0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbspЛаборатория информационной безопасности

Кто из нас не хотел почувствовать себя хоть раз кул-хакером и сломать хотя бы что-нибудь? 🙂 Если даже и нет, то уж о том, как было бы здорово заполучить пароль от почты / соц. сети друга, жены / мужа, соседа по комнате думал хотя бы однажды каждый. 🙂 Да и надо же с чего-то начинать, в конце-то концов! Существенная часть атак (взломов) включает в себя заражение компьютера жертвы так называемыми кейлоггерами (spyware).

Итак, в сегодняшней статье поговорим о том, какие есть бесплатные программы для слежения за компьютерами на базе windows, где можно скачать их полные версии, как заразить ими компьютер жертвы и в чём особенности их использования.

Но вначале небольшое введение.

Что такое и зачем нужны кейлоггеры?

О том, что это такое, думаю, Вы догадались и сами. Как правило, они представляют собой некую программу, которая скрыто (хотя это не всегда так) устанавливается на компьютер жертвы, после чего фиксирует абсолютно все нажатия на клавиатуре на данным узле. При этом помимо самих по себе нажатия обычно фиксируется: дата-время нажатия (действия) и программа, в которой эти действия были выполнены (браузер, в том числе адрес сайта (ура, сразу видим, от чего пароли!); локальное приложение; системные службы (в т.ч. пароли входа в windows) и т.д.).

Отсюда сразу видна одна из проблем: я заполучио на пару минут доступ к компьютеру своей соседки и хочу заполучить её пароль от ВК! Установил чудо-программку и вернул комп. Как же мне потом смотреть пароли? Снова искать способ забрать у неё комп? Есть приятная новость: как правило, нет. Большинство кейлоггеров способно не только хранить всю накопленную базу действий локально, но ещё и пересылать её удалённо. Вариантов отправки логов существует масса:

  • Фикситрованный e-mail (может быть несколько) — самый удобный вариант;
  • FTP-сервер (у кого он есть);
  • SMB-сервер (экзотика, да и не очень удобно).
  • Фиксированная флешка (вставляешь её в USB-порт компьютера жертвы, и все логи копируются туда автоматически в невидимом режиме!).

Зачем же всё это нужно? Думаю, ответ очевиден. Помимо банальной кражи паролей, некоторые кейлоггеры умеют ещё ряд приятный вещей:

  • Логирование переписки в заданных соц. сетях или мессенджерах (напр, Skype).
  • Съёмка скриншотов экрана.
  • Просмотр / съемка данных с веб-камеры (что может быть очень интересно).

Как использовать кейлоггеры?

А это вопрос непростой. Надо понимать, что просто найти удобный функциональный хороший кейлоггер мало.

Итак, что же нужно для успешной работы программы-шпиона :

  • Администраторский доступ к удалённому компьютеру.
    При чём это совсем не обязательно именно физический доступ. Вы вполне можете зайти туда через RDP (службу Удалённого рабочего стола); TeamViewer; AmmyAdmin и т.д.
    Как правило, с этим пунктом связаны самые большие сложности. Однако же я недавно писал статью о том, как получить права администратора в Windows.
  • Анонимный e-mail / ftp (по которому Вас не вычислят).
    Конечно, если Вы ломаете соседу тётю Шуру, этот пункт можно смело опустить. Как и в случае, если у Вас компьютер жертвы всегда под рукой (аля, узнать пароли брата / сестры).
  • Отсутствие рабочих антивирусов / внутренних систем защиты Windows.
    Большинство публичных кейлоггеров (о которых и пойдёт речь ниже) известны подавляющему большинству антивирусного ПО (хотя есть такие вирусы-логгеры, которые встраиваются в ядро ОС или системный драйвер, и антивирусы уже не могут их ни обнаружить, ни уничтожить, если даже обнаружили). В силу вышесказанного, антивирусное ПО, если таковое имеется, придётся безжалотсно уничтожить. Кроме антивирусов, опасность для нашей программы-шпиона представляют также системы типа Защитник Windows (таковые впервые появились в Windows 7 и далее). Они отлавливают подозрительную активность работающего на компьютере ПО. О том, как же от них избавиться можно без труда найти в гугле.

Вот, пожалуй, и все необходимые и достаточные условия Вашего успеха на поприще кражи чужих паролей / переписок / фото или на что там ещё Вам заблагорассудится посягнуть.

Чуть было не забыл главное! Будучи на рабочем месте, да и дома тоже, не забывайте обезопасить себя самого! Не используйтесь рабочий интернет-канал для поиска и скачивания вредоносного ПО и запросов типа: «как получить права доменного админа в корпоративной сети»! 🙂 Вот моя статья о том, как остаться анонимным в Интернете.

Какие бывают программы-шпионы и где их скачать?

Итак, начнём обзор основных кейлоггеров, которые мне довелось использовать в своей повседневной практике со ссылками на бесплатное скачивание их полных версий (т.е. все версии последние на текущий момент (для которых реально найти лекарство) и с уже рабочими и испытанными кряками).

0. The Rat!

  • Скрытность: 10
  • Удобство / юзабилити: 9
  • Функциональность: 8

Это просто бомба, а не кейлоггер! В рабочем состоянии занимает 15-20 КБ. Чего удивляться: он целиком написан на ассемблере (ветераны-программисты прослезились) и написан по большей части энтузиастами-хакерами, за счёт чего уровень его скрытности просто поражает воображение: работает он на уровне ядра ОС!

Кроме того, в комлект поставки входит FileConnector — мини-программа, позволяющая склеить данный кейлоггер с абсолютно любой прогой. В результате Вы получаете новый exe-шник практически того же размера, и работающий при запуске ровно так, как та програ, с которой Вы его склеили! Но после первого запуска Ваш кейлоггер будет автоматически установлен в невидимом режиме с заранее заданными Вами параметрами отсылки логов. Удобно, не правда ли?

Прекрасная возможность для социальной инженерии (приносите другу на флешке файл-игру / презентацию, да можно даже просто документ ворд (о том, как создать exe-ик, запускающий конкретный word/excel-файл расскажу в одной из следующий своих статей), запускаете, всё хорошо и прекрасно, однако же друг невидимо уже заражён!). Либо же просто шлёте этот файлик другу по почте (лучше ссылку на его скачивание, т.к. современные почтовые сервера запрещают отправку exe-файлов). Конечно, риск от антивирусов при установке всё же имеет место быть (зато его не будет после установки).

Кстати, при помощи некоторых других приёмов можно склеить любой дистрибутив скрытой установки (таковые есть в The Rat! и в Elite keylogger) не только с exe-файлами (которые у мало мальски продвинутых пользователей всё же вызывают подозрения), но и с обычными word / excel и даже pdf-файлами! Уж на простую pdf-ку никто никогда ничего не подумает, но не тут-то было! 🙂 Как это делается — тема целой отдельной статьи. Особо ретивые могут написать мне вопросы через форму обратной связи. 😉

В общем, The Rat! можно описывать очень долго и много. Куда лучше меня это сделано вот здесь. Там же есть и ссылка на скачивание.

1. Elite keylogger

  • Скрытность: 10
  • Удобство / юзабилити: 9
  • Функциональность: 8

Ссылка на скачивание: здесь

Пожалуй, один из лучших когда-либо созданных кейлоггеров. В число его возможностей, помимо стандартного набора (перехват всех нажатий в контексте приложений / окон / сайтов), входит перехват сообщений мессенджеров, снимки с веб-камеры, а также — что ОЧЕНЬ важно! — перехват паролей службы WinLogon. Иными словами, он перехватывает пароли входа в Windows (включая доменные!). Это стало возможным благодаря его работе на уровне системного драйвера и запуску ещё на этапе загрузки ОС. В силу этой же особенности, данная программка остаётся абсолютно невидимой и для Каспероского, и для всего прочего анти-вредоносного ПО. Признаться, я не встречал ни одного кейлоггера, способного на такое.

