Сегодня 26.01.2009 в районе 15:00 по Московскому времени,многие пользователи не смогли зайти на наш сайт.В ответ на вызов ссылки нашего сайта многие увидели такой аллерт
Мошенничество, схема которого включает требование предоплаты за некие услуги (Advanced Fee Fraud), которые на самом деле предоставлены не будут. Основные виды такого мошенничества — нигерийские письма и сообщения о выигрыше в лотерею, в которых получателю обещают крупную сумму денег, если он оплатит некие предварительные расходы.
Метод обхода спам-фильтров при котором контактная информация спамеров ставится под фразами такого рода: "Ваше письмо не было доставлено, для уточнения подробностей пройдите по этой ссылке". Пользователи, поддавшиеся на эту уловку, попадают на сайты заказчиков этой спам-рекламы или страницы с вредоносными объектами.
Схема продаж по принципу финансовой пирамиды. Человек, продающий некие товары, получает деньги в основном за счет привлечения новых дистрибьютеров, которых вынуждают при поступлении «на работу» покупать продукт. Нередко рекламируется в спаме как способ легкого заработка. На деле большинство участников MLM-схем оказывается в убытке. Как и другие финансовые пирамиды, такая схема приносит существенную прибыль только ее создателям.
Компьютерное преступление, мошенничество, основанное на принципах социального инжиниринга. Злоумышленником создается практически точная копия сайта выбранного банка. Затем, при помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от выбранного банка. Используются логотипы банка, имена и фамилии реальных руководителей банка.
В таком письме, как правило, сообщается о том, что из-за смены программного обеспечения в системе интернет-банкинга пользователю необходимо подтвердить или изменить свои учетные данные. В качестве причины для изменения данных могут быть названы выход из строя ПО банка или же нападение хакеров.
Во всех случаях цель таких писем одна - заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте банка.
В некоторых случаях злоумышленники размещают на подобных сайтах различные эксплойты уязвимостей MS Internet Explorer для побочной установки на компьютер пользователей каких-либо троянских программ.
Появление в конце 2003 года экплойта привело к появлению новой разновидности фишинга, получившего название "спуфинг" (spoofing).
В случае использования данной уязвимости атакуемый пользователь визуально может наблюдать настоящий адрес банковского сайта в адресной строке браузера, но находиться сам при этом будет на сайте поддельном.
Существует международная антифишинговая группа, ведущая статистику по фишинг-преступлениям. С ее архивом зафиксированных фишинг-рассылок можно ознакомиться по адресу: .
(англ. Chain Letters) письма, которые провоцируют получателя переслать послание своим знакомым. Чтобы заставить получателя переслать письмо как можно большему количеству людей, авторы пользуются различными методами. Они могут играть на суеверии ("нельзя, чтобы цепь писем оборвалась"), жалости ("помогите найти родственников... хотя бы перешлите это письмо всем знакомым"), страхе ("предупреди всех о надвигающейся катастрофе"). Поскольку такие послания пересылаются на действующие адреса и последние чаще всего остаются в письме, то цепочечные письма могут быть использованы спамерами для сбора активных адресов электронной почты.
Согласно результатам совместного о корпоративных рисках, сопряженных с использованием Интернета, организациям надлежит прежде всего уделять внимание латанию дыр в клиентском ПО и веб-приложениях.
В проведении исследования приняли участие специалисты Центра по сетевым угрозам (Internet Storm Center, ISC) института SANS, а также эксперты компаний-поставщиков решений в области сетевой безопасности — TippingPoint и Qualys. За основу были взяты данные о кибератаках за март-август и непропатченных уязвимостях, обнаруженных при обследовании 9 млн. компьютерных систем.
Оказалось, что в настоящее время главным объектом эксплуатации являются уязвимости в приложениях на стороне клиента, таких как Adobe PDF Reader, QuickTime, Adobe Flash и Microsoft Office. Во многих случаях целью злоумышленников является кража данных или инсталляция бэкдора.
Ситуацию усугубляют сами держатели корпоративных сетей, подчас не имеющие информации об истинном положении дел. По итогам исследования, патчи для операционных систем устанавливаются вдвое быстрее, чем «заплатки» для приложений. Однако за последние полгода, кроме Kido, другой массовой угрозы для ОС обнаружено не было, хотя в 90% атак, реализованных через брешь в Windows, злоумышленники использовали переполнение буфера (MS098-067) — излюбленную лазейку этого сетевого червя.
