Загрози для im-клієнтів і способи захисту від них

Програми для миттєвого обміну повідомленнями дуже привабливі для різного роду зловмисників. Знання потенційних загроз, які розповсюджуються через IM-клієнти, і способів захисту від них допоможе користувачам уникнути багатьох неприємностей при спілкуванні в Мережі.

IM-клієнти

В наші дні віртуальне спілкування в Мережі стало для багатьох невід`ємною частиною повсякденного життя. Існує безліч способів зв`язку, кожному з яких відведено певне місце в мережевому просторі - електронна пошта, чати, різні форуми, коментарі в блогах і т.д. Серед користувачів також популярні системи миттєвого обміну повідомленнями (англ. Instant messengers, або IM), які дозволяють спілкуватися з людиною, що знаходиться в будь-якій точці світу, в режимі реального часу.

Щоб спілкуватися за допомогою IM, користувачеві досить мати доступ в Інтернет і встановлену на комп`ютері програму (клієнт) для миттєвого обміну повідомленнями. Подібних програм дуже багато, і основні функції IM - власне обмін повідомленнями, пошук співрозмовників за інтересами, перегляд персональної інформації власника аккаунта, різні режими, в яких користувач може перебувати в Мережі і т.д. - реалізовані практично у всіх IM-клієнтів. Крім цього, деякі IM-клієнти (або, як їх ще називають, інтернет-пейджери) можуть мати набір додаткових функцій.

У Росії найпопулярнішим IM-клієнтом, без сумніву, є ICQ. Назва ICQ співзвучно англійській фразі «I seek you», що означає «я шукаю тебе». У кожного користувача ICQ є унікальний номер, або UIN (unique identical number), за допомогою якого він авторизується на сервері. Кожен унікальний номер захищений паролем, який встановлює користувач. Повідомлення передаються по протоколу TCP / IP з використанням спеціального формату, розробленого компанією Mirabilis. Як правило, одне повідомлення уміщається в одному TCP-пакеті. Деякі інші клієнти - наприклад, QIP (Quiet Internet Pager) або Miranda - пересилають повідомлення, використовуючи різні версії цього ж протоколу.

Ще одна програма - її вважають за краще багато західних користувачі - MSN Messenger (або Windows Live Messenger), стандартний IM-клієнт, розроблений компанією Microsoft. MSN Messenger використовує Microsoft Notification Protocol (іноді його також називають Mobile Status Notification Protocol - протокол для мобільного оповіщення). Протокол MSNP2 є повністю відкритим, проте код інших його версій на даний момент закритий. В останній версії MSN Messenger використовується версія MSNP16.

У Китаї є аналог ICQ, який називається QQ. Його популярність в даному регіоні дуже висока.

Вікно китайського IM-клієнта QQ.

У програмі Skype крім функції інтернет-пейджера реалізована можливість голосового спілкування. Цей клієнт, який отримав широке поширення в усьому світі, дозволяє користувачам безкоштовно обмінюватися голосовими повідомленнями. Для цього кожному співрозмовнику необхідно мати гарнітуру з мікрофоном і комп`ютер з доступом в Інтернет і встановленими клієнтом. Skype також дозволяє дзвонити на телефонні номери, але така послуга коштує грошей.

IM-Загрози

На жаль, віртуальний світ в цілому і система миттєвого обміну повідомленнями зокрема доступні для зловмисників. Найчастіше в IM здійснюються такі види незаконної діяльності:

1. Крадіжка паролів до акаунтів IM-клієнтів шляхом перебору паролів (брутфорса) або виманювання їх у користувачів за допомогою методів соціальної інженерії;
2. Поширення шкідливих програм:
   - Розсилка повідомлень з посиланнями, при активації яких на комп`ютер користувача намагається завантажитися шкідлива програма. Використовуючи методи соціальної інженерії, зловмисник провокує користувача відкрити файл завантаження, тобто запустити шкідливу програму;
   - Розсилка повідомлень з посиланнями на заражені веб-сторінки;
3. Спам-розсилки.

Всі програми для миттєвого обміну повідомленнями схильні до різного роду загрозам. Візьмемо, наприклад, популярний в Китаї IM-клієнт QQ. Широко поширені в даному регіоні Trojan-PSW.Win32.QQPass і Worm.Win32.QQPass спеціально створені для крадіжки паролів до QQ-клієнту. WormWin32.QQPass розмножується, копіюючи себе на змінні носії разом з файлом autorun.inf, що забезпечує автозапуск хробака на неінфікованій комп`ютері (в тому випадку, якщо функція автозапуску на останньому не відключили).

Вірусописьменники не обійшли стороною і Skype. Worm.Win32.Skipi поширюється через Skype-клієнт, розсилаючи по контакт-листу користувача зараженої машини посилання на свій виконуваний файл. Крім цього, черв`як копіює себе на змінні носії разом з файлом autorun.inf, править файл hosts, унеможливлюючи оновлення антивірусних продуктів і Windows, а також намагається завершити роботу захисних програм в системі. Не обійшлося і без троянця, що краде паролі до Skype. «Лабораторією Касперського» він детектується як Trojan-PSW.Win32.Skyper.