Однако же не стоит обольщаться слишком уж сильно. Сам инсталлер распознаётся антивирусами очень легко и для его установки потребуются и админовские права и отключение всех антивирусных служб и сервисов. После установки всё будет работать идеально в любом случае.

Кроме того, описанная особенность (работа на уровне ядра ОС) вносит требования по версия ОС, на которых кейлоггеров будет работать. Версия 5-5.3 (ссылки на которую приведены чуть ниже) поддерживает всё до Windows 7, включительно. Win 8 / 10, а также windows семейства server (2003 / 2008 / 2012) уже не поддерживаются. Есть версия 6, прекрасно функционирующая в т.ч. на win 8 и 10, однако найти крякнутую версию на текущий момент не представляется возможным. Вероятно, в будущем она появится. А пока же скачать Elite keylogger 5.3 можно по ссылке выше.

Нет режима сетевой работы, посему для использования работодателями (для слежения за компьютерами своих сотрудников) или целой группы лиц не подойдёт.

Важным моментом является возможность создания установочного дистрибутива с предзаданными настройками (к примеру, с заданным адресом почты, куда нужно будет слать логи). При этом на выходе Вы получаете дистрибутив, которые при запуске не выдаёт абсолютно никаких предупреждений или окон, а после установки может даже уничтожить себя сам (если отметить соответствующую опцию).

Несколько скринов 5-ой версии (дабы показать, на сколько всё красиво и удобно):

2. All-in-one keylogger.

  • Скрытность: 3
  • Удобство / юзабилити: 9
  • Функциональность: 8

Также весьма и весьма удобная штуковина. Функционал вполне себе на уровне Elite keylogger-а. Вот со скрытностью дела по-хуже. Winlogon-пароли уже не перехыватываются, драйвером он не является, в ядро не встраивается. Однако же устанавливается в системные и скрытые AppData-директории, до которых не так легко добраться посторонним пользователям (не тем, от имени которых он установлен). Тем не менее антивирусы рано или поздно с успехом это делают, что делает эту вещь не особенно-то надёжной и безопасной при использовании, к примеру, у вас на работе для слежки за собственным начальством. 😉 Склеить с чем-нибудь или же закриптовать код для сокрытия от антивирусов не получится.

Работает на любых версиях ОС Win (что приятно и практично).

Что же касается остального, всё прекрасно: логирует всё (кроме паролей на вход в Windows), пересылает куда угодно (включая e-mail, ftp, фиксированную флешку). По удобство также всё прекрасно.

3. Spytech SpyAgent.

  • Скрытность: 4
  • Удобство / юзабилити: 8
  • Функциональность: 10

Также неплохой кейлоггер, хотя и с сомнительной скрытностью. Поддерживаемые версии ОС также все возможные. Функционал схож с предыдущими вариантами. Есть интересная функция самоуничтожения после заданного периода времени (либо по достижении заранее заданной даты).

Кроме того, возможна запись видео с веб-камеры и звука из микрофона, что также может быть очень востребовано и чего нет у предыдущих двух представителей.

Есть сетевой режим работы, что удобно для слежения за целой сетью компьютеров. Он же, кстати, есть у StaffCop (в обзор не включён по причине бесполезности для одного пользователя — физ. лица). Пожалуй, эта программа идеально подойдёт работодателям для слежки за своими сотрудниками (хотя лидер в этом поприще безоговорочно StaffCop и LanAgent — если Вы — юр. лицо, обязательно посмотрите в их сторону). Либо же для слежения за Вашим потомством, любящим посидеть за просмотром «сайтов для взрослых». Т.е. там, где нужна более не скрытость, а удобство (в т.ч. куча красивых журналов-отчётов и т.д.) и функционал блокировки заданных сайтов / программ (в SpyAgent он также имеется).

4. Spyrix Personal monitor.

  • Скрытность: 4
  • Удобство / юзабилити: 6
  • Функциональность: 10

Функционал на уровне предыдущего кандидата, однако те же проблемы со скрытностью. Кроме того, в функционал входит интересная вещь: копирование файлов со вставляемых в компьютер USB-носителей, а также удалённый просмотр логов через веб-аккаунт на сайте Spyrix (но мы же собираемся скачать крякнутую версию, посему оно для нас работать не будет).

5. Spyrix Personal monitor.

  • Скрытность: 3
  • Удобство / юзабилити: 6
  • Функциональность: 8

Подробно описывать не буду, т.к. данный экземпляр не имеет ничего из того, чего бы не было у одного из предыдущих шпионов, однако же кому-то данный кейлоггер может прийтись по душе (как минимум, своим интерфейсом).

Что имеем в итоге?

Вопрос использования кейлоггера в большей мере этический, чем технический, и он сильно зависит от Ваших целей.

Если Вы — работодатель, желающий контролировать своих сотрудников, смело ставьте StaffCop, собирайте со всех сотрудников письменные разрешения на таковые действа (иначе за такие дела Вас могут неслабо привлечь) и дело в шляпе. Хотя я лично знаю и более эффективные способы повышения работоспособности своих сотрудников.

Если же Вы — начинающий IT-специалист, желающий просто испытать, каково оно — кого-то поломать — и как вообще это дело работает, то вооружайтесь методами социальной инженерии и проводите испытания на своих друзьях, используя любой из приведённых примеров. Однако же помните: выявление такой активности жертвами отнюдь не способствует дружбе и долголетию. 😉 И уж точно не стоит проверять это на своей работе. Попомните мои слова: у меня в этом есть опыт. 😉

Если же Ваша цель — прошпионить за подругой, мужем, соседом, а может, и вовсе делаете это регулярно и за деньги, хорошо подумайте, стоит ли. Ведь рано или поздно могут привлечь. Да и не стоит оно того: «рыться в чужом грязном белье — удовольствие не из приятных». Если всё же надо (а может, Вы работаете в сфере расследования компьютерных преступлений и такие задачи входят в Ваши профессиональные обязанности), то варианта только два: The Rat! и Elite Keylogger. В режиме скрытых установочных дистрибутивов, склеенных с word / excel / pdf. И лучше, по возможности, закриптованных свежим криптором. Только в этом случае можно гарантировать более менее безопасную деятельность и реальных успех.

Но в любом случае стоит помнить, что грамотное применение кейлоггеров — это лишь одно маленькое звено в достижении цели (в т.ч. даже простой атаки). Не всегда есть админовские права, не всегда есть физический доступ и не все юзеры будут открывать, читать и уж тем более качать Ваши вложения / ссылки (привет соц. инженерии), не всегда будет отключён антивирус / Ваш кейлоггер / криптор не всегда будет ему неизвестен. Все эти и многие из несказанных проблем решаемы, но их решение — тема целой серии отдельных статей.

Словом, Вы только начали погружаться в сложный, опасный, но безумно интересный мир информационной безопасности. 🙂

Задачи кейлоггера в агенте

Кейлоггер – технология, направленная, по нашему видению, на решение двух основных задач.

