Veebiuss Koobface, lisandustega.

Koobface on üks esimesi Web 2.0 usse, mis levib sotsiaalvõrgustikes nagu Facebook, MySpace, Twitter ja teised. Ussi nimigi on anagramm sõnast Facebook. Loodi see juba aastal 2008 ning oma suurima leviku saavutas see aastal 2010. Suurem osa Koobface’i juhtimiskeskustest võeti võrgust maha 2010. aasta novembris, hinnanguliselt teenisid kurikaelad selle botnetiga kuni 2 miljonit dollarit aastas.

Koobface on võimeline ründama nii Windowsi, MacOS X-i kui ka Linuxit jooksutavaid arvuteid ning tema peamiseks ülesandeks on koguda neis leiduvaid sotsiaalvõrgustike, aga ka FTP kontode sisselogimisandmeid. Ussi peamiseks levikualaks on Facebooki ja teiste sotsiaalvõrgustike teateseinad, mille kaudu nakatunute sõbrad meelitatakse klikkima “huvitavaid” linke, mis tüüpiliselt viitaksid justkui piltidele või videotele. Klikkija võidakse suunata lehele, mis näeb välja nagu Youtube (kuid mille nimi on YuoTube) ning selleks, et video käima läheks, palutakse alla laadida ja installida eraldi videomängija. Installitud “videomängija” tõmbab võrgust alla Koobface’i ülejäänud komponendid. Viimased võivad tegelda ussi levitamisega, kasutajatunnuste ja paroolide varastamisega, reklaamide näitamisega CAPTCHA murdmisega. Nakatunud arvuti kasutajat võidakse sundida paigaldama libaviirustõrjet, tema otsimootori sätteid muudetakse nii, et otsingud suunduvad pahatahtlikele lehekülgedele ning arvuti DNS-i seaded sätestatakse ümber nii, et sellest arvutist ei pääse enam tuntumate viirustõrjujate kodulehekülgedele.

Põhjalikku ülevaadet Koobface’ist saab lugeda siit (PDF, 2,7 MB)

Kuid miks ma sellest ussist alles nüüd räägin, kui suurem osa botnetist, nagu ülalpool kirjas, juba pool aastat tagasi kahjutuks tehti?

Uss on küll senimaani aktiivne, kuid saanud ühe lisaomaduse. Nimelt levivad  ka eestikeelsetes sotsiaalvõrgustikes teated, mis hoiatavad Koobface’i eest:

Koobface'i hoiatus

See on toortõlge aasta tagasi levima hakanud ingliskeelsest lollitamisteatest. Teates kirjeldatud linkide kaudu pole Koobface’i kunagi levitatud.

Lühidalt öeldes levitavad täiesti head ja toredad inimesed kõige parematest kavatsustest lähtudes Facebooki ja teiste sotsiaalvõrgustike seintel kõige tavalisemat spämmi. Levitajale endale sellest muidugi erilist kahju ei sünni, kui hilisem pisike piinlikkustunne välja arvata.

Kuidas selliste lollitamisteadete ohvriks sattumist vältida?

Kõige lihtsam – küsige sõbralt, kellelt te sellise teate saate, kas ta on nimetatud ohuga ise kokku puutunud või oskab viidata mõnele autoriteetsele allikale. Kui ta teile head viidet anda ei oska, võite teate südamerahuga seinale kleepimata või edasi saatmata jätta.

Facebook´is levib trooja nimega Üllatus

Nädal tagasi hoiatas tuntud Emsisoft tõrjetarkvara arendav firma Facebook´is üsna kiiresti levima hakanud troojast, mis lingile klõpsates installeerub märkamatult kasutaja arvutisse, muutes selle spämmi tootvaks ja seda edasi levitavaks masinaks.

Arvuti nakatamine toimub nii: Kasutaja Facebook kontole saadetakse järgmise sisuga teade – “Mul on sulle üllatus www.nyhely………..blogspot.com.”

