Более 30 лет я имею честь помогать людям избавляться от вирусов и других вредоносных программ. В ходе этой работы мне часто задают вопросы по темам, связанным с компьютерной безопасностью, которые не относятся к конкретному продукту. Одни вопросы просты, или на них легко ответить; другие сложны или требуют тщательного объяснения и дополнительных исследований. В этой колонке я отвечу на вопросы, которые мне задают, и которые вы можете задать – вопросы, из числа тех, на которые можно найти ответы в руководствах по продуктам или в базах знаний. Независимо от того, являетесь вы клиентом компании ESET или нет, не стесняйтесь спрашивать, и я сделаю все возможное, чтобы дать вам ответ!
В июле 2018 года североамериканское отделение компании ESET начало получать запросы от разных людей (Фред (Fred), Банни М. (Bunny M.) и др.), которые получили электронные письма, в которых утверждалось, что их компьютеры взломаны, и что у злоумышленника есть видео, демонстрирующее, как эти люди смотрят «контент для взрослых». Это были примеры мошенничества типа «сексуальное вымогательства» (sextortion); мы писали об этом в июле 2018 года в посте под названием Я видел, что вы делали…а видел ли я?
За последние несколько дней мы начали получать новые сообщения о похожих, но заметно отличающихся попытках шантажа; и даже я получил несколько таких сообщений на мой личный почтовый ящик (Ага! Зря старались). Итак, пришло время вернуться к этой теме; спасибо Барри Г. (Barry G.), Тиму Р. (Tim R.) и другим за то, что они привлекли наше внимание к этой проблеме.
Когда мы писали о мошенничестве этого типа ранее, мы хотели «научить вас, как распознавать конкретный случай фишинга и обезопасите себя от конкретной атаки»; сегодня и в нескольких последующих постах я постараюсь научить вас распознавать все случаи фишинга, чтобы обезопасить себя от любой подобной атаки. [Нет, технически это не фишинговые атаки, но с их помощью тем не менеепытаются изъять деньги у предполагаемых жертв, и поэтому это «родственный» случай. Возможно, в будущем мы сделаем серию постов, посвященных распознаванию случаев фактического фишинга.]
Поскольку мошенники постоянно изобретают все новые и новые ловушки для своих предполагаемых жертв, это процесс, который нуждается в регулярном обновлении; действительно, чтобы охватить все вопросы, которые я хочу обсудить, и не превратить это обсуждение в «Войну и мир», я разбил его на более легко усваиваемые разделы. Это может оказаться продолжающимся проектом для Vox, так что давайте начнем.
Во-первых, давайте посмотрим на шантаж в целом – он почти один и тот же, что для киберпространства, что для отношений между людьми. Для шантажа требуется несколько элементов: (а) нечто, что предполагаемая жертва хотела бы сохранить в тайне, (б) некое доказательство того, что шантажист имеет это «нечто», (в) угрозу, (г) способ, который шантажист предлагает предполагаемой жертве, как «избежать» этого угрожающего действия – обычно деньги, хотя есть и другие возможности.
С учетом этих соображений, рассмотрим пример одного из недавних электронных писем, содержащих сексуальное вымогательство:
Рис. 1: Новый пример мошенничества типа «сексуальное вымогательство», Март 2019 г.
Тайна
В данном случае тайна состоит в том, что предполагаемая жертва обвиняется в просмотре материалов для взрослых, которые в лучшем случае поставят ее в неловкое положение, если их предоставить членам семьи, коллегам и т. п. В нашем примере выше мы имеем:
Рис. 2: Тайна
Итак: реальна ли эта тайна? Ну, если вы никогда не заходили на тот или иной порносайт (во всяком случае, специально), или вы заходили на такой сайт ранее, чем «несколько месяцев назад», как заявляет злоумышленник, то вы ЗНАЕТЕ ТОЧНО, что это электронное письмо – мошенничество, и, следовательно, его можно игнорировать.
Но что делать, если вы просматриваете контент для взрослых, пусть и изредка? Тогда, согласно Интернет-статистике, «Добро пожаловать в клуб». А что если, как сообщается в Twitter-канале газеты «Уолл-стрит джорнэл», в 2013 году один из «40 миллионов американцев регулярно посещает порносайты – в том числе 70% людей в возрасте от 18 до 34 лет»? И даже в этом случае такую угрозу едва ли можно считать обоснованной. И вот почему: сам факт того, что очень многие люди просматривают материалы для взрослых, и что во многих кругах это считается табу, делает эту тайну тем, что потенциальная жертва вполне может пожелать ее сохранять, и, следовательно, она представляет собой для шантажиста привлекательную цель: злоумышленник может сделать заявление, не подкрепленное никакими фактами, но поскольку оно звучит убедительно, у многих потенциальных жертв будет повод поверить утверждениям злоумышленника. Таким образом, злоумышленник может просто рассылать письма наугад: а вдруг кто-то из числа потенциальных жертв заглотнет наживку. Но чтобы проверить, правдивы ли эти утверждения в данном случае – то есть знает ли эту тайну злоумышленник в самом деле – нам нужно копнуть немного глубже.