Конечно, в любой DLP-системе есть множество различных перехватчиков, однако с их помощью не всегда удается перехватить всю важную информацию. Например, если сотрудник пытается скопировать или передать подобную информацию с помощью какого-либо специфического ПО, которое не является распространенным. Или отправляет какие-либо данные по каналам с многоуровневой защитой – несколькими уровнями шифрования, по специфическому протоколу и т.п. – в таком случае использования штатных перехватчиков DLP-системы уже недостаточно. В таких случаях кейлоггер позволяет решить задачу путем съема информации непосредственно на стадии ее зарождения, то есть при ее вводе с клавиатуры. Перехваченные таким образом данные используются в дальнейшем для проведения расследования.

Читать еще:  Что означает facepalm. Фейспалм: что это и с чем его едят

Отдельной важной задачей является перехват паролей от учетных записей, запароленных архивов и файлов, отправляемых за пределы компании и содержащих информацию, утечка которой критична для компании и несет серьезные бизнес-риски.

N.B. По поводу перехвата паролей от учетных записей отметим сразу: мы предварительно провели исследование среди наших заказчиков. По итогам выяснилось, что половина из них считает необходимым в целях безопасности перехватывать пароли от аккаунтов пользователей, а вторая половина категорически не приемлет перехват этой информации, и он строжайше запрещен внутренними корпоративными регламентами. Поэтому мы оставили настройку данной функциональности исключительно на усмотрение пользователя системы.

В общем механизм сам по себе эффективный, но, как и в кулинарии, главное – правильно его приготовить. Мы его готовили по следующему рецепту: перехватить – связать – склеить – спецэффекты по вкусу. Разберемся в деталях.

Перехватить => связать => склеить => спецэффекты по вкусу

Перехватить. Кейлоггер в Dozor Endpoint Agent может перехватывать пароли от учетных записей пользователей, от архивов, файлов и листов. Также осуществляется перехват фактов создания снимков экрана (клавиша PrintScreen) для последующей быстрой работы с ними как с отдельной категорией перехватов.

Связать. Все перехваты кейлоггер связывает с приложениями, в которых производился ввод данных с клавиатуры. В системе имеется широкий и постоянно пополняемый справочник приложений.

Склеить. Если сотрудник осуществлял ввод некоего связанного текста с клавиатуры в несколько этапов: набрал часть – переключился на другие задачи – вернулся к вводу – опять переключился – снова вернулся, кейлоггер детектирует все эти переходы и склеивает отдельно набранные куски текста в единый объект, который поступает в DLP-систему на анализ. На сегодняшний день такая возможность реализована только в DLP-системе Solar Dozor. Остальные представленные на российском рынке клавиатурные перехватчики, как отдельные продукты, так и в составе различных DLP-систем, предоставляют для анализа лишь разрозненный набор введенных с клавиатуры данных. И специалисту по безопасности в таком случае надо самому проанализировать весь поступивший набор разрозненной информации и восстановить из нее логическую цепь событий. Скажем прямо, нетривиальная задача.

Спецэффекты. В текущей версии кейлоггера Dozor Endpoint Agent отдельно отображаются результаты перехвата нажатий клавиши Backspace. Во время набора текста сотрудники часто применяют эту клавишу. В таком случае важно понимать, к какой информации было применено удаление, и уметь восстанавливать исходную информацию, которая может дать основания для проведения расследования. В результате администратору DLP-системы Solar Dozor доступен и финальный вариант текста, и исходный.

Приведем пример: сотрудник компании пишет заявление на увольнение.

Сначала указывает в тексте одну дату, потом стирает и ставит дату на 2 недели позже. У специалиста по безопасности сразу возникает вопрос, зачем это было сделано.

Чем сотрудник, уже принявший решение уволиться из компании, собирается заниматься эти две недели? Собирать ценную для бизнеса информацию? Агитировать своих коллег к совместному переходу в конкурирующую организацию? Этот вроде бы малозначительный факт – изменение даты в заявлении – повод провести расследование в отношении сотрудника.

Еще из спецэффектов в Solar Dozor реализована возможность связать перехваченные кейлоггером данные с соответствующими снимками экрана рабочего стола сотрудника. Функциональность модуля Dozor Endpoint Agent позволяет делать снимок экрана рабочей станции в любые заданные промежутки времени (хоть раз в минуту, хоть раз в час), а также по факту смены активного окна (переключения между приложениями), нажатию клавиш Enter и PrintScreen. Кейлоггер, перехватывая ввод какой-либо информации с клавиатуры рабочей станции, обращается к агенту за ближайшим по времени скриншотом. Таким образом специалист по безопасности получает сразу полную картинку события – введенные данные плюс подтверждение в виде скриншота.

Какой кейлоггер лучше?

Для того чтобы отследить чем занимаются дети в ваше отсутствие или с кем общается жена или муж по интернету, вам хватит программного кейлоггера. На мой взгляд у такого типа кейлоггеров больше плюсов чем минусов, особенно в ситуации когда у вас есть возможность установить (в некоторых случаях настройка антивируса для работы с кейлоггером) и читать логи в спокойной обстановке, когда дома никого нет.

Какой выбрать кейлоггер решать вам. Главное не забывать что в некоторых случаях использование клавиатурных шпионов незаконно!

Защита интернет-банкинга

Далеко не все пользователи услуг интернет-банкинга представляют себе уровень угроз, с которыми они могут столкнуться. Перечислим правила, которые рекомендуется соблюдать пользователям при совершении интернет-платежей и управлении своими средствами

Владимир Безмалый (vladb@windowslive.com) – специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security Trusted Advisоr

Последнее время российские пользователи все активнее осваивают покупки в Интернете и все чаще пользуются системами онлайн-банкинга. По данным «Лаборатории Касперского», на сегодня 53% российских интернет-пользователей совершают покупки онлайн и 35% удаленно работают с банковскими счетами. Это означает, что в будущем нас ждет еще больше «банковских» троянов и попыток кражи финансовой информации.

Уже сейчас пользователи довольно часто сталкиваются с кибер-угрозами при осуществлении онлайн-транзакций. Так, 26% респондентов признались, что в результате открытия почтового вложения их компьютер был инфицирован, а 11% вводили личные или финансовые данные на подозрительных веб-страницах. Даже соблюдая все правила интернет-безопасности, далеко не всегда достаточно полагаться на собственные силы, лучше использовать специальные защитные технологии.

Однако стоит отметить, что далеко не все пользователи услуг интернет-банкинга представляют себе уровень угроз, с которыми они могут столкнуться. Перечислим правила, которые рекомендуется соблюдать пользователям при совершении интернет-платежей и управлении своими средствами.

1. Используйте лицензионное программное обеспечение, полученное из надежных источников. Помните о том, что нелицензионное программное обеспечение и программы, загруженные из сомнительных источников, могут содержать вредоносные компоненты, специально сформированные закладки и т.д., предназначенные для хищения ваших паролей и номеров карт.

2. Регулярно обновляйте программное обеспечение. Помните, что в обновлении нуждается не только операционная система и офисные программы, а вообще все прикладное программное обеспечение, установленное на вашем компьютере. Для обновления операционной системы и других продуктов Microsoft используйте режим автоматического обновления. Для обновления стороннего клиентского программного обеспечения можно, например, использовать продукт компании Secunia – Personal Software Inspector. Эту бесплатную программу можно загрузить по адресу http://secunia.com/vulnerability_scanning/personal/.

3. Для защиты своего компьютера используйте антивирус и сетевой экран, а также средства, предоставляемые операционной системой. Не забудьте установить пароль на вашу учетную запись. По информации европейских банков, до 90% случаев нанесения ущерба вызваны внедрением «троянов». Поэтому не забывайте вовремя обновлять антивирусное программное обеспечение!

4. Используйте защищенное соединение. При использовании общедоступных сетей необходимо применять SSL-соединение.

