17 October, 2008, Москва — Business Communications Agency | 1822
Интернет
ИТ: софт
Версия для печати | Отправить @mail | Метки
Сара Калонан, специалист по анализу мошенничества
Рекламодатели, будьте осторожны! Исследователи Trend Micro недавно обнаружили случаи фишинга, направленного на пользователей Yahoo! Search Marketing. Поддельные письма, запрашивающие данные учетной записи якобы с целью ее обновления, рассылаются пользователям.
Yahoo! Search Marketing - это рекламная служба, которая занимается продажей рекламного пространства на сайте Yahoo! По данным информационной компании Alexa, компания Yahoo! занимает первое место по популярности в мире, чем объясняется интерес рекламодателей к этому сайту.
Ничего не подозревающие рекламодатели могут принять эти письма за настоящие и указать свои учетные данные для авторизации на поддельной странице и дать мошенникам доступ к своей учетной записи. Это может привести к несанкционированному доступу к учетной записи Yahoo! Search Marketing и изменению учетных данных для перенаправления доходов в пользу мошенников. Злоумышленники также могут использовать учетную запись для таких мошеннических операций, как оптимизация поисковой машины (SEO manipulation) и перенаправление баннерных ссылок (malvertising) - техники распространения вредоносных программ, которые появились совсем недавно.
Ссылки и вредоносные сообщения теперь блокируются системой Smart Protection Network компании Trend Micro. Пользователям рекомендуется игнорировать все подозрительные сообщения, попадающие в почтовый ящик. Кроме того, рекомендуется указывать учетные данные только при непосредственном подключении к сайту, а не переходя по ссылке.
Родерик Ордоньес (Technical Communications)
После подделки сайтов, подделки антивирусных программ, подделки журналов в Интернете и подделки форумов спамеры занялись подделкой новостей.
Аналитик по угрозам Хуан Пабло Кастро сообщил о поддельном письме, в котором сообщается о начале третьей мировой войны.
Перевод письма. Важно! Начинается Третья мировая война. Русские использовали ядерное оружие против Грузии. Пентагон сообщает: с русской субмарины, находящейся в Черном море, на Тбилиси была сброшена бомба весом 17 мегатонн в тратиловом эквиваленте (что приравнивается к 27 бомбам, которые были использованы в Херосиме). Согласно предварительным данным, Тбилиси и его окресности в радиусе 20 км были стерты с лица земли. Говоря от лица всей Америки, Джордж Буш сделал официальное заявление о том, что Соединенные Штаты и все члены НАТО готовы провести ответную операцию против России и против использования ядерного оружия (далее предлагается перейти по ссылке, ведущей к полному тексту послания Джорджа Буша).
Ссылка в письме указывала на страницу, очень похожую внешне на страницу сайта CNN, с видеороликом. Пользователям, желавшим просмотреть этот ролик, предлагалось установить элемент ActiveX:
Напоминаем, что настоящий адрес сайта CNN - http://www.cnn.com.
Элемент ActiveX на самом деле оказался вредоносной программой, которую специалисты Trend Micro классифицировали как TSPY_BANCOS.JN. Как и другие разновидности BANCOS, она крадет сведения, просматриваемые в браузере атакованной системы. Программа ждет, когда пользователь зайдет на сайт с банковской системой, затем создает фальшивую страницу для ввода данных учетной записи и крадет эти данные.
Распространение шпионских программ с помощью запроса на установку элементов ActiveX стало очень популярным, поскольку пользователи верят, что устанавливают что-то полезное.
Идея использования сенсационных заголовков совсем не нова, и злоумышленники постоянно придумывают новые завлекающие темы электронных писем. Хотя система Trend Micro Smart Protection Network блокирует ссылки на мошеннические сайты, нежелательные сообщения и письма с вредоносными программами, пользователям все же рекомендуется выполнять следующие действия при получении нежелательной почты: ни в коем случае на нее не отвечать, не переходить по указанным в ней ссылкам и быть бдительными.
Есть ли финансовый кризис, нет ли финансового кризиса - банки остаются целью атак с использованием приемов социальной инженерии. Однако из-за того, что финансовый кризис занимает мысли многих людей, пользователи легко попадаются на ловушки, связанные с банками.
Совсем недавно лаборатория TrendLabs сообщила о схеме, связанной с Wachovia - четвертой по размеру сетью банков в США. Был применен практически такой же трюк, но на сей раз в качестве наживки оказалась компания Merrill Lynch. Крупная сделка с Bank of America получила широкую огласку в средствах массовой информации.Перевод письма. Вниманию клиентов Merrill Lynch! Merrill Lynch усовершенствовал систему безопасности авторизации. Мы усовершенствовали безопасность доступа к Merrill Lynch Business Center, чтобы в дальнейшем защитить доступ к информации о Вашем счете. Перейдите по указанной ниже ссылке и, следуя указаниям, ответьте на 5 персональных вопросов. В будущем, ответы на эти вопросы могут быть использованы для подтверждения личности при входе в Business Center. С уважением, Merrill Lynch Corporation, 2008.