«Доказательство»
В нашем примере предполагаемое доказательство является тройным:
- имеет место «факт», что электронное письмо пришло с собственной учетной записи электронной почты жертвы (таким образом подразумевается, что злоумышленник контролирует эту учетную запись),
- злоумышленник утверждает, что взломал ваш компьютер,
- кибер-шантажист зафиксировал данные «вашей деятельности».
В нашем примере для первого «факта» мы имеем:
Рис. 3: Электронное письмо To: и From:
В данном случае имеет место классический провал: здесь даже не кажется, что злоумышленник или, скорее всего, набор инструментов для сексуального вымогательства, приобретенный киберпреступником в «Темной паутине», отправил электронное письмо из учетной записи жертвы. Действительно, ни имя адресата To:, ни домен не совпадают с соответствующими элементами поля From: Но у других примеров, которые я видел, действительно есть элементы полей To: и From:, которые кажутся совпадающими.
Итак: для случаев, которые не похожи на откровенную подделку: это реально?
Маловероятно – подделать поле From: электронной почты нетрудно; мы рассмотрим это более подробно в следующем посте Vox. Здесь достаточно сказать, что утверждать о взломе учетной записи электронной почты исключительно на основании поля From: нелепо. Хотя потенциальные жертвы могут и не знать об этом, даже наименее компетентный злоумышленник знать об этом обязан. Поэтому злоумышленник, вероятно, пожелает предоставить более убедительные данные или, по крайней мере, больше данных о том, что учетная запись была взломана. Поэтому не обращайте внимания на это так называемое «доказательство», но в любом случае не помешает в своей учетной записи электронной почты сменить пароль на уникальный и трудно угадываемый. Эта уникальность играет ключевую роль; мы вернемся к этой теме позднее. И вы всегда можете связаться с вашим поставщиком электронной почты и спросить его, не было ли каких-либо необычных действий в течение «последних нескольких месяцев». Обратите внимание: если вы можете изменить свой пароль, то очень вероятно, что никакой атаки не было вовсе: если бы я был на месте злоумышленника и владел вашей учетной записью, я, скорее всего, пожелал бы изменить пароль, чтобы не дать ВАМ изменить его и тем самым защититься от меня.
Далее утверждается, что злоумышленник взломал ваш компьютер:
Рис. 4: Утверждение о взломе компьютера жертвы
Обратите внимание, что это отличается от взлома вашей учетной записи электронной почты, поскольку ваши устройства имеют уникальные (и, следовательно, разные), трудно угадываемые пароли, не так ли??? Несмотря на это злоумышленник утверждает, что проник в ваш компьютер, а также в вашу учетную запись электронной почты, из чего мы можем сделать два вывода:
- Если это действительно так, и злоумышленник сначала взломал учетную запись электронной почты, то не существует никакого простого способа на основании адреса вашей электронной почты определить, какой компьютер связан с вами. Именно поэтому вы можете отправлять и получать почту Gmail, например, используя как свой домашний компьютер, телефон, рабочий компьютер, так и общедоступный компьютер в местной публичной библиотеке. Так каким образом злоумышленник, сначала взломал вашу учетную запись электронной почты, а затем узнал, какой компьютер ваш, чтобы его взломать? Ответ: «Он этого не сделал».
- Если это действительно так, и злоумышленник сначала взломал ваш компьютер, тогда другое дело: узнать ваш адрес электронной почты, конечно, проще. Но для того чтобы взломать ваш компьютер (или «устройства»), злоумышленнику необходимо пройти ваше программное обеспечение компьютерной безопасности. Хотя основная цель программного обеспечения компьютерной безопасности (устанавливаемая всеми защита от вредоносных программ – и у вас она, КОНЕЧНО ЖЕ, самого высокого класса, самая современная – постоянно обновляемое программное обеспечение системы безопасности на всех ваших устройствах, верно? Если вы читаете WeLiveSecurity, то, конечно же, так оно и есть…) … стоп, на чем я остановился? Ах, да: основная цель такого программного обеспечения состоит в защите вас от атак не столько со стороны человека, сколько со стороны автоматизированных попыток взлома вашего компьютера, она тем не менее предлагает некоторую минимальную защиту от инструментов, которые может использовать злоумышленник для взлома вашей машины. Поэтому, если только злоумышленник не использовал против вас эксплойт нулевого дня, очень велика вероятность того, что попытка взлома ему не удалась. И если только ваш злоумышленника не располагает бюджетом страны G7, и вы не являетесь очень интересной персоной, то эксплойт нулевого дня вряд ли будет потрачен на попытку заурядного сексуального вымогательства. И снова тот же вопрос: каким образом злоумышленник взломал ваш компьютер? Все указывает на то, что «он этого не сделал».