5. Проверяйте подлинность банковской интернет-страницы.

6. Выбирайте для аутентификации сложные пароли либо используйте системы многофакторной аутентификации.

7. Контролируйте операции, производимые по вашему счету

8. Будьте внимательны! Не реагируйте на фишинговые письма.

Однако даже если вы и будете выполнять все эти рекомендации, дополнительные технические средства защиты не помешают. Ведь всего за первые месяцы 2012 года «Лаборатория Касперского» обнаружила более 15 тыс. новых троянов, нацеленных на кражу банковских данных. География их распространения охватывает практически весь мир, наиболее «популярными» странами являются Россия, Бразилия и Китай. На фоне общего количества угроз 15 тысяч – это не очень много, но для того чтобы потерять все деньги на банковском счете, достаточно одного случая заражения.

Следует учесть, что банки и другие финансовые организации не меньше своих клиентов заинтересованы в сохранении конфиденциальности информации, для этого они используют собственные средства защиты от злоумышленников (двойная аутентификация, система одноразовых динамических SMS-паролей, дополнительный список одноразовых паролей или аппаратный ключ, защищенное протоколом SSL-соединение и так далее). Однако перечисленные средства не являются панацеей: троян может перехватить платежный пароль пользователя или подделать сертификат подлинности сайта, мобильная версия Zeus, известная как Zeus-in-the-Mobile, может перехватить SMS с одноразовым кодом, а затем передать его злоумышленникам. Поэтому пользователю не стоит надеяться на банк, лучше с помощью собственного защитного компонента усилить предлагаемые им возможности. И в первую очередь для обеспечения безопасности банковской информации и системы в целом нужен качественный антивирус, входящий в продукт уровня Internet Security. Помимо антивируса необходимы средства поиска уязвимостей, проверка подлинности ссылок, блокировки зловредных веб-сценариев и всплывающих окон, защита данных от перехвата, а также виртуальная клавиатура для борьбы с кейлоггерами.

Следует учесть, что сегодня у злоумышленников наиболее распространены три подхода:

-заражение компьютера жертвы троянской программой;

-использование методов социальной инженерии;

-технологические атаки (сниффинг, подмена DNS/Proxy-серверов, подмена сертификатов и т.д.).

Исходя из этого, можно сделать вывод, что существуют три основные проблемы защиты от финансового мошенничества:

* недостаточно надежная идентификация сайтов;

* отсутствие доверенного соединения между клиентами и онлайн-сервисами;

* отсутствие гарантий того, что программное обеспечение на компьютере клиента не содержит уязвимых мест, которые могут использоваться злоумышленниками для атаки.

Безусловно, некоторые из этих проблем уже решаются продуктами класса Internet Security. В частности, защиту от фишинга предоставляют сегодня многие производители (качество такой защиты — это отдельный вопрос). Однако стоит учесть, что в большинстве продуктов такого класса некоторые из необходимых ступеней защиты отсутствуют.

Как уходят деньги?

Простейшим способом сбора финансовой информации является массовая рассылка фишинговых сообщений якобы от имени администрации банка. В письме злоумышленники могут прямо потребовать прислать им данные под выдуманным предлогом или же, что встречается значительно чаще, пройти по ссылке на «официальный сайт банка».

Согласно исследованию «Лаборатории Касперского», подобную корреспонденцию получали до четверти (23%) пользователей по всему миру. Дальнейшие события зависят от способностей киберпреступников. Например, они могут создать копию официального сайта банка и разместить ее на домене, схожем по написанию с банковским. Пользователь проходит по ссылке и, думая, что находится на настоящем сайте, вводит свои данные в стандартную форму, откуда они попадают к злоумышленникам. Другой вариант: ссылка ведет на сторонний ресурс, где пользователю быстро загружают вредоносное программное обеспечение, используя сценарий или уязвимость в браузере, а затем перенаправляют на реальный сайт банка. Согласно исследованию «Лаборатории Касперского», подобная корреспонденция появлялась в почтовых ящиках 23% пользователей по всему миру. При получении сомнительной корреспонденции нужно внимательно посмотреть на адрес отправителя и ссылку, по которой предлагается пройти. И, конечно, помнить о том, что банки и другие финансовые организации никогда не присылают подобные письма. А в случае каких-либо сомнений лучше потратить минуту времени и позвонить в банк, переходить по предложенной ссылке ни в коем случае нельзя.

Несмотря на то, что данный способ давно описан в соответствующей литературе и не является чем-то новым для пользователей, ввиду легкости и дешевизны осуществления он применяется до сих пор.

В качестве примера можно привести банковский троян Trojan-Banker.MSIL.MultiPhishing.gen, который эксперты «Лаборатории Касперского» обнаружили в январе 2012 года. Он специализируется на похищении данных для авторизации на сайтах Santander, HSBC Bank UK, Metro Bank, Bank Of Scotland, Lloyds TSB, Barclays и других банков. Попав на компьютер жертвы, троян никак себя не проявляет, пока пользователь не зайдет на сервис онлайн-банкинга одного из перечисленных финансовых учреждений. Дождавшись желаемого момента, троян демонстрирует пользователю окно, имитирующее форму авторизации соответствующего банка. Если пользователь не заподозрит подвоха и введет в нее свои данные, вся информация будет незамедлительно отправлена владельцам трояна. Trojan-Banker.MSIL.MultiPhishing.gen действует по всему миру, но большая часть срабатываний приходится на Великобританию.

Вместе с тем не стоит забывать о технических средствах, предназначенных для хищения данных авторизации в момент их ввода пользователем, а также создания снимков экрана. Это так называемые кейлоггеры. Кроме того, популярность приобрели троянские программы, предназначенные для хищения паролей из менеджера паролей браузера.

Другие вредоносные программы могут во время работы пользователя подменять сайт банка сайтом злоумышленников (путем манипуляций с DNS) или модифицировать загруженные в браузере веб-страницы реального сайта, например, добавляя в них собственные поля. Например, так поступал знаменитый универсальный (то есть выкрадывающий всевозможную личную информацию) троян Zeus, заразивший 3,5 млн. компьютеров только в США. Один из его наследников, троян Trojan-Spy.Win32.Carberp, проникает в систему, используя известные уязвимости, и затем крадет деньги с банковских счетов физических и юридических лиц. Местом обитания трояна являются преимущественно Россия и страны СНГ.

Банковская защита от мошенников

Безусловно, банки и другие финансовые организации не менее своих клиентов заинтересованы в сохранении конфиденциальности информации, а потому всегда использовали и будут использовать собственные средства защиты. Например, системы разовых паролей или двойную аутентификацию, которая предусматривает два пароля: один для входа в систему и просмотра баланса и другой — для проведения платежей. Некоторые организации предусматривают специальное программное обеспечение для операций онлайн-банкинга. Увы, данные средства не являются панацеей.

В первую очередь для обеспечения безопасности банковской информации и системы в целом нужен качественный антивирус, входящий в продукт уровня Internet Security. Он должен защитить компьютер от вредоносных программ, в том числе с помощью проактивных технологий. Также необходим веб-фильтр или аналогичное решение, способное обеспечить безопасность пользователя во время онлайн-серфинга, а также виртуальная клавиатура – для обхода кейлоггеров.