Ввиду финансового кризиса, вероятно, следовало бы ожидать повышения бдительности и усиления мер безопасности, однако эта схема сработала очень эффективно.
Специалист по исследованиям угроз из интернета компании Trend Micro Айвин Макалинтал отмечает популярность длинных, похожих на настоящие, адресов в гиперссылках фальшивых сообщений. «[Мы] не встречали такого до недавнего времени. На первый взгляд письма выглядят вполне правдоподобно, но в итоге это оказывается не так», говорит Айвин.
Щелчок по ссылке приводит к загрузке вредоносной программы, классифицированной как BKDR_AGENT.AWAF. Она изменяет защиту системы таким образом, что удаленный пользователь получает возможность запускать программы, которые могут причинить вред системе. При этом также устанавливается программа TROJ_ROOTKIT.FX , позволяющая осуществлять несанкционированный доступ к файлам для маскировки внедрившихся в память компьютера вредоносных программ и процессов. Шпионская программа TROJ_ROOTKIT.FX стала известной после того, как ее обнаружили в недавних фальшивых сообщениях Wachovia, и вполне вероятно, что это дело одного и того же автора.
По мере приближения выборов президента США мошенники все чаще выплывают на волне популярности кандидатов. Недавно группа обеспечения безопасности информационных материалов Trend Micro выловила электронное сообщение, которое предлагало принять участие в опросе кандидата Демократической партии в обмен на автозаправочную карту стоимостью 500 долларов:
При нажатии на кнопку для начала опроса открывалась следующая страница, никоим образом не связанная с опросом.
Эта страница использует совершенно безвредный домен smileycentral.com и предлагает установить панель поиска Webfetti. Эта панель якобы позволяет создавать персональное оформление сайтов. При нажатии кнопки Always Free (Всегда бесплатно) появляется сообщение с предложением установить программу под видом элемента ActiveX:
Trend Micro классифицирует эту программу как ADW_MYWEBSEARCH. Она показывает нежелательную рекламу и запускается автоматически при загрузке системы. Ее возможностями могут также воспользоваться и другие программы, способные нанести вред.
Инфраструктура Trend Micro Smart Protection Network уже обеспечивает защиту от шпионских писем и программы ADW_MYWEBSEARCH. Trend Micro постоянно предупреждает пользователей об опасности нежелательных сообщений в почтовом ящике. Слишком заманчивые предложения - бесплатный сыр в мышеловке.
В популярных почтовых клиентах, таких как Microsoft Outlook, запрашивается разрешение на отправку уведомления о прочтении, а большинство платформ с веб-интерфейсом такое уведомление отправляет автоматически, если оно запрашивалось.
На сайте Microsoft приведены инструкции по активации и применению этой функции в различных версиях программы Outlook.
С помощью этой функции злоумышленники могут рассылать письма на огромное количество адресов, а затем легко отбирать проверенные адреса - с них приходят уведомления, отправленные либо вручную, либо автоматически. Так, вследствие простого уведомления о доставке адресат попадает в список будущих жертв.
Уведомление о доставке идеально подходит людям, которым необходимо точно знать, что их сообщение получено. К сожалению, эта функция, как и многие другие хорошие идеи, может служить и плохим целям.
Еще один пример с использованием полезной фунции в неблагих намерениях - несколько дней назад Фергюсон сообщил об обнаружении фальшивого письма с уведомлением, но на этот раз - о невозможности доставки.
Уведомление о невозможности доставки - в противоположность уведомлению о доставке - отправляется отправителю письма с сообщением о том, что письмо не получено адресатом вследствие различных причин.
К сообщению прикреплен зашифрованный файл, в котором должно быть недоставленное письмо.
Поскольку защита паролем не позволяет антивирусным программам сканировать прикрепленные файлы, файл упаковывается в зашифрованный архив .ZIP. Защищенный паролем архив .ZIP квалифицирован как TROJ_DLOADZIP.A, а извлеченный из него файл - TROJ_DLOADR.IB.
Пользователи Trend Micro уже защищены от этой программы системой Smart Protection Network. Однако, в связи с тем, что все больше форм электронных сообщений используется для шпионских атак, настоятельно рекомендуется соблюдать осторожность при получении неожиданных сообщений, как бы безобидно они не выглядели.
Хотите разместить свой пресс-релиз на этом сайте? Узнать детали