Жестко и спорно: рассылки с порнокомпроматом достигли миллионных тиражей
Самой массовой вредоносной рассылкой по итогам 2018 года стал порнокомпромат. Об этом «Известиям» рассказали в «Лаборатории Касперского». Злоумышленники уже отправили миллионы писем с требованием денег за сокрытие информации, боты создали множество криптокошельков для перевода средств. В отдельных случаях в спаме появляются сообщения, в которых пользователей под различными предлогами просят перейти по ссылке. В момент перехода на компьютер может загрузиться вредоносное ПО, в том числе и вирус-шифровальщик. «Известия» разбирались, насколько опасны такие письма и есть ли у злоумышленников порнокомпромат на самом деле.
Чего же боле?
— Такое письмо сложно проигнорировать, — рассказывает пользователь, подвергшийся атаке злоумышленников. — Когда-то я достаточно сумбурно относился к паролям, защищавшим мои аккаунты. Однажды один из сервисов, на котором я был зарегистрирован, стал жертвой хакеров и моя пара e-mail-пароль была украдена. И вот мне на электронную почту приходит письмо. Превью показывает первую строчку: ****** — это твой пароль.
По словам собеседника «Известий», дальше письмо содержало подробные описания, каким образом был взломан сайт, на котором адресат якобы просматривал порнографию, щедро использовалась техническая терминология (кейлоггер, вредоносное ПО, удаленный рабочий стол и т.д.). Человек, далекий от технологий и не знающий, что такое «утечки паролей», вполне может принять это за правду.
Другой собеседник «Известий», также получивший «письмо с порнокомпроматом», описывает англоязычный текст без изысков.
— Это самое обычное письмо, — говорит он. — В теме — «ваш пароль взломан». Дальше сказано, что, пока я смотрел порно, мой браузер действовал как кейлоггер — аппаратное устройство, регистрирующее различные действия пользователя: нажатия клавиш на клавиатуре или движения мыши. Также было написано, что теперь злоумышленник имеет видео с разделенным экраном: на одной половине ролики, которые я просматривал, а на другой — данные с веб-камеры. Чтобы убедиться в существовании видео, нужно перейти по ссылке. Я перешел и понял, что с компьютером произошло что-то странное. Потом выяснилось, что он зашифрован.
За расшифровку пришлось заплатить криптовалютой, что позволяет злоумышленникам проводить операции максимально скрытно.
Порнотренд
Как рассказали «Известиям» в «Лаборатории Касперского», спамерская рассылка на тему порнокомпромата стала одной из самых массовых за 2018 год. По оценкам специалистов, это миллионы писем с требованием денег или за сокрытие так называемого секрета, или за возврат информации.
— Такой вид мошенничества стал популярным более года назад, — сообщила «Известиям» старший спам-аналитик «Лаборатории Касперского» Мария Вергелис. — За это время он не только не потерял популярности у спамеров, но и несколько эволюционировал. В частности, теперь злоумышленники присылают свои адреса криптокошельков для перечисления денег, а нередко и весь остальной текст картинкой — для того чтобы обойти спам-фильтры. Таким образом, жертва видит правильные знаки для перечисления денег, а спам-фильтр на компьютере находит только графический файл и больше ничего.
По словам Марии Вергелис, за подобными письмами может стоять целая система кооперации киберпреступников разной специализации, которые создают широкомасштабную спамерскую рассылку миллионными «тиражами».
Обычный пользователь может не только стать жертвой злоумышленников, но и сам невольно начать рассылать порнокомпромат. Миллионных «тиражей» можно добиться только путем активизации на тысячах зараженных компьютеров Backdoor — программы, с помощью которой хакеры получают удаленное управление устройствами. Рассылка таких сообщений производится в огромном количестве на разных языках по готовым шаблонам.