В новой линейке Kaspersky Internet Security для защиты финансовой и другой важной информации во время проведения платежных операций предусмотрена технология «Безопасные платежи» (экран 1), включающая три ключевых компонента защиты:

— база доверенных адресов платежных и банковских систем;

— сервис проверки сертификатов, позволяющий убедиться в подлинности веб-сайта;

— проверка компьютера пользователя на наличие уязвимостей. В данном случае проверяется наличие уязвимостей определенного типа, влияющих на безопасность онлайн-банкинга (к примеру, уязвимости класса повышения привилегий). В случае обнаружения «дыр» пользователю будет предложено устранить их в автоматическом режиме.

Экран 1. Безопасные платежи

Следует учесть, что пользователь может сам добавить в список доверенных любой банк, платежную систему или интернет-магазин. Для этого достаточно нажать кнопку «Добавить» и в появившемся окне (экран 2) ввести соответствующий адрес и описание.

Экран 2. Веб-сайт для?безопасных платежей

Настройка данного модуля не требуется. По умолчанию он уже готов к работе. Единственное действие, которое вы можете выполнить при настройке – ввести доверенные адреса.

При первом входе на соответствующий сайт достаточно ответить на вопрос «хотите ли вы запустить сессию в защищенном режиме», после чего при всех дальнейших операциях с этими адресами автоматически будет запускаться специальная защищенная сессия браузера.

Что происходит при запуске защищенного режима браузера?

1. Автоматически задействуется ряд антифишинговых технологий, включая проверку репутации сайта в «облачной» системе KSN и эвристический анализатор сайтов. Таким образом, даже если злоумышленники заманили пользователя письмом якобы от его банка и заставили перейти на поддельный сайт, защита распознает атаку, предупредит и заблокирует. Спуфинг (подмена адресов сайтов) также блокируется.

Читать еще:  «Неопознанная сеть» при подключении к интернету в Windows 10

2. KIS проводит валидацию цифровых сертификатов (согласно базе данных KSN) для установления действительно доверительного, защищенного соединения с сайтом и предотвращения использования поддельных сертификатов.

3. Каждый раз при запуске проводится экспресс-сканирование операционной системы для выявления критических уязвимостей, которые могут использоваться злоумышленниками для атаки на компьютер и обхода стандартной защиты. Если уязвимости найдены, система выводит предупреждение и предлагает запустить модуль обновления Windows для установки обновлений.

Защищенный режим браузера включает расширенный режим контроля программ (HIPS) специально для веб-сайтов, защищает вводимые с клавиатуры символы при помощи виртуальной клавиатуры и новой технологии «Безопасная клавиатура», защищающей от клавиатурных перехватчиков (кейлоггеров) на уровне драйвера операционной системы, (см. рисунок).

Рисунок. Схема работы KIS

Таким образом создается интегрированная, многоуровневая защита для борьбы с финансовым мошенничеством и специализированными вредоносными программами. Защита синхронизирует все необходимые компоненты продукта (в том числе автоматическую защиту Automatic Exploit Prevention для блокировки как известных, так и неизвестных атак через уязвимые места) для безопасной работы с «денежными» онлайн-сервисами.

Вместе с тем следует учесть, что не нужно каждый раз вручную включать специальный защищенный режим – это происходит автоматически, причем браузер сигнализирует об активации режима подсветкой окна. Технология не требует настройки: пользователю выводятся только предупреждения о блокированных атаках.

И, наконец, самый главный вопрос. А зачем вообще все это нужно? Ведь уже сегодня нормальные банки используют многофакторную аутентификацию, одноразовые пароли, SMS-оповещения, защищенные соединения, политику оценки и аудита паролей, даже иногда попадаются сервисы с виртуальными клавиатурами. Да затем, что киберпреступность не будет стоять на месте, угрозы, увы, развиваются непредсказуемо. А значит, дополнительный уровень защиты лишним не будет!

Поделитесь материалом с коллегами и друзьями

Резюме

При разработке всех решений и заложенных в них технологий мы стараемся реализовать их таким образом, чтобы на работу с ними у специалиста по информационной безопасности уходило минимум времени, и при этом он получал максимальный результат. Именно так и реализован кейлоггер в составе Dozor Endpoint Agent. Его возможности направлены на получение максимально подробной информации о действиях сотрудника на рабочей станции, зафиксированных DLP-системой, со всеми деталями и сопутствующими данными в сжатые сроки.

Подписывайтесь на каналы «SecurityLab» в Telegram и Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Кто из нас не хотел почувствовать себя хоть раз кул-хакером и сломать хотя бы что-нибудь? 🙂 Если даже и нет, то уж о том, как было бы здорово заполучить пароль от почты / соц. сети друга, жены / мужа, соседа по комнате думал хотя бы однажды каждый. 🙂 Да и надо же с чего-то начинать, в конце-то концов! Существенная часть атак (взломов) включает в себя заражение компьютера жертвы так называемыми кейлоггерами (spyware).

Итак, в сегодняшней статье поговорим о том, какие есть бесплатные программы для слежения за компьютерами на базе windows, где можно скачать их полные версии, как заразить ими компьютер жертвы и в чём особенности их использования.

Но вначале небольшое введение.

Что такое и зачем нужны кейлоггеры?

О том, что это такое, думаю, Вы догадались и сами. Как правило, они представляют собой некую программу, которая скрыто (хотя это не всегда так) устанавливается на компьютер жертвы, после чего фиксирует абсолютно все нажатия на клавиатуре на данным узле. При этом помимо самих по себе нажатия обычно фиксируется: дата-время нажатия (действия) и программа, в которой эти действия были выполнены (браузер, в том числе адрес сайта (ура, сразу видим, от чего пароли!); локальное приложение; системные службы (в т.ч. пароли входа в windows) и т.д.).

Отсюда сразу видна одна из проблем: я заполучио на пару минут доступ к компьютеру своей соседки и хочу заполучить её пароль от ВК! Установил чудо-программку и вернул комп. Как же мне потом смотреть пароли? Снова искать способ забрать у неё комп? Есть приятная новость: как правило, нет. Большинство кейлоггеров способно не только хранить всю накопленную базу действий локально, но ещё и пересылать её удалённо. Вариантов отправки логов существует масса:

  • Фикситрованный e-mail (может быть несколько) — самый удобный вариант;
  • FTP-сервер (у кого он есть);
  • SMB-сервер (экзотика, да и не очень удобно).
  • Фиксированная флешка (вставляешь её в USB-порт компьютера жертвы, и все логи копируются туда автоматически в невидимом режиме!).

Зачем же всё это нужно? Думаю, ответ очевиден. Помимо банальной кражи паролей, некоторые кейлоггеры умеют ещё ряд приятный вещей:

  • Логирование переписки в заданных соц. сетях или мессенджерах (напр, Skype).
  • Съёмка скриншотов экрана.
  • Просмотр / съемка данных с веб-камеры (что может быть очень интересно).

Как использовать кейлоггеры?

А это вопрос непростой. Надо понимать, что просто найти удобный функциональный хороший кейлоггер мало.

Итак, что же нужно для успешной работы программы-шпиона :

  • Администраторский доступ к удалённому компьютеру.
    При чём это совсем не обязательно именно физический доступ. Вы вполне можете зайти туда через RDP (службу Удалённого рабочего стола); TeamViewer; AmmyAdmin и т.д.
    Как правило, с этим пунктом связаны самые большие сложности. Однако же я недавно писал статью о том, как получить права администратора в Windows.
  • Анонимный e-mail / ftp (по которому Вас не вычислят).
    Конечно, если Вы ломаете соседу тётю Шуру, этот пункт можно смело опустить. Как и в случае, если у Вас компьютер жертвы всегда под рукой (аля, узнать пароли брата / сестры).
  • Отсутствие рабочих антивирусов / внутренних систем защиты Windows.
    Большинство публичных кейлоггеров (о которых и пойдёт речь ниже) известны подавляющему большинству антивирусного ПО (хотя есть такие вирусы-логгеры, которые встраиваются в ядро ОС или системный драйвер, и антивирусы уже не могут их ни обнаружить, ни уничтожить, если даже обнаружили). В силу вышесказанного, антивирусное ПО, если таковое имеется, придётся безжалотсно уничтожить. Кроме антивирусов, опасность для нашей программы-шпиона представляют также системы типа Защитник Windows (таковые впервые появились в Windows 7 и далее). Они отлавливают подозрительную активность работающего на компьютере ПО. О том, как же от них избавиться можно без труда найти в гугле.

