanie komunikatora internetowego, proponujemy także instalację bota antyspamowego. Jest on obsługiwany przez niektóre komunikatory.

Konfiguracja bota antyspamowego

Jeżeli użytkownik, który nie znajduje się na twojej liście kontaktów, chce z tobą czatować, będzie musiał najpierw odpowiedzieć na pytanie. Nie będzie mógł wysłać ci żadnej wiadomości, dopóki nie odpowie na to pytanie. Dobrym rozwiązaniem jest stosowanie pytań, na które każdy zna odpowiedź, takich jak "ile jest 2+2*2?" lub "jak się nazywa nasza planeta?" Jeżeli użytkownik odpowie "6" lub "Ziemia" i wyśle wiadomość, będzie mógł wysyłać ci dalsze wiadomości. Taka ochrona jest stosunkowo skuteczna w blokowaniu szeregu różnych botów, które wysyłają spam, mimo że niektóre z tych botów mogą być wystarczająco inteligentne, aby odpowiedzieć na większość popularnych pytań, np. na domyślne pytania wykorzystywane w modułach ochrony.

Przestrzeganie prostych zasad "higieny komputerowej" oraz wykorzystywanie dobrze skonfigurowanego bota antyspamowego w połączeniu z niewielką dawką zdrowego rozsądku może pomóc użytkownikom bez obaw czatować za pośrednictwem Internetu.

Źródło: Redakcja