Loe edasi: Facebook´is levib trooja nimega Üllatus

Saage tuttavaks — võlts-antiviirus

Käisin (taas kord) lastele internetiohtudest jutustamas. Nagu alati, rääkisid lapsed ka mulle  midagi … sedakorda siis feik antiviiirusest (ingl.k fake antivirus). Ühe poisi isa olevat endale võrgust saanud ja ära installinud täiesti võlts-antiviiruse. Alles siis jõudis mu teadvusse, et enam polegi tegu eksootilise teoreetilise ohuga, vaid millegagi, mis ka Eestis ongi juba jõudnud massidesse. Loe edasi: Saage tuttavaks — võlts-antiviirus

Veebitestimisega ratsa rikkaks?

Leidsin Kuldsest Börsist seesuguse kuulutuse:

TEENI KUUS 1000USD

USA turu-uuringute firma otsib internetikasutajaid kogu maailmast, kelle ülesandeks on kontrollida veebilehti ja anda enda lühiarvamus ning saada selle eest tasu. Te võite teenida kuni 1000 USD kuus, töötades 1-10 tundi nädalas. Isegi siis kui veebilehtede katsetamine pole Teie jaoks, võite Te kutsuda inimesi projekti oma lingi kaudu ja selle eest saada tasu kahe kuu möödumisel: 1. Kõigi inimeste pealt, kes on liitunud projekti peale Teid. 2. Kõigi inimeste pealt, kes on liitunud.

Selline suurepärane tööpakkumine suunab leheküljele www.websitetester.biz, mille välimusest paraku küll nii head maksevõimet välja ei loe. Ja jutt stiilis “Midagi oskama ega tegema ei pea, internet teenib raha sinu eest” on igasugu petuskeemidest ammu tuttav. Ka pakkumine ise tundub olevat liiga hea, et olla tõsi.

Teeme väikse arvutuse. Webtester.biz väidab enda palgalehel olevat juba ligi 400 000 testijat. Analoogsed testimisega tegelevad saidid pakuvad ühe veebikülje ülevaatamise eest 1$ ringis. Selleks, et 400 000 testijat teeniksid 1000$ kuus, peaks kogu ettevõtmise igakuine käive olema 400 miljonit, aastas aga ligi viis miljardit (testijaid tuleb ju juurde ka). Mis kokkuvõttes tähendab, et aasta jooksul tuleb iga internetis üleval rippuvat veebilehte (neid on ligi miljard) testida vähemalt nelja-viie dollari eest. Kas sina oleksid nõus oma blogi või kodulehe testimise eest reaalseid dollareid välja käima?

Ma ei ütle, et tegemist on tingimata petuskeemiga, samuti pole päris selge, milline on nimetatud teenuse ärimudel ning kust tuleb raha, mida testijatele maksta kavatsetakse. Küll aga kutsun üles olema nimetatud teenusega liitumisel ettevaatlik, mitte andma tundmatutele ärimeestele oma isiku- ja pangaandmeid, mitte võtma endale segaseid kohustusi ja eelkõige mitte ootama pangaarvele laekuvat dollarisadu.

Ehe näide andmepüügist ehk phishing´ust

Margus sai 5.mail, HSBC pangalt kirja, milles tal paluti täpsustada oma kontoandmeid, kuna panga arvates on need ebakorrektselt esitatud.  Et pangateenust ei katkestataks, paluti tal kirja lisatud lingil oma privaatseid andmeid täiendavalt kinnitada. Linki oli viisakalt lisatud ka kontoomaniku nimi koos postkasti aadressiga (nimi@hotmail.com), et kirja saaja teaks kindlalt, et selle abil suunatakse ta spetsiaalselt just tema enda kontole. Lingi ees olev võrguprotokoll HTTPS kinnitab, et tegu on täiesti turvalise kliendi ja panga vahelise ühendusega, millele mitte keegi  kolmas ligi ei pääse. Lingil klikates viiakse Margus turvatud pangalehele, millel ta peab sisestama oma isikuandmeid –nime, aadressi, krediitkaardi andmed, logimisparoolid jne.

Margus aga pole rumal poiss. Kahtlust äratab temas juba see, et tal pole kunagi olnud selle pangaga tegemist. Samuti muudab ta ettevaatlikuks kirjas pöördumise vorm -  tervitusteksti algusesse Dear… pole kirjutatud mitte tema nimi vaid postkasti aadress.