Вот, пожалуй, и все необходимые и достаточные условия Вашего успеха на поприще кражи чужих паролей / переписок / фото или на что там ещё Вам заблагорассудится посягнуть.

Чуть было не забыл главное! Будучи на рабочем месте, да и дома тоже, не забывайте обезопасить себя самого! Не используйтесь рабочий интернет-канал для поиска и скачивания вредоносного ПО и запросов типа: «как получить права доменного админа в корпоративной сети»! 🙂 Вот моя статья о том, как остаться анонимным в Интернете.

Какие бывают программы-шпионы и где их скачать?

Итак, начнём обзор основных кейлоггеров, которые мне довелось использовать в своей повседневной практике со ссылками на бесплатное скачивание их полных версий (т.е. все версии последние на текущий момент (для которых реально найти лекарство) и с уже рабочими и испытанными кряками).

0. The Rat!

  • Скрытность: 10
  • Удобство / юзабилити: 9
  • Функциональность: 8

Это просто бомба, а не кейлоггер! В рабочем состоянии занимает 15-20 КБ. Чего удивляться: он целиком написан на ассемблере (ветераны-программисты прослезились) и написан по большей части энтузиастами-хакерами, за счёт чего уровень его скрытности просто поражает воображение: работает он на уровне ядра ОС!

Кроме того, в комлект поставки входит FileConnector — мини-программа, позволяющая склеить данный кейлоггер с абсолютно любой прогой. В результате Вы получаете новый exe-шник практически того же размера, и работающий при запуске ровно так, как та програ, с которой Вы его склеили! Но после первого запуска Ваш кейлоггер будет автоматически установлен в невидимом режиме с заранее заданными Вами параметрами отсылки логов. Удобно, не правда ли?

Прекрасная возможность для социальной инженерии (приносите другу на флешке файл-игру / презентацию, да можно даже просто документ ворд (о том, как создать exe-ик, запускающий конкретный word/excel-файл расскажу в одной из следующий своих статей), запускаете, всё хорошо и прекрасно, однако же друг невидимо уже заражён!). Либо же просто шлёте этот файлик другу по почте (лучше ссылку на его скачивание, т.к. современные почтовые сервера запрещают отправку exe-файлов). Конечно, риск от антивирусов при установке всё же имеет место быть (зато его не будет после установки).

Кстати, при помощи некоторых других приёмов можно склеить любой дистрибутив скрытой установки (таковые есть в The Rat! и в Elite keylogger) не только с exe-файлами (которые у мало мальски продвинутых пользователей всё же вызывают подозрения), но и с обычными word / excel и даже pdf-файлами! Уж на простую pdf-ку никто никогда ничего не подумает, но не тут-то было! 🙂 Как это делается — тема целой отдельной статьи. Особо ретивые могут написать мне вопросы через форму обратной связи. 😉

В общем, The Rat! можно описывать очень долго и много. Куда лучше меня это сделано вот здесь. Там же есть и ссылка на скачивание.

1. Elite keylogger

  • Скрытность: 10
  • Удобство / юзабилити: 9
  • Функциональность: 8

Ссылка на скачивание: здесь

Пожалуй, один из лучших когда-либо созданных кейлоггеров. В число его возможностей, помимо стандартного набора (перехват всех нажатий в контексте приложений / окон / сайтов), входит перехват сообщений мессенджеров, снимки с веб-камеры, а также — что ОЧЕНЬ важно! — перехват паролей службы WinLogon. Иными словами, он перехватывает пароли входа в Windows (включая доменные!). Это стало возможным благодаря его работе на уровне системного драйвера и запуску ещё на этапе загрузки ОС. В силу этой же особенности, данная программка остаётся абсолютно невидимой и для Каспероского, и для всего прочего анти-вредоносного ПО. Признаться, я не встречал ни одного кейлоггера, способного на такое.

Однако же не стоит обольщаться слишком уж сильно. Сам инсталлер распознаётся антивирусами очень легко и для его установки потребуются и админовские права и отключение всех антивирусных служб и сервисов. После установки всё будет работать идеально в любом случае.

Кроме того, описанная особенность (работа на уровне ядра ОС) вносит требования по версия ОС, на которых кейлоггеров будет работать. Версия 5-5.3 (ссылки на которую приведены чуть ниже) поддерживает всё до Windows 7, включительно. Win 8 / 10, а также windows семейства server (2003 / 2008 / 2012) уже не поддерживаются. Есть версия 6, прекрасно функционирующая в т.ч. на win 8 и 10, однако найти крякнутую версию на текущий момент не представляется возможным. Вероятно, в будущем она появится. А пока же скачать Elite keylogger 5.3 можно по ссылке выше.

Нет режима сетевой работы, посему для использования работодателями (для слежения за компьютерами своих сотрудников) или целой группы лиц не подойдёт.

Важным моментом является возможность создания установочного дистрибутива с предзаданными настройками (к примеру, с заданным адресом почты, куда нужно будет слать логи). При этом на выходе Вы получаете дистрибутив, которые при запуске не выдаёт абсолютно никаких предупреждений или окон, а после установки может даже уничтожить себя сам (если отметить соответствующую опцию).

Несколько скринов 5-ой версии (дабы показать, на сколько всё красиво и удобно):

2. All-in-one keylogger.

  • Скрытность: 3
  • Удобство / юзабилити: 9
  • Функциональность: 8

Также весьма и весьма удобная штуковина. Функционал вполне себе на уровне Elite keylogger-а. Вот со скрытностью дела по-хуже. Winlogon-пароли уже не перехыватываются, драйвером он не является, в ядро не встраивается. Однако же устанавливается в системные и скрытые AppData-директории, до которых не так легко добраться посторонним пользователям (не тем, от имени которых он установлен). Тем не менее антивирусы рано или поздно с успехом это делают, что делает эту вещь не особенно-то надёжной и безопасной при использовании, к примеру, у вас на работе для слежки за собственным начальством. 😉 Склеить с чем-нибудь или же закриптовать код для сокрытия от антивирусов не получится.

Работает на любых версиях ОС Win (что приятно и практично).

Что же касается остального, всё прекрасно: логирует всё (кроме паролей на вход в Windows), пересылает куда угодно (включая e-mail, ftp, фиксированную флешку). По удобство также всё прекрасно.

3. Spytech SpyAgent.

  • Скрытность: 4
  • Удобство / юзабилити: 8
  • Функциональность: 10

Также неплохой кейлоггер, хотя и с сомнительной скрытностью. Поддерживаемые версии ОС также все возможные. Функционал схож с предыдущими вариантами. Есть интересная функция самоуничтожения после заданного периода времени (либо по достижении заранее заданной даты).

Кроме того, возможна запись видео с веб-камеры и звука из микрофона, что также может быть очень востребовано и чего нет у предыдущих двух представителей.

