Глава 7. Мошенничество, шантаж и вымогательство с применением IT-технологий
В наш век бурного развития IT-технологий невозможно представить, чтобы злоумышленники разных мастей оставили эту сферу без своего внимания. В частности, они могут не только воровать конфиденциальную информацию и даже "держать руку на пульсе" вашего предприятия, но и заниматься откровенным шантажом и вымогательством. В этой главе речь пойдет о том, какие опасности их деятельность может нести для бизнесменов и деловых людей.
Хакеры и основные объекты их "охоты"
Хакер в общепринятом понимании этого слова - это мошенник, осуществляющий противоправную и деструктивную деятельность в Интернете и сфере IT-технологий.
В настоящее время опытные хакеры обладают целым арсеналом "продвинутых" средств, которые позволяют им без проблем проникнуть в любой компьютер или корпоративную сеть. Например, иногда для того, чтобы заполучить в свой компьютер программу-шпиона, достаточно просто зайти на определенный сайт. Адрес этого сайта вы можете получить в спамерском электронном письме, причем ссылка вполне может сопровождаться заманчивым пояснением, вроде: "Лучшие девушки Рунета" или "Читай компромат на президента" и т. д. Кроме этого, программы-шпионы могут распространяться в виде вложений к почтовым сообщениям, да и вообще теми же способами, что и компьютерные вирусы.
Какие же сведения интересуют хакеров?
В большинстве случаев - никакие, поскольку они действуют по наводке определенных лиц (конкурентов, недоброжелателей и т. п.). А вот тех уже интересовать может очень и очень многое: реальные (а не те, которые подаются в налоговую инспекцию) отчетные данные, деловая переписка, сведения с онлайн-конференций и совещаний, коды доступа, логины и пароли и т. д. Кстати, пин-кодами, логинами, паролями и иными подобными сведениями могут интересоваться и сами хакеры - например, с целью мошенничества.
Не стоит забывать и о таком явлении, как хакерские атаки, в результате которых, например, может "упасть" корпоративный сайт, прекратить работу корпоративный почтовый сервер, полностью оборваться выход в Интернет и т. д. Конечно, через некоторое время работоспособность поврежденных ресурсов будет восстановлена, но это потребует немало усилий, времени и средств.
Некоторые методы и приемы, используемые хакерами
Распространенный хакерский прием - это Denial of Service, по-русски - "Отказ от обслуживания". Он реализуется с помощью хакерской атаки и приводит к выводу из строя операционной системы либо отдельных приложений. Достигается это за счет того, что хакер хитрым способом формирует особый запрос к тому или иному приложению, в результате чего оно перестает работать. Обычно для возврата приложения в рабочее состояние приходится перезагружать компьютер.
С целью блокировки электронной почты могут организовываться так называемые "почтовые бомбежки" (Mail Bombing). Сущность приема заключается в следующем: на компьютер, имеющий почтовый сервер, посылается огромное количество почтовых сообщений, в результате чего тот просто "виснет" и выходит из строя. Если эти письма будут содержать вложения, то при их проверке может "зависнуть" и антивирусное программное обеспечение. Иногда письма присылаются в таком немыслимом количестве, что переполняют жесткий диск компьютера и полностью блокируют его работу.
Для защиты от "почтовых бомбежек" в большинстве случаев достаточно выполнить грамотную настройку почтового сервера.
Довольно эффективным хакерским методом является сниффинг (прослушивание сети). Если в корпоративной локальной сети вместо коммутаторов установлены концентраторы, то полученные пакеты доставляются всем машинам в сети, а уже каждый компьютер самостоятельно определяет, к нему или нет относится данный пакет. Если хакер сумеет проникнуть в компьютер, который является участником такой сети, или получит доступ непосредственно к корпоративной сети, то ему будет доступна абсолютна вся имеющаяся в сети информация (включая совсем уж секретные данные вроде логинов, паролей и т. п.). В данном случае дальнейшие действия злоумышленника предельно просты: он с помощью сетевой карты, настроенной на режим прослушивания, будет легко принимать все пакеты, кому бы они ни адресовались.
Для защиты от подобного проникновения рекомендуется вместо концентраторов использовать коммутаторы, а также шифровать весь трафик.