Свыше 60% попыток проникновения, зафиксированных в отчетный период, были ориентированы на эксплуатацию уязвимостей в веб-приложениях. В более чем 80% таких атак злоумышленники в качестве инструмента использовали SQL-инъекции или искали ошибки в механизме XSS. Исследователи отмечают, что, несмотря на широкое освещение случаев массового взлома и обилие информации об этих уязвимостях, большинство владельцев веб-сайтов плохо проверяют свои ресурсы на надежность, подвергая опасности их посетителей.
Что касается «уязвимостей нулевого дня», некоторые из них остаются непропатченными в течение двух лет. Этот результат обусловлен общей нехваткой квалифицированных кадров, работающих над выявлением узких мест в программном обеспечении.
В отчет также включены описания техники проведения кибератак, последствия которых могут нанести серьезный ущерб ресурсам и той критически важной информации, которая создается, обрабатывается, пересылается и хранится в корпоративных сетях.
Группа по стандартизации интернет-технологий (Internet Engineering Task Force, IETF) представила к обсуждению по детектированию и нейтрализации бот-агентов в сети.
Документ сформулирован как практическое руководство для интернет-провайдеров и прочих сервисных организаций. В нем оговорена методика, процедуры и средства обнаружения зараженных узлов, уведомления владельцев соответствующих ресурсов и взаимодействия с ними для избавления от потенциальной угрозы. Поскольку наработки в этой области обобщены в рамках технического стандарта, вопросы финансирования и применения санкций к беспечным обитателям Сети здесь не рассматриваются.
В большинстве случаев успешное удаление ботов с зараженного устройства требует специальных инструментов, умений и навыков, которыми не обладает рядовой пользователь. Кроме того, наличие в домашней сети мультимедийных и бытовых интеллектуальных устройств, оснащенных специфическими интерфейсами, может затруднить локализацию источника инфекции.
Тем не менее, рачительный держатель веб-сервиса, вооружившись современными методиками, в состоянии ограничить распространение инфекции в своих сетях и, не нарушая конфиденциальности конечных пользователей, обеспечить эффективное противостояние растущей армии ботнетов.
Операторы ботнетов, стремясь скрыть служебный трафик от обнаружения, направляют его по легитимным веб-каналам. Их последним нововведением является использование возможностей, предоставляемых социальными сервисами — Twitter и Google Groups.
В середине августа эксперты Arbor Networks в микроблогах Twitter несколько аккаунтов, с которых осуществлялось управление резидентными даунлоудерами. Бот-агент получал зашифрованные команды в виде статусных сообщений, передаваемых по RSS-каналу. В них указывались ссылки на файл, подлежащий загрузке, — программу, ворующую пароли клиентов бразильских банков. Когда профили, задействованные для управления ботнетом, заблокировали, аналогичная система управления всплыла на Jaiku.com.
Спустя месяц антивирусная база Symantec пополнилась программой-бэкдором, которой было присвоено наименование . Этот ничем не примечательный троянец, используя Gmail-аккаунт, регистрируется на Google Groups и запрашивает определенную страницу в одной из тематических конференций, escape2sun. Как , страница содержит зашифрованные команды, выполнив которые, бот-агент публикует отчет в конференции, также предопределенным шифром.
Таким образом, оператор ботнета получил возможность анонимно контролировать зараженные ресурсы, не раскошеливаясь на командный сервер и его защиту. Однако, по словам экспертов, применяемая злоумышленниками методика управления небезупречна. Ведение троянцем отчетности через постинги позволяет следить за его активностью, наблюдать распространение инфекции и определить цели, преследуемые его повелителем.
По данным Symantec, Trojan.Grups был запущен в ноябре прошлого года. Поскольку общение в escape2sun ведется на упрощенном китайском языке, а в командах присутствуют ссылки на домены в зоне .tw, велика вероятность, что его владельцы живут на Тайване. Судя по низкой активности, небольшому количеству заражений и скромным срокам присутствия на зараженной машине, троянец предназначен для проведения точечных атак с целью промышленного шпионажа. Некоторые особенности исходного кода свидетельствуют о том, что это экспериментальная версия, призванная проверить эффективность нового способа управления.
