| Безопасность в Интернете | |||||||
| Составил: | Александр Сорокин | ||||||
| Версия от | Январь 2005 | ||||||
| Тип Атаки: | Phishing | AdWare/Spyware | Почтовые вирусы (черви) | Макровирусы | Eavesdropping | Взломы | |
| Относительная степень опасности (max=1) | 1 | 2 | 3 | 4 | 5 | 6 | |
| Караткое описание | Вынуждение пользователя выдать конфиденциальную информации путем ввода в заблуждение | Установка через Интернет на компьютере без согласия владельца программ разной степени вредононости, использование этих программ против интересов владельца | Установка на компьютере без согласия пользователя программ, которые сами себя рассылают по электронной почте | Распространение вредоносных программ в составе файлов офсиных приложений (MS Word, Excel, PowerPoint, CorelDraw) | Перехват сообщений (e-mail, instant messages и пр.), содержащих конфиденциальную информацию | Несанкционированное проникновение на компьютер через сетевой интерфейс | |
| Частота атак на мои комьютеры | 1-4 в день | Сказать трудно, но таких сайтов много | Сейчас до 10 в день, во время эпидемий – сотни в час | Несколько в год | Невозможно оценить | Сотни в день | |
| Признаки попытки атаки | E-mailы, которые выглядят как посланные от банка, провайдера и пр., однако содержащие ссылки на поддельные сайты | Обычно момент атаки проследить невозможнор, есть вариант атаки когда у пользователя прямо спрашивается разрешение на установку ПО на его компьютере в надежде, что он не поймет что это атака | E-mailы с предложением запустить какую-то программу, посмотреть картинку и т.п., E-malы могут приходить как от ваших знакомых, так и от неизвестных вам людей | Обычно атаки нераспознаваемы | Нераспознаваема | Получение нежданных пакетов на сетевой интерфейс | |
| Механизм атаки | По большому списку адресов рассылаются е-мейлы которые выглядят как посланны банком, провайдером, страховой компание, магазином и т.п. В е-мейле содержится URL, который на первый взгляд указывает на сайт отправителя. Однако на самом деле URL указывает на поддельный сайт. Обычно такой поддельный сайт содержит форму для ввода паролей, номеров счетов, кредитных карт и т.п. якобы для “уточнения”. При вводе такой информации на поддельном сайте она оказывается в руках атакующих, которые могут ее криминально использовать (например, для перевода денег со счета, покупок по кредиткам и т.п.). | Сайт, на который зашел пользователь содержит особым образом сформатированный URL. Такие URL обычно используят бреши в Internet Explorer для незаметной установки каких-то программ на компьютере жертвы. Такие программы могут делать на компьютере жертвы все, что угодно. Примеры: сбор информации о сайтах, посещаемых пользователем; открывание окон с рекламой; сбор информации вводимой с клавиатуры (в т.ч. паролей); превращени компьютера в релей для рассылки спама или атак на другие компьютеры. | Программа, запущенная из e-mail, устанавливается на компьютере без ведома пользователя. Затем она рассылает себя по адресам из адресной книги. | Зараженный офисный документ содержит в своем теле программу, которая при открытие этого документа записывается в темплату (.dot фаилы в случае MS Word). Из зараженной темплаты программа включает себя в другие открываемые документы. | Прослушивание каналов связи, анализ содержание жестских дисков компьютера. Вариант атаки – изменеие содержания сообщений в интересах атакующего. | Взломщик посылает пакеты хосту в надежде установиить над ним контроль. Жертвами становятся неправильно сконфигурированные или непатченные компьютеры. Получив контроль на компьютером взломщик может устанавливать на нем свое ПО, атакавать с него другие компьютере, рассылать спам и т.д. | |
| Частота успешных атак | Я не попадался, но судя по сообщениям печати весьма высокая | Все мои знакомые, использующие Internet Explorer попадались хотябы раз за последние два года | Все мои знакомые на это попадались, однако последнее время частота эпидемийй упала | Заметно упла в последние годаы, раньше была очень серьозной проблемой | Я знаю пол-десятка человек, ставших жертвами этого вида атак | В основном страдают серверы. По знакомым я наблюдаю успешный взлом раз в несколько месяцев. | |