Если никаким программным методом у злоумышленника не получается проникнуть в компьютер либо корпоративную сеть, то он может сделать это физически. Например, характерной особенностью клавиатурных шпионов (кейлоггеров - подробнее о них речь пойдет ниже) является то, что они могут выступать не только в виде внедренного в компьютер вредоносного программного обеспечения, но и в виде отдельных устройств. Такие устройства обычно устанавливаются между клавиатурой и системным блоком и, поскольку имеют весьма небольшие размеры, могут долго оставаться незамеченными. Однако чтобы установить такое устройство, необходим доступ к компьютеру в отсутствие пользователя. Чтобы своевременно обнаружить такой "сюрприз", рекомендуется почаще обращать внимание на то, не появилось ли новое устройство между клавиатурой и системным блоком.
Еще один вариант - это так называемый "ip-хайджек". В данном случае хакер просто физически внедряет устройство в сетевой кабель, выступая как бы в виде посредника при передаче пакетов. Это позволяет ему овладевать всей передаваемой информацией. Правда, это не самый лучший прием ввиду относительно легкого обнаружения.
Для защиты от подобного "врезания" необходимо постоянно отслеживать состояние сетевых кабелей, а еще лучше - использовать специально предназначенные защитные кабельные короба. Ну и, конечно, обязательно нужно шифровать весь трафик.
Часто для достижения своих целей хакеры используют метод "ложного DNS-сервера" - правда, его применение возможно только в том случае, если сетевые настройки установлены в автоматический режим. В таком случае при подключении компьютера к сети он выдает запрос (иначе говоря - отправляет широковещательный пакет) относительно того, кто будет являться его DNS-сервером, к которому в последующем будут отправляться DNS-запросы. Если злоумышленник имеет физический доступ к сети, то он вполне может перехватить подобный широковещательный запрос и ответить, что именно его компьютер будет являться DNS-сервером.
Это один из наиболее опасных хакерских приемов, поскольку он позволяет манипулировать захваченным компьютером, как марионеткой. Например, если пользователь захочет зайти на сайт банка и осуществить перечисление куда-либо денежных средств, то мошенник вполне может отправить его на свой компьютер и предоставить для заполнения фальшивую банковскую форму ввода учетных данных (например, логина и пароля). В конечном итоге эти учетные записи будут в распоряжении злоумышленника.
Для защиты от подобного мошенничества рекомендуется максимально ограничить возможности физического доступа к корпоративной сети посторонних лиц.
Использование мошенниками шпионского ПО
Для реализации своих преступных замыслов мошенники активно используют специальное программное обеспечение - так называемые программы-шпионы (SpyWare). Далее речь пойдет о том, что они собой представляют, какие виды SpyWare наиболее распространены и чего следует опасаться в первую очередь.
Общие сведения о шпионских программах - SpyWare
В настоящее время существует несколько видов шпионского ПО. Например, у многих злоумышленников пользуются популярностью сканеры жесткого диска. Этот шпион тщательно изучает все содержимое жесткого диска вашего компьютера (какие программы установлены, какие файлы и папки хранятся, и др.) и отсылает собранные сведения своему хозяину. Таким образом, злоумышленник получает сведения о том, где хранятся файлы ключей WebMoney, в каком каталоге установлен WebMoney Keeper, а также прочие секретные сведения.
Информацию о том, чем вы занимаетесь на компьютере, может собирать экранный шпион. Сущность его состоит в том, что он периодически через определенные промежутки времени (которые заданы злоумышленником) делает снимки экрана (на компьютерном сленге - скриншоты) и отсылает их хозяину. Подобные сведения могут представлять интерес, например, для шантажистов и вымогателей.
Также немалой популярностью у злоумышленников пользуются так называемые "прокси-шпионы". После того как такой SpyWare проникает в компьютер, этот компьютер будет выполнять роль прокси-сервера. На практике это означает, что злоумышленник при работе в Интернете сможет прикрываться именем (точнее - IP-адресом) ничего не подозревающего пользователя, и если его действия будут носить деструктивный или противозаконный характер - отвечать придется безвинному человеку. В частности, это может обернуться не только внушительными штрафами, но даже привлечением к уголовной ответственности.
Еще один популярный у злоумышленников вид SpyWare - это почтовые шпионы. Их главная задача - сбор сведений об адресах электронной почты, хранящихся в данном компьютере, и отсылка этой информации хозяину. Сведения собираются обычно в почтовых программах и адресных книгах, а также органайзерах. Такая информация имеет высокую ценность для тех, кто занимается рассылкой спама. Кроме этого, почтовые шпионы могут вести откровенно деструктивную деятельность: редактировать содержимое писем, менять пароль доступа и т. д., а это уже широкое поле деятельности для шантажистов и вымогателей.