Muide, nutikamad andmevargad siiski sellist viga ei tee vaid nimetavad personaalselt ainult kasutaja nime ja perenime või siis lihtsalt teatavad tervituses Dear Customer (Hea (panga)klient). Ja tavaliselt on neil ka kodutöö paremini tehtud, saates selliseid õngitsemiskirju kindlamale sihtrühmale, kes just kõige tõenäolisemalt võivad olla antud panga klientideks.

Näiteks, kui kiri oleks tulnud Hansapangalt või Ühispangalt, mille andmepüügipettustest saab lugeda siit või siit, ning kui Margus poleks teadnud, kuidas turvaliselt e-posti lugeda, siis selle kindla panga kliendina oleks ta võibolla isegi lingile vajutanud. Teadaolevalt satub selliste paroolipüügi õngitsemiste ohvriteks väga palju inimesi, kaasaarvatud vilunud arvutispetsialistid – loe sellest täpsemalt siit.

Ent Margus ei vajuta kunagi mõtlematult kirjades viidatud linkidele, eriti veel sellistele, milles küsitakse tema privaatsete isikuandmete sisestamist, vaid kustutab selle petukirja kohe ära. Ent enne seda saadab ta selle mulle täiendavaks kontrollimiseks, mis on tema poolt väga tore ja tervitatav, kuna niimoodi saan ka paljusid teisi arvutikasutajaid ohtlikest rünnakutest teavitada.

Mis lingi kontrollimisel selgus?

Kui juba kirjas endas tegin antud pangalingil paremkliki ja valisin Properties, mis näitab ära lingi tegeliku aadressi, siis ehtsa pangaadressi asemel kuvatigi mulle hoopis teine aadress ehk siis veebilsaidi aadress (software24h.vn/images/red.php), millele kilikates oleksin sattunud tõenäolisele võltspangalehele. Õigem oleks öelda, et antud aadressi abil oleks mind märkamatult suunatud võltslehele, millel püütaksegi privaatseid andmeid varastada. Selline suunamine toimub reeglina ülikiirelt, et kasutaja sellest aru ei saaks.

Peaks veel mainima, et selliseid petulinke on imelihtne teha. Näiteks, kellel on vaja kohe ja praegu minna Hansapanga avalehele võib vajutada sellele turvaliselt krüpteeritud pangalingile: https://www.swedbank.ee/private 🙂 🙂 :)  Seega, e-kirjades või suhtlusportaalides, foorumites või suhtlemisprogrammides (MSN, Skype jne) saadetavad lingid ei pruugi alati olla need, millele nad viitavad!

Kui olin lingil paremklikki tehes veendunud, et tegu ei ole õige pangaadressiga, tegin ma järgnevalt siiski midagi sellist, mida selliste linkide puhul ei tohiks kunagi teha, ehk siis vajutasin sellele. Etteruttavalt olgu öeldud, et kasutasin virtuaalsüsteemi teenuseid, kuna phishing-saidid võivad lisaks tavalisele andmepüügi vargusele olla ka nakatatud kõikvõimalikku kurivarasse, mis laaditakse märkamatult ohvri arvutisse.

Ja oh imet! Sattusingi ilusasti pangalehe, millest isegi veebilehitseja lehepäis teatab uhkelt – Internet Banking: HSBC Bank UK – Mozilla Firefox. Ainult, et imelikul kombel on aadressiribal pangaaadressiks hXXp://myadmiral.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/………, kuigi pangaleht ise näeb välja ehtne mis ehtne. Järgnevalt sulgesin lehe ja klikkisin uuesti lingil. Jällegi avati mulle pangaleht, ent mitme proovimise järel kuvati see leht juba uute aadresside abil:

hXXp://notnotfun.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/….

hXXp://storyofaline.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……

hXXp://ragamalaproductions.com/hsbc-uk/1-2/HSBC-INTEGRATION/…..

hXXp://japantelugusamakhya.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……..

hXXp://www.heartlings.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……….

