И еще раз о доверии

«Последний выходной день прошел отлично: было тепло и светило солнце, поэтому мы весь день гуляли с друзьями, радуясь наступающей весне. Вдобавок, придя домой, я обнаружил в почтовом ящике письмо от интернет-магазина, где я регулярно покупаю одежду и обувь. В нем меня поздравили и сообщили, что я могу получить бесплатную дисконтную карту. Отличное завершение дня!»

Наверное, приблизительно такое сообщение я бы хотел опубликовать в блог. Однако в конце марта в России холодно и ветрено, а за «бесплатными дисконтными картами» зачастую скрываются угрозы безопасности. Поэтому я сразу посмотрел на пришедшее письмо с подозрением.

Наметанный взгляд сразу выделил в нем такие изъяны:

• Письмо составлено на двух языках
• Ссылка из письма ведет отнюдь не на веб-сайт упомянутого интернет-магазина
• «Приз» по-английски - это все-таки «prize», а не «prise»
• Спамеры невнимательно отнеслись к заполнению своего же шаблона: обратите внимание на переменные «#code#» и «#email#» :)

Разумеется, кликать по ссылке из письма я не стал, а исследовал ее в безопасной среде. Что же за ней скрывалось?

Сразу три фрейма, ссылающихся на разные страницы. В первом (главном) фрейме загрузился официальный сайт Yahoo, ссылка во втором была недоступна. А в третьем, тем временем, незаметно начал действовать java-загрузчик Trojan-Downloader.Java.OpenConnection.dl.

Его финальной целью была загрузка и запуск Trojan.Win32.FakeAV.btxt - очередного поддельного антивируса.

Техническая сторона атаки на сам магазин, скорее всего, очень простая: с недавнего времени движком для магазина стала служить популярная платформа osCommerce, в которой неоднократно находили уязвимости для несанкционированного доступа.

Выводы из этой истории, как всегда, очень простые, но очень важные.

Сегодня, пользуясь интернетом, нужно относиться с максимальным подозрением ко всему происходящему на экране. Даже к информации, полученной от максимально доверенных источников.

Кроме того, необходимо всегда «подстраховываться» современными средствами защиты от компьютерных угроз. И, наконец, следить за обновлениями системы, браузера, а также популярных программных продуктов (в особенности Java, Adobe Reader, Adobe Flash).

Администраторам ресурсов необходимо внимательно следить за обновлениями установленного на сервере ПО и соблюдать меры безопасности для уменьшения вероятности заражения своих посетителей.

P.S. Бесплатную дисконтную карту я, конечно, в итоге не получил. Зато теперь у меня есть небольшая, но приятная скидка на следующую покупку за содействие в выявлении возможных причин этой спам-рассылки :)