Основные виды интернет-угроз
Спам — наряду с традиционными рекламными рассылками, существует вредоносный спам, например, содержащий шпионское ПО или спам, заманивающий пользователей на сайты с вредоносным контентом. Целевой фишинг — в отличие от спама, целевой фишинг напрямую нацелен на узкие группы пользователей и содержит сообщения с социальным контекстом, призывающие потенциальную жертву открыть исполняемый файл или перейти на сайт, содержащий вредоносный код.
PDF-атаки — за последнее время в документах формата PDF было обнаружено множество серьезных уязвимостей.
Отравление SEO (Search Engine Optimization) — угрозы оптимизации поискового движка приводят к тому, что сайты, содержащие вредоносный код, подставляются на высокие места в рейтингах поисковых систем при вводе запроса, связанного с мировым чемпионатом. Защититься от таких угроз можно, используя актуальные версии шлюзового антивируса и системы предотвращения, вторжений. Потеря производительности — администраторы могут задействовать системы управления трафиком или контентной фильтрации, чтобы ограничить или перекрыть доступ к онлайн-ресурсам.
Социальные сети — аналитики предупреждают о вредоносном ПО, которое может распространяться через популярные социальные сети. Решения контентной фильтрации и блокирования файлов должны быть настроены так, чтобы минимизировать угрозы. Согласно сведениям IBM X-Force, основным источником угроз по-прежнему является такое популярное ПО как интернет-браузеры.
Новинкой атак последних лет стал перенос усилий хакеров с браузеров на веб-приложения, через которые можно получить доступ непосредственно к базам данных компаний, имеющим особую ценность. Стабильно невысок процент устранения уязвимостей, — до 60% обнаруженных ежегодно уязвимостей не имеют на конец года специальных заплат (патчей) от производителей ПО. Наибольшей опасности подвержены учетные записи привилегированных пользователей, то есть системных администраторов.
Сегодня контроль действий привилегированных пользователей — это обязательное требование со стороны различных стандартов и регулирующих органов. Неправомерные действия в их отношении могут производиться как извне компании, так и самими недобросовестными сотрудниками. Рост количества угроз, связанных с привилегированными пользователями, — это в том числе инсайдерские угрозы, когда сотрудники либо осознанно воруют данные у своей компании, либо по неосторожности позволяют это сделать другим.
Схема мошенничества №419 возрождается под именем «ФБР» (по данным компании Trend Micro). Компьютерные преступники придумали еще один способ привлечь внимание пользователей. На сей раз, они выдают себя за сотрудников Федерального бюро расследований (США) из Вашингтона и предпринимают попытки мошенничества через спам.
Как при любых других попытках мошенничества, в данной схеме отправитель сообщения электронной почты выдает себя за иное лицо. Отправитель утверждает, что он пишет из ФБР. В самом сообщении содержится информация о том, что его получателю положена выплата в размере $10,5 млн. Затем мошенник, выдающий себя за сотрудника ФБР, дает получателю сообщения инструкцию обратиться к начальнику «управления интернет-переводов» банка United Trust Bank London.
В сообщении указано, что упомянутый начальник — единственное лицо, принимающее решение о выплате этой многомиллионной суммы. Более того, в сообщении указано, что все получатели должны четко следовать инструкциям по оформлению заявки на выплату. Разумеется, в сообщении содержится ложная информация. Примечание в конце сообщения выглядит особо иронично и свидетельствует о том, что киберпреступники способны пойти на крайние меры в попытках добиться успеха.
В нем получателю рекомендуется остерегаться мошенников, которые могут попытаться связаться с ним. Чтобы не стать жертвой подобного мошенничества, необходимо всегда уделять внимание мельчайшим деталям в получаемых сообщениях. Одного пристального взгляда достаточно для того, чтобы отличить настоящее сообщение от подделки. Нужно всего лишь приглядеться.
Троян SASFIS пользуется новым трюком (по данным компании Trend Micro). В начале 2010 года дурную славу заслужила троянская программа SASFIS, рассылавшаяся в поддельных сообщениях электронной почты, якобы отправляемых с сайта Facebook. Заражение SASFIS влечет за собой установку огромного количества других вредоносных программ, потому что это семейство вредоносного ПО делает системы уязвимыми к атакам ботнетов, особенно ZeuS и BREDOLAB, и связано с различными вариантами поддельных антивирусов, как правило, с теми, что относятся к порнографическим сайтам. Инженерами TrendLabsSM был обнаружен новый вариант SASFIS, где используется метод right- to-left override (RLO), представляющий собой инвертирование Unicode текста, который раньше был популярен среди спамеров, но теперь стал применяться в качестве новой тактики социальной инженерии. Троянская программа SASFIS распространяется через спам в виде приложения .RAR с файлом .XLS внутри.
После извлечения файл .XLS выглядит как типичный документ MS Excel. На самом деле, он является экранной заставкой, которая идентифицируется как TROJ_SASFIS.HBC. Эта троянская программа активирует программу BKDR_SASFIS.AC, которая позволяет внедрять вредоносные ветви в нормальный процесс svchost.exe. Хотя файл и выглядит как документ Excel, в нем содержится двоичный заголовок Win32, который есть только у исполняемых файлов. Настоящее имя файла (за исключением китайских символов) выглядит так: phone&mail).[U+202e}slx.scr, где U+202e ? управляющий символ Unicode, который дает системе команду интерпретировать последующие символы справа налево. Таким образом, для пользователей имя файла будет выглядеть так: phone&mail).xls.scr. Это заставит их поверить, что это действительно файл Excel, и поэтому его «безопасно» открывать.Хотя в реальности это исполняемый файл .SCR.
Этот метод позволяет для тех же целей использовать и другие имена файлов, например BACKS[U+2020e]FWS.BAT и I-LOVE-YOU-XOX[U+2020e]TXT.EXE, которое маскируется под BACKSTAB.SWF и I-LOVE-YOU-XOXEXE.TXT. В первом случае пакетный файл маскируется под файл Adobe Flash; во втором случае ? исполняемый файл маскируется под текстовый файл. Для предотвращения этой атаки пользователи могут применять проверенные методы защиты: не открывать подозрительные сообщения электронной почты и не загружать приложения с исполняемыми файлами.