Järgmisena kasutasin ühte väga head veebiaadresside kontrollimislinki  vURL Online, mis leiab kiiresti pahatahtlikud või kahtlustäratavad veebisaidid ja domeenid, mis on musta nimekirja lisatud. Piisas sellest, kui otsisin infot kirjas olnud tegeliku lingiaadressi (software24h.vn/images/red.php) abil. Sain vastuseks:

This domain is listed in the hpHOSTS blacklist. Website’s in this database should be viewed with extreme saution

(See domeen on lisatud hpHOSTS musta nimekirja ja selle veebisaidi andmebaasidesse tuleb suhtuda äärmise ettevaatusega).

Järgnevalt kontrollisin neid aadresse mitmete URL-skanneritega, aga antud hetkel vaid vähesed teatasid, et need saidid oleksid kahtlustäratavad. Tõenäoliselt oli tegu niivõrd värskelt ülesriputatud õngitsemislehega. Seevastu mõne tunni pärast, kui nii ise kui ka tõenäoliselt paljud teised kasutajad olid teavitanud vastavaid turvalehti võimalikust pettusekahtlusest, kuvati hoopis teisi tulemusi.

Aitäh Margusele, et teatas kahtlasest kirjast ja oli nõus avaldama selle loo ka Arvutikaitse.ee-s.

Leidub ka ausaid nigeerlasi!

Eks me kõik suhtu Nigeeriast laekuvatesse kirjadesse väikese eelarvamusega – jutustatagu neis mistahes liigutavaid lugusid ja pakutagu kuitahes muinasjutulisi summasid, päädib lugu lõpuks ikkagi sellega, et hoopis kirja saaja jääb oma rahast ilma.

Kuid see Aafrika riik on koduks ka ausatele ja õiglastele inimestele, nagu näiteks doktor Mewro Ghali, kes saatis meile sellise kirja:

ATTENTION!
My name is Dr. Mewro Ghali, MON (Member of the Order of the Niger) and I have my own law office in Ikoy, Lagos, which is located in Nigeria.
I am writing to you because I feel embarrassed for all of our countrymen, who cheated honest and innocent people all over the world. My desire is sincere and firm purpose of remedying the harm done to victims and return their money.
Fortunately, I can also do so – as one of the organized criminal groups ordered me to deposit in Bank of Nigeria £20 000 000 8twenty million British pounds), which is obtained through fraud and extortion. Group members did not get to use the money themselves, because they all were killed in recent riots in Lagos, which erupted after the pipeline explosion.
Since I am the sole caregiver, and the amount of money than I do not know anyone more of this money, I want  repay the money to all the victims.
For recieving yours, please send me your:
Name
e-mail address
Credit Card Number
Please send them in as soon as possible.
And once again, please excuse all the bad and disappointing for the fraudsters have prepared for you. God bless you!

Tõlkes siis:

Tere,
Minu nimi on Dr. Mewro Ghali M.O.N.(Member of the Order of the Niger) ning mul on oma advokaadifirma Ikoyis, Lagoses, mis asub Nigeerias.
Kirjutan teile sellepärast, et tunnen piinlikkust kõigi oma kaasmaalaste pärast, kes on petnud ausaid ja süütuid inimesi üle kogu maailma. Minu siiras eesmärk ja kindel tahe on nende tekitatud kahju heastada ning tagastada kannatanutele nende raha.
Õnneks saan ma seda ka teha – üks sellistest kuritegelikest rühmadest deponeeris minu kaudu Nigeeria Panka 20 000 000 Suurbritannia naela, mis on saadud pettuste ja väljapressimiste teel.  Grupi liikmed seda raha ise kasutada ei jõudnud, sest nad kõik said surma hiljutistes rahutustes, mis puhkesid Lagoses pärast naftajuhtme plahvatust.
Kuna mina olen selle rahasumma ainuke hooldaja ning peale minu ei tea sellest rahast enam keegi, siis tahan selle raha kõikidele kannatanutele tagasi maksta.
Selleks palun saatke mulle oma:
Nimi
e-maili aadress
krediitkaardi number
Palun saatke need nii ruttu kui võimalik.
Ja palun veelkord vabandust kõige halva ja meelehärmi eest, mida petturid teile on valmistanud. Õnnistagu teid jumal!

Dr. Ghali kinnitab ka, et mõned ohvritest on juba kompensatsiooni kätte saanud, nii et kui te juhtumisi olete üks nende hulgast, siis kiirustage!