Есть сетевой режим работы, что удобно для слежения за целой сетью компьютеров. Он же, кстати, есть у StaffCop (в обзор не включён по причине бесполезности для одного пользователя — физ. лица). Пожалуй, эта программа идеально подойдёт работодателям для слежки за своими сотрудниками (хотя лидер в этом поприще безоговорочно StaffCop и LanAgent — если Вы — юр. лицо, обязательно посмотрите в их сторону). Либо же для слежения за Вашим потомством, любящим посидеть за просмотром «сайтов для взрослых». Т.е. там, где нужна более не скрытость, а удобство (в т.ч. куча красивых журналов-отчётов и т.д.) и функционал блокировки заданных сайтов / программ (в SpyAgent он также имеется).

4. Spyrix Personal monitor.

  • Скрытность: 4
  • Удобство / юзабилити: 6
  • Функциональность: 10

Функционал на уровне предыдущего кандидата, однако те же проблемы со скрытностью. Кроме того, в функционал входит интересная вещь: копирование файлов со вставляемых в компьютер USB-носителей, а также удалённый просмотр логов через веб-аккаунт на сайте Spyrix (но мы же собираемся скачать крякнутую версию, посему оно для нас работать не будет).

5. Spyrix Personal monitor.

  • Скрытность: 3
  • Удобство / юзабилити: 6
  • Функциональность: 8

Подробно описывать не буду, т.к. данный экземпляр не имеет ничего из того, чего бы не было у одного из предыдущих шпионов, однако же кому-то данный кейлоггер может прийтись по душе (как минимум, своим интерфейсом).

Что имеем в итоге?

Вопрос использования кейлоггера в большей мере этический, чем технический, и он сильно зависит от Ваших целей.

Если Вы — работодатель, желающий контролировать своих сотрудников, смело ставьте StaffCop, собирайте со всех сотрудников письменные разрешения на таковые действа (иначе за такие дела Вас могут неслабо привлечь) и дело в шляпе. Хотя я лично знаю и более эффективные способы повышения работоспособности своих сотрудников.

Если же Вы — начинающий IT-специалист, желающий просто испытать, каково оно — кого-то поломать — и как вообще это дело работает, то вооружайтесь методами социальной инженерии и проводите испытания на своих друзьях, используя любой из приведённых примеров. Однако же помните: выявление такой активности жертвами отнюдь не способствует дружбе и долголетию. 😉 И уж точно не стоит проверять это на своей работе. Попомните мои слова: у меня в этом есть опыт. 😉

Читать еще:  Обзор мобильного приложения Reestore - получите выписку из ЕГРН

Если же Ваша цель — прошпионить за подругой, мужем, соседом, а может, и вовсе делаете это регулярно и за деньги, хорошо подумайте, стоит ли. Ведь рано или поздно могут привлечь. Да и не стоит оно того: «рыться в чужом грязном белье — удовольствие не из приятных». Если всё же надо (а может, Вы работаете в сфере расследования компьютерных преступлений и такие задачи входят в Ваши профессиональные обязанности), то варианта только два: The Rat! и Elite Keylogger. В режиме скрытых установочных дистрибутивов, склеенных с word / excel / pdf. И лучше, по возможности, закриптованных свежим криптором. Только в этом случае можно гарантировать более менее безопасную деятельность и реальных успех.

Но в любом случае стоит помнить, что грамотное применение кейлоггеров — это лишь одно маленькое звено в достижении цели (в т.ч. даже простой атаки). Не всегда есть админовские права, не всегда есть физический доступ и не все юзеры будут открывать, читать и уж тем более качать Ваши вложения / ссылки (привет соц. инженерии), не всегда будет отключён антивирус / Ваш кейлоггер / криптор не всегда будет ему неизвестен. Все эти и многие из несказанных проблем решаемы, но их решение — тема целой серии отдельных статей.

Словом, Вы только начали погружаться в сложный, опасный, но безумно интересный мир информационной безопасности. 🙂

Какой кейлоггер лучше?

Для того чтобы отследить чем занимаются дети в ваше отсутствие или с кем общается жена или муж по интернету, вам хватит программного кейлоггера. На мой взгляд у такого типа кейлоггеров больше плюсов чем минусов, особенно в ситуации когда у вас есть возможность установить (в некоторых случаях настройка антивируса для работы с кейлоггером) и читать логи в спокойной обстановке, когда дома никого нет.

Какой выбрать кейлоггер решать вам. Главное не забывать что в некоторых случаях использование клавиатурных шпионов незаконно!

Защита интернет-банкинга

Далеко не все пользователи услуг интернет-банкинга представляют себе уровень угроз, с которыми они могут столкнуться. Перечислим правила, которые рекомендуется соблюдать пользователям при совершении интернет-платежей и управлении своими средствами

Владимир Безмалый (vladb@windowslive.com) – специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security Trusted Advisоr

Последнее время российские пользователи все активнее осваивают покупки в Интернете и все чаще пользуются системами онлайн-банкинга. По данным «Лаборатории Касперского», на сегодня 53% российских интернет-пользователей совершают покупки онлайн и 35% удаленно работают с банковскими счетами. Это означает, что в будущем нас ждет еще больше «банковских» троянов и попыток кражи финансовой информации.

Уже сейчас пользователи довольно часто сталкиваются с кибер-угрозами при осуществлении онлайн-транзакций. Так, 26% респондентов признались, что в результате открытия почтового вложения их компьютер был инфицирован, а 11% вводили личные или финансовые данные на подозрительных веб-страницах. Даже соблюдая все правила интернет-безопасности, далеко не всегда достаточно полагаться на собственные силы, лучше использовать специальные защитные технологии.

Однако стоит отметить, что далеко не все пользователи услуг интернет-банкинга представляют себе уровень угроз, с которыми они могут столкнуться. Перечислим правила, которые рекомендуется соблюдать пользователям при совершении интернет-платежей и управлении своими средствами.

1. Используйте лицензионное программное обеспечение, полученное из надежных источников. Помните о том, что нелицензионное программное обеспечение и программы, загруженные из сомнительных источников, могут содержать вредоносные компоненты, специально сформированные закладки и т.д., предназначенные для хищения ваших паролей и номеров карт.

2. Регулярно обновляйте программное обеспечение. Помните, что в обновлении нуждается не только операционная система и офисные программы, а вообще все прикладное программное обеспечение, установленное на вашем компьютере. Для обновления операционной системы и других продуктов Microsoft используйте режим автоматического обновления. Для обновления стороннего клиентского программного обеспечения можно, например, использовать продукт компании Secunia – Personal Software Inspector. Эту бесплатную программу можно загрузить по адресу http://secunia.com/vulnerability_scanning/personal/.

3. Для защиты своего компьютера используйте антивирус и сетевой экран, а также средства, предоставляемые операционной системой. Не забудьте установить пароль на вашу учетную запись. По информации европейских банков, до 90% случаев нанесения ущерба вызваны внедрением «троянов». Поэтому не забывайте вовремя обновлять антивирусное программное обеспечение!

4. Используйте защищенное соединение. При использовании общедоступных сетей необходимо применять SSL-соединение.

5. Проверяйте подлинность банковской интернет-страницы.

6. Выбирайте для аутентификации сложные пароли либо используйте системы многофакторной аутентификации.

7. Контролируйте операции, производимые по вашему счету

8. Будьте внимательны! Не реагируйте на фишинговые письма.

Однако даже если вы и будете выполнять все эти рекомендации, дополнительные технические средства защиты не помешают. Ведь всего за первые месяцы 2012 года «Лаборатория Касперского» обнаружила более 15 тыс. новых троянов, нацеленных на кражу банковских данных. География их распространения охватывает практически весь мир, наиболее «популярными» странами являются Россия, Бразилия и Китай. На фоне общего количества угроз 15 тысяч – это не очень много, но для того чтобы потерять все деньги на банковском счете, достаточно одного случая заражения.