MSN Messenger, розроблений компанією Microsoft, активно використовується зловмисниками для поширення різних IRC-ботів. Багато з них здатні розмножуватися через цей клієнт за командою, отриманої з центру управління Бекдор. Відбувається це в такий спосіб. Припустимо, у зловмисника є невеликий ботнет, який він хоче розширити. Для цього через центр управління всім Бекдор посилається команда розіслати за адресами з контакт-листів MSN Messengerrsquo-а заражених користувачів повідомлення з посиланням такого вигляду: http: //***.com/funnypics.com. Подальше залежить від дій користувача, який отримав цю посилання. Якщо він вирішить поглянути на «забавні картинки», то в зомбі-мережі стане одним комп`ютером більше: якщо клікнути на посилання на комп`ютер користувача завантажується бекдор.

Відео: "консультант". 10 серія

Інтернет-шахраї використовують MSN Messenger тому, що цей клієнт входить в інсталяційний пакет Windows, а значить, за умовчанням він є у всіх користувачів даної ОС. Популярність MSN за кордоном робить даний IM-клієнт досить привабливим для зловмисників, охочих збільшити число заражених комп`ютерів в своїх зомбі-мережах.

Частина шкідливої програми Backdoor.Win32.SdBot.clg. Червоним кольором підкреслені команди, що відповідають за розмноження троянця.

Загрози в ICQ

На прикладі ICQ ми розглянемо найбільш поширені способи атак, які зловмисники можуть робити і щодо користувачів інших IM-клієнтів.

крадіжка паролів

Як вже було сказано, у кожного користувача ICQ є свій унікальний ідентифікаційний номер, або UIN. В даний час найбільш поширені дев`ятизначні номера, однак багато користувачів хочуть, щоб їх UIN збігався з номером мобільного телефону, був симетричним або містив однакові цифри. Такі UIN`и зручні для запам`ятовування, а для кого-то подібний номер - питання престижу. Особливо цінуються так звані «красиві» ICQ-номера - п`яти-, шести- або семизначні UIN`и, що містять, наприклад, тільки дві цифри.

«Красиві» номери продаються, і їх ціна, як правило, досить висока. На багатьох сайтах існує послуга «замовлення номера»: за встановлену плату власники сайту обіцяють з деякою часткою ймовірності «дістати» сподобався замовнику UIN. Крім того, покупцям пропонують оптові партії нічим не примітних дев`ятизначних номерів, які представляють інтерес для любителів масових розсилок. Використання великої кількості номерів при проведенні спам-розсилок дозволяє спамерам обійти «чорні списки», куди розгнівані користувачі заносять номери, з яких приходять спам-повідомлення.

Продавці «престижних» номерів рідко розповідають про методи їх отримання. В електронних магазинах покупців запевняють, що «гарні» UIN`и продаються на законних підставах. Але насправді в більшості випадків такі ICQ-номера видобуваються нелегальним шляхом.

Для крадіжки UIN`ов зловмисники використовують кілька способів. Численні інтернет-магазини, які торгують «красивими» номерами, часто займаються «промисловим» перебором паролів і крадіжкою аккаунтів. Ще один спосіб - підбір пароля до primary email і зміна вихідного пароля до UIN`у користувача без відома останнього. Розглянемо цей спосіб докладніше.

Якщо користувач забув пароль до свого UIN`у, служба підтримки ICQ пропонує певну схему його відновлення. Вона неодноразово ускладнювалася, допрацьовувалася і в даний час являє собою систему, більш-менш надійно захищає пароль від крадіжки. Користувачеві пропонується ввести відповіді на встановлені ним самим питання. Якщо ж він забув відповіді, то питання можна змінити за допомогою primary email - поштової адреси, введеного в контактну інформацію при реєстрації. Схема досить надійна, але якщо зловмисник якимось чином отримав доступ до primary email, то UIN, можна сказати, у нього в кишені. Підібравши пароль до primary email, можна звернутися до служби підтримки ICQ і від імені власника аккаунта попросити вислати новий пароль, оскільки старий нібито забутий. Після отримання нового пароля зловмисник може позбавити власника доступу і до ICQ, і до primary email, змінивши старі паролі. Слід зазначити, що такий спосіб крадіжки досить непростий: для перебору паролів до поштової скриньки, з яким пов`язаний номер ICQ, необхідний потужний комп`ютер або навіть мережа.

Відео: Борги по зарплатах - загроза соціальної стабільності (Виступ Валерія Рашкіна)

Однак найбільш популярна крадіжка ICQ-номерів за допомогою різних шкідливих програм, серед яких лідирує Trojan-PSW.Win32.LdPinch. Дане сімейство загрожує користувачам протягом останніх кількох років. LdPinch краде паролі не тільки до ICQ і іншим IM-клієнтам (наприклад, Miranda), але також до поштових клієнтів, різним FTP-програмами, онлайн-ігор і т.д. Існують спеціальні програми-конструктори для створення необхідного зловмисникові троянця - вони дозволяють задавати параметри установки шкідливого ПО на заражений комп`ютер, визначати, які саме паролі шкідлива програма буде красти у користувача, і т.д. Після конфігурації злочинцеві залишається лише вказати електронну адресу, на який буде відправлятися конфіденційна інформація. Саме простота створення таких шкідливих програм призводить до того, що вони часто зустрічаються не тільки в поштовому, але і в IM-трафіку.

Вікно програми-конструктора троянця Trojan-PSW.Win32.LdPinch.