| Признаки успешной атаки (одно из или все сразу) | 1. Исчезновение денег со счета в банке или с кредитки | 1. Часто внешних принаков нет | 1. Вам приходят e-malы с ответами на сообщение, которых вы не посылали | Странное поведение оффисного ПО, в т.ч. Медленный запуск и открывание файлов | Главный принак – вы понимаете, что кто-то, кто не должен владеть некоей информацией, ей завладел. | 1. Что-то странное творится с компьютером | |
| 2. Невозможность зайти на сайт банка, провйдера по имеющемуся паролю т.к. Атакующий его поменял | 2. Неожиданной появление окон с рекламой, часто взрослого содержания | 2. Рост необ”яснимого траффика | 2. Рост необ”яснимого траффика | ||||
| 3. Неожиданный рост траффика непонятного происхождения | |||||||
| Способы защиты | 1. Всегда вводить URL банка или провайдера руками | 1. Никогда не устанавливать на компьютере никакого ПО если на 100% не известно что это такое, особенно ПО закачанного с Интернета | 1. Никогда не запускать файлы, присланные по e-mail | 1. Не открывать документы, присланные по e-mail от неизвестных отправителей | 1 Использовать системы шифрования и электронной подписи при пересылке информации по открытым кналам | 1. Всегда запускать firewall, открывать только самые небходимые порты | |
| 2. Не использовать Internet Explorer т.к. Его многие версии содержат ошибки, позволяющие атакующему изменить содержимое URL в название страницы по сравнению с на самом деле открытой страницей | 2. Не использовать Intenet Explorer т.к. В нем много брешей, подбных атак на другие браузеры пока не известно | 2. Не использовать Outlook и Outlook Express т.к. Почтовые черви используют их бреши, подобных атак на другие почтовые программы пока не известно | 2. Избегать открывать офисные документы с веб страниц кроме как по большой нужде | 2. Не использовать октрытые каналы для пересылки конфиденциальной информации | 2. Запускать на компьютере только необходимые службы | ||
| 3. Открывать спамовские сообщения (их надо стирать не задумываясь) | 3. Не открывать линки из спама | 3. Открывать докумнеты, скаченные с сети или пришедшие по почте не в MS Word или Excel, а в OpenOffice или других офисных системах (подобных атак на OpenOffice пока не известно) | |||||
| 4. Кликать в на линки в спаме | |||||||
| Примечания | 1. Линки к поддельным сайтам могут распросраняться не только по е-мейлу, но и другими способами | 1. Довольно часто заражение происходит при поиске в Интенете т.к. приходится заходить на много неизвестных сайтов | 1. Есть виды червей по действию похожих на spyware/adware, такие черви могут, например, превращать компьютер в релей для спама | 1. Есть неприятная комбинация этой атаки с почтовыми червями | 1. Хотя этот вид атак весьма редок, такие атаки могут иметь самые катастрофические последствия. В печати были описаны похищения людей с использованием перехваченных сообщений. | 1. Эта атака предтавляет большую проблему для серверов, чем для домашних машин | |
| 2. Существует аналогичная атака вне Интернета когда звонят по телефону и выведывают конфиденциальную информацию | 2. Попасть на опасный сайт можно делая опечатки в URL | 2. Макровирусы часто былезают из архивов старых документов. | |||||
| 3. Антивирусы с этим типом атаки практически не спарвляются | 3. Антивирусы не всегда реагируют на макровирусы, пришедшие отличным от e-mailа путем | ||||||
| 4. После заражения вычистить компьютер можно только путем перформатирования диска, да и то не всегда помогает | 4. Иногда в Интенете встречаются офисные документы (особенно обнаруживаемые в результате поиска), которые содержат в себе вредоносный код, но не заражают компьютеры | ||||||
| 5. Последнее время описаны подобные атаки через музыкальные файлы для Windows Media Player | |||||||