Для борьбы со шпионским программным обеспечением предназначены специальные программные средства - защитные утилиты и программы категории AntiSpyWare.
Есть еще один опасный тип шпионских программ - клавиатурные шпионы, или кейлоггеры. О них речь пойдет в следующем разделе.
Чем опасны клавиатурные шпионы?
Клавиатурный шпион - это программа либо устройство, с помощью которого осуществляется постоянное наблюдение за всеми нажатиями клавиш на клавиатуре (а во многих случаях - и за всеми щелчками мыши) с целью получения информации обо всех набираемых пользователем текстах. Зачем это нужно? Ответ на данный вопрос у каждого злоумышленника свой: одному нужно перехватывать чужие почтовые сообщения, другому - получить номера кредитных карт, третьему - взломать пароли, четвертому - украсть у разработчика исходные тексты еще не вышедшей программы, а пятому - все вместе взятое и еще что-нибудь.
Важно!
С помощью клавиатурного шпиона злоумышленник может в кратчайшие сроки опустошить все кредитные карты и электронные кошельки жертвы.
Характерной особенностью клавиатурных шпионов является то, что они могут выступать не только в виде внедренного в компьютер вредоносного программного обеспечения, но и в виде отдельных устройств. Такие устройства обычно устанавливаются между клавиатурой и системным блоком, и, поскольку имеют весьма небольшие размеры, могут долго оставаться незамеченными. Однако, чтобы установить такое устройство, необходим доступ к компьютеру в отсутствие пользователя. Поэтому на домашних компьютерах такой вид клавиатурных шпионов встречается редко, чаще - на офисных и рабочих, а также на компьютерах "общественного пользования": в студенческих аудиториях, на почте, в интернет-клубах и др. Чтобы своевременно обнаружить такой "сюрприз", рекомендуется почаще обращать внимание на то, не появилось ли новое устройство между клавиатурой и системным блоком.
Достаточно широко распространены в настоящее время так называемые перехватывающие клавиатурные шпионы. Такие шпионы в большинстве случаев представляют собой программу, состоящую из исполняемого файла с расширением ехе, и dll-библиотеки, с помощью которой осуществляется управление процессами записи информации. Перехватывающий клавиатурный шпион без проблем запоминает практически любой набранный текст: документы, письма, исходные коды программ (данная возможность нередко используется для кражи исходников еще не вышедших программ), номера кредитных карт, пароли (в том числе и самозаполняющиеся) и т. д.
Клавиатурный шпион (имеется в виду программа, а не устройство) может проникнуть в компьютер разными способами: например, как и любой другой шпионский модуль - в составе какой-либо устанавливаемой на компьютер бесплатной программы (как правило - от неизвестного либо сомнительного разработчика), либо через программу обмена сообщениями, и т. д. В последнее время нередки случаи, когда для "получения" в свой компьютер клавиатурного шпиона достаточно было просто зайти на определенный сайт.
Стопроцентной защиты от клавиатурных шпионов, как и от других вредоносных программ, в настоящее время не существует - ведь известно, что на каждое противоядие можно найти новый яд. Однако при соблюдении мер предосторожности можно свести к минимуму вероятность их появления на компьютере.
Как самостоятельно распознать наличие в компьютере программ-шпионов
Отличительной чертой SpyWare является то, что их трудно распознать с помощью штатных антивирусных программ. Для борьбы с ними предназначены специальные утилиты, которые можно скачать в Интернете. Но помните: многие шпионские программы маскируются именно под утилиты для борьбы с ними. В результате, установив на свой компьютер утилиту для борьбы со SpyWare, можно вместо нее заполучить сам шпионский модуль. Поэтому рекомендуется либо использовать утилиты известных разработчиков, либо воспользоваться рекомендациями других пользователей, уже столкнувшихся с подобной проблемой ранее.