И последнее (для этого примера): иные утверждают, что для записи видео с вами и ваших действий использовалась ваша веб-камера. Если у вас, как и у меня, веб-камера заклеена куском двусторонней черной изоленты, то же самое: мошенничество разоблачено. Кроме того, несколько средств компьютерной безопасности, включая разработки компании ESET, включают инструменты для защиты веб-камеры. Поэтому приобретите одно из покрытий для веб-камеры (в продаже они есть и стоят недорого, если идея с изолентой вам не по душе) и подумайте об использовании программного обеспечения системы безопасности, в которое эта защита включена, если у вас ее еще нет.
Что делать, если эти советы не относятся к вашему случаю? Тогда мы переходим к следующему этапу.
Угроза
В нашем примере злоумышленник, занимающийся сексуальным вымогательством (sextortionist) угрожает «разослать видео с вами всем вашим контактам, включая родственников, коллег и т. п.», если не получит денег. Если вы все еще считаете, что это электронное письмо может быть правдивым (хотя мы можем доказать, что в данном примере это не так), то спросите себя: «Ставит ли это меня неловкое положение?» Очевидно, что контент для взрослых становится все более и более социально приемлемым, поэтому, если вы один из растущего числа людей, которых не беспокоит, узнают ли другие, что вы просматриваете контент для взрослых, то же самое: кибер-шантаж, даже в тех случаях, когда злоумышленник действительно имеет то, что в иных случаях могло представлять собой компрометирующую информацию, сводится на нет.
С другой стороны, если такое обнародование ставит вас в неловкое положение, то обратите внимание на следующие ключевые моменты: не короткий ли срок, чтобы заплатить шантажисту? Не расплывчато ли данное электронное письмо? Не используется ли в нем «компьютерная абракадабра»? Если так и есть, то, скорее всего, эта угроза нереальна. В данном случае: хотя приведенные ниже слова действительно имеют некоторый смысл, они предназначены скорее для того, чтобы напугать, а не убедить.
Рис. 5: Абракадабра
Кроме того, стоит отметить, что правильно настроенное программное обеспечение компьютерной безопасности очень хорошо отлавливает программные кейлоггеры, поэтому весьма маловероятно, что злоумышленник сможет сделать это в вашей системе, а ваше программное обеспечение системы безопасности об этом не сообщит. Еще один удар по киберпреступнику.
Плата
В данном случае требование – оплатить в биткойнах; виртуальные валюты часто используются киберпреступниками. Кое-что можно понять, если взглянуть на запрашиваемую сумму: если злоумышленник действительно взломал вашу машину, то он, вероятно, должен иметь некоторое представление о вашем финансовом положении. Соответствует ли указанная сумма в долларах вашей экономической ситуации? Весьма вероятно, что нет. Но злоумышленник хочет получить плату: и если у злоумышленника есть реальные данные, то киберпреступник может попытаться вас поторопить, но, вряд ли установит крайний срок. Или, по крайней мере, попытаться связаться с вами еще раз, если вы не ответили, возможно, поставив другие условия. Но злоумышленники знают, что люди уходят в отпуск и не открывают электронную почту по самым разным причинам, поэтому их требования могут остаться не замеченными даже в «критический период»… и, следовательно, они могут повторить попытку, возможно, с более убедительными доказательствами. Например, в случае программ-вымогателей – действительно реальной угрозы – злоумышленники размещают требования о выкупе по всему компьютеру (на рабочем столе, в папке «Документы» и т. п.), и поэтому их очень трудно не заметить. Если злоумышленник в данном случае действительно взломал компьютер жертвы, будьте уверены, что будет применена аналогичная модель.
Да, и обратите внимание, что шантажисты почти никогда не соглашаются на «одного раза достаточно». Если они смогут заставить вас заплатить один раз, они будут продолжать стучаться в ваш почтовый ящик, чтобы получить от вас еще. Поэтому, даже если бы это произошло в реальности, платить им было бы бессмысленно – а что касается фальшивых угроз, будьте уверены, что жертвы, которые пойдут у них на поводу, будут внесены в список тех, кто часто становится объектом подобных атак.
Что дальше?
Если ни одно из вышеприведенных «пояснений» не убеждает вас в том, что это электронное письмо (или какое-либо иное, какое вы могли получить) является мошенничеством, мы можем использовать и другие приемы. Мы рассмотрим их в нашем следующем посте Vox – некоторые из них гораздо проще, чем те конкретные приемы, которые мы представили здесь.
О Vox
Возник вопрос, касающийся компьютерной безопасности, который не относится к конкретному продукту? Оставьте нам свой комментарий здесь или используйте нашу форму AskESET на странице «Контакты» (Contact Us).