Времена, когда спамерские рассылки делались вручную, давно прошли. Теперь все этапы автоматизированы. Усовершенствован в том числе этап создания криптокошельков, на адреса которых приходят денежные средства от жертв. Эти криптокошельки создаются ботами в огромном количестве. Весь функционал теневого бизнеса продуман досконально, написание скриптов может занять несколько месяцев, однако потом он работает как часы.
Есть ли компромат
Сама идея соединения в одной схеме порнокомпромата и ссылки на вирус-шифровальщик доказывает то, что вредоносного ПО, которое бы фиксировало действия на сомнительных сайтах, на компьютере жертвы нет, полагает руководитель отдела аналитики компании «СёрчИнформ» Алексей Парфентьев.
— Безусловно, можно сделать такое вирусное ПО, которое запоминает посещения определенных сайтов или записывает видео с экрана. Но так как эта программа должна работать на пользовательском компьютере, ей надо как-то туда попасть, — говорит эксперт. — А как только программа туда попала — получить безусловную привилегию в системе. И тогда уже нет необходимости кликать на ссылку и скачивать еще какое-то ПО, цель которого опять же в том, чтобы получить максимальную привилегию в системе. Таким образом, никакого компромата нет, это просто уловка, чтобы пользователь кликнул на ссылку запуска шифровальщика.
По словам Алексея Парфентьева, есть всего три варианта, каким образом хакер может заполучить порнокомпромат. Первый — действительно создать программу, следящую за пользователем, однако это очень сложный процесс, который нужно разрабатывать для каждой жертвы индивидуально. Второй — получить доступ к линиям связи, но это подразумевает физические действия: подключение или к проводам между пользователем и провайдером, или к индивидуальному Wi-Fi. Всё это слишком индивидуальный и трудоемкий путь для злоумышленников, да и подавляющее большинство веб-ресурсов использует шифрованную передачу данных. Третий же вариант — именно тот, которым, по словам эксперта, и пользуются злоумышленники: покупка у порноресурса базы пользователей либо создание собственного ресурса, изначально нацеленного на то, чтобы собрать данные заинтересованной аудитории и потом рассылать ей вредоносный спам.
Таким образом, можно сделать уверенный вывод, что ПО, фиксирующего историю просмотра порносайтов, на девайсе жертвы нет, да и самого порнокомпромата, скорее всего, не существует, если письмо получено из рассылки. Эксперты советуют не реагировать на такие спам-сообщения. Если каким-то образом злоумышленнику удалось получить порнокомпромат, он найдет способ предъявить пользователю четкие доказательства без всяких ссылок.
Индивидуальный подход
При этом инструменты для получения порнокомпромата с девайса пользователя существуют. Однако использовать их возможно, только получив индивидуальный доступ к каждому компьютеру, который хакерам нужно взломать вручную. Процент людей, ради которых они станут этим заниматься, ничтожен.
— Конечно, существуют вредоносы, которые, попав на компьютер пользователя, могут получить доступ к камере и микрофону, — сообщил «Известиям» антивирусный эксперт «Лаборатории Касперского» Дмитрий Галов. — Кроме того, появились вирусы, умеющие отключать индикатор включения видеокамеры (горящий огонек). Пользователь, чей компьютер заражен таким вредоносным ПО, может даже не догадываться, что все его действия перед экраном монитора записываются злоумышленником. Мобильные устройства также находятся под угрозой, существуют шпионские программы для платформы Android, позволяющие скрытно наблюдать за пользователем, получив доступ к встроенным камерам и микрофону.
Важно помнить, что скрытное наблюдение за пользователем через камеру — это не единственный способ для злоумышленника заполучить чьи-то интимные фото. Достаточно вспомнить случаи, когда взламывали облачные хранилища данных, где у пользователей был абсолютно весь их фотопоток. Еще одним примером могут послужить мобильные приложения, которые предлагают улучшить ваши селфи, при этом загружая без вашего ведома все фото с устройства на серверы злоумышленников.