Характерные признаки наличия в компьютере SpyWare
В некоторых случаях пользователь может самостоятельно, без применения специальных программ категории AntiSpyWare распознать присутствие в компьютере шпионского ПО. Вот его характерные признаки:
□ при запуске браузера по умолчанию начинает открываться совершенно незнакомая веб-страница (а не пустая страница или не та, что была ранее определена пользователем как домашняя);
□ значительно увеличивается исходящий трафик;
□ наблюдаются сбои в работе операционной системы;
□ появление неоправданно высоких счетов за телефонную связь (наверняка в компьютер проник шпионский модуль автоматического дозвона);
□ в браузере появились незнакомые элементы управления (кнопка, пункт контекстного меню, инструментальная панель и т. п.);
□ появились незнакомые элементы в списке Избранное, причем удаление их невозможно;
□ в окне Диспетчер задач на вкладке Процессы видно, что какой-то новый процесс использует ресурсы компьютера почти полностью;
□ на экране монитора периодически произвольно появляются рекламные окна, причем даже при отсутствии действующего подключения к Интернету;
□ на рабочем столе появляются незнакомые иконки либо значки, при активизации которых осуществляется автоматический переход на незнакомую веб-страницу.
Кроме этого, для обнаружения SpyWare можно провести небольшую "ревизию" содержимого компьютера. В частности, следует проверить содержимое папки Program Files, каталога автозагрузки, а также раздела Установка и удаление программ в Панели управления. Некоторые шпионские программы помещают свой значок в правую часть панели задач (рядом с часами), поэтому при возникновении подозрений нужно посмотреть - не появился ли в панели задач неизвестный значок? Также нужно проверить содержимое подменю Пуск - Все программы - некоторые шпионские модули могут проявиться здесь. В браузере следует проверить страницу, открываемую по умолчанию, а также папку Избранное.
Краткий обзор антишпионских программ
Одним из эффективных антишпионских средств по праву считается программа SpyWareBlaster, разработчиком которой является фирма JavaCoolSoftWare. Она предназначена для использования в операционных системах Windows любой версии, начиная с Windows 95.
Программа отличается эргономичным и в то же время простым и интуитивно понятным пользовательским интерфейсом, в котором большинство параметров настраиваются путем установки/снятия соответствующих флажков либо переключателей. Среди всего многообразия параметров работы программы особо следует отметить возможность блокировки настроек домашней страницы (в результате чего уже ни один шпионский модуль не сможет изменить, например, адрес страницы, загружаемой по умолчанию).
Также в программе реализована возможность создания "отката" для настроек интернет-обозревателя - достаточно зафиксировать текущие настройки браузера (причем можно сохранить несколько различных конфигураций настроек) и при необходимости вернуться к ним в любой момент (обычно - при возникновении подозрений, что в настройки интернет-обозревателя без участия пользователя были внесены нежелательные изменения).
Кроме упомянутых выше, программа SpyWareBlaster имеет ряд других интересных возможностей.
Еще одна полезная утилита для борьбы со шпионскими модулями - программа AVZ, которая распространяется бесплатно. Многие пользователи считают ее одной из лучших программ для поиска и удаления не только программ-шпионов, но и рекламных модулей. Кстати, помимо борьбы со шпионскими и рекламными модулями, эта программа успешно борется и с некоторыми вирусами. В определенном смысле она является аналогом знаменитой Ad-Aware.
Русскоязычный интерфейс программы удобен и понятен пользователю. Предварительная настройка AVZ проста, причем во многих случаях параметры, предложенные по умолчанию, являются оптимальными. Для каждого типа вредоносного объекта, который был обнаружен в процессе сканирования (вирус, программа-шпион и др.), можно указать, каким образом с ним поступить: удалять, выдать только отчет и др. Кроме этого, можно настроить сканирование на выборочный поиск вредоносных программ - например, искать и удалять только шпионские модули, а все остальное игнорировать.
В программе автоматически ведется протоколирование процесса сканирования. Полученный протокол при необходимости можно сохранить в отдельном файле для последующего изучения.
Для борьбы с клавиатурными шпионами можно использовать программы, предназначенные для борьбы и с другими SpyWare (две из них рассмотрены выше), а также специализированные программы, которые называются "анти-кейлоггеры". Одной из таких программ является Anti-keylogger, которую разработали российские специалисты.
К ее достоинствам можно отнести многоязычность (поддерживает, в том числе, и русский язык), а также удобство в эксплуатации. Программа обладает простым и дружественным интерфейсом. В разделе Опции предусмотрена возможность настройки параметров работы программы. Кроме этого, в разделе Лист исключений реализована возможность ведения списка исключений, куда можно включать программы, которые не должны распознаваться как клавиатурные шпионы.