Следует учесть, что банки и другие финансовые организации не меньше своих клиентов заинтересованы в сохранении конфиденциальности информации, для этого они используют собственные средства защиты от злоумышленников (двойная аутентификация, система одноразовых динамических SMS-паролей, дополнительный список одноразовых паролей или аппаратный ключ, защищенное протоколом SSL-соединение и так далее). Однако перечисленные средства не являются панацеей: троян может перехватить платежный пароль пользователя или подделать сертификат подлинности сайта, мобильная версия Zeus, известная как Zeus-in-the-Mobile, может перехватить SMS с одноразовым кодом, а затем передать его злоумышленникам. Поэтому пользователю не стоит надеяться на банк, лучше с помощью собственного защитного компонента усилить предлагаемые им возможности. И в первую очередь для обеспечения безопасности банковской информации и системы в целом нужен качественный антивирус, входящий в продукт уровня Internet Security. Помимо антивируса необходимы средства поиска уязвимостей, проверка подлинности ссылок, блокировки зловредных веб-сценариев и всплывающих окон, защита данных от перехвата, а также виртуальная клавиатура для борьбы с кейлоггерами.

Следует учесть, что сегодня у злоумышленников наиболее распространены три подхода:

-заражение компьютера жертвы троянской программой;

-использование методов социальной инженерии;

-технологические атаки (сниффинг, подмена DNS/Proxy-серверов, подмена сертификатов и т.д.).

Исходя из этого, можно сделать вывод, что существуют три основные проблемы защиты от финансового мошенничества:

* недостаточно надежная идентификация сайтов;

* отсутствие доверенного соединения между клиентами и онлайн-сервисами;

* отсутствие гарантий того, что программное обеспечение на компьютере клиента не содержит уязвимых мест, которые могут использоваться злоумышленниками для атаки.

Безусловно, некоторые из этих проблем уже решаются продуктами класса Internet Security. В частности, защиту от фишинга предоставляют сегодня многие производители (качество такой защиты — это отдельный вопрос). Однако стоит учесть, что в большинстве продуктов такого класса некоторые из необходимых ступеней защиты отсутствуют.

Как уходят деньги?

Простейшим способом сбора финансовой информации является массовая рассылка фишинговых сообщений якобы от имени администрации банка. В письме злоумышленники могут прямо потребовать прислать им данные под выдуманным предлогом или же, что встречается значительно чаще, пройти по ссылке на «официальный сайт банка».

Согласно исследованию «Лаборатории Касперского», подобную корреспонденцию получали до четверти (23%) пользователей по всему миру. Дальнейшие события зависят от способностей киберпреступников. Например, они могут создать копию официального сайта банка и разместить ее на домене, схожем по написанию с банковским. Пользователь проходит по ссылке и, думая, что находится на настоящем сайте, вводит свои данные в стандартную форму, откуда они попадают к злоумышленникам. Другой вариант: ссылка ведет на сторонний ресурс, где пользователю быстро загружают вредоносное программное обеспечение, используя сценарий или уязвимость в браузере, а затем перенаправляют на реальный сайт банка. Согласно исследованию «Лаборатории Касперского», подобная корреспонденция появлялась в почтовых ящиках 23% пользователей по всему миру. При получении сомнительной корреспонденции нужно внимательно посмотреть на адрес отправителя и ссылку, по которой предлагается пройти. И, конечно, помнить о том, что банки и другие финансовые организации никогда не присылают подобные письма. А в случае каких-либо сомнений лучше потратить минуту времени и позвонить в банк, переходить по предложенной ссылке ни в коем случае нельзя.

Несмотря на то, что данный способ давно описан в соответствующей литературе и не является чем-то новым для пользователей, ввиду легкости и дешевизны осуществления он применяется до сих пор.

В качестве примера можно привести банковский троян Trojan-Banker.MSIL.MultiPhishing.gen, который эксперты «Лаборатории Касперского» обнаружили в январе 2012 года. Он специализируется на похищении данных для авторизации на сайтах Santander, HSBC Bank UK, Metro Bank, Bank Of Scotland, Lloyds TSB, Barclays и других банков. Попав на компьютер жертвы, троян никак себя не проявляет, пока пользователь не зайдет на сервис онлайн-банкинга одного из перечисленных финансовых учреждений. Дождавшись желаемого момента, троян демонстрирует пользователю окно, имитирующее форму авторизации соответствующего банка. Если пользователь не заподозрит подвоха и введет в нее свои данные, вся информация будет незамедлительно отправлена владельцам трояна. Trojan-Banker.MSIL.MultiPhishing.gen действует по всему миру, но большая часть срабатываний приходится на Великобританию.

Вместе с тем не стоит забывать о технических средствах, предназначенных для хищения данных авторизации в момент их ввода пользователем, а также создания снимков экрана. Это так называемые кейлоггеры. Кроме того, популярность приобрели троянские программы, предназначенные для хищения паролей из менеджера паролей браузера.

Другие вредоносные программы могут во время работы пользователя подменять сайт банка сайтом злоумышленников (путем манипуляций с DNS) или модифицировать загруженные в браузере веб-страницы реального сайта, например, добавляя в них собственные поля. Например, так поступал знаменитый универсальный (то есть выкрадывающий всевозможную личную информацию) троян Zeus, заразивший 3,5 млн. компьютеров только в США. Один из его наследников, троян Trojan-Spy.Win32.Carberp, проникает в систему, используя известные уязвимости, и затем крадет деньги с банковских счетов физических и юридических лиц. Местом обитания трояна являются преимущественно Россия и страны СНГ.

Банковская защита от мошенников

Безусловно, банки и другие финансовые организации не менее своих клиентов заинтересованы в сохранении конфиденциальности информации, а потому всегда использовали и будут использовать собственные средства защиты. Например, системы разовых паролей или двойную аутентификацию, которая предусматривает два пароля: один для входа в систему и просмотра баланса и другой — для проведения платежей. Некоторые организации предусматривают специальное программное обеспечение для операций онлайн-банкинга. Увы, данные средства не являются панацеей.

В первую очередь для обеспечения безопасности банковской информации и системы в целом нужен качественный антивирус, входящий в продукт уровня Internet Security. Он должен защитить компьютер от вредоносных программ, в том числе с помощью проактивных технологий. Также необходим веб-фильтр или аналогичное решение, способное обеспечить безопасность пользователя во время онлайн-серфинга, а также виртуальная клавиатура – для обхода кейлоггеров.

В новой линейке Kaspersky Internet Security для защиты финансовой и другой важной информации во время проведения платежных операций предусмотрена технология «Безопасные платежи» (экран 1), включающая три ключевых компонента защиты:

— база доверенных адресов платежных и банковских систем;

— сервис проверки сертификатов, позволяющий убедиться в подлинности веб-сайта;

— проверка компьютера пользователя на наличие уязвимостей. В данном случае проверяется наличие уязвимостей определенного типа, влияющих на безопасность онлайн-банкинга (к примеру, уязвимости класса повышения привилегий). В случае обнаружения «дыр» пользователю будет предложено устранить их в автоматическом режиме.

Экран 1. Безопасные платежи

Следует учесть, что пользователь может сам добавить в список доверенных любой банк, платежную систему или интернет-магазин. Для этого достаточно нажать кнопку «Добавить» и в появившемся окне (экран 2) ввести соответствующий адрес и описание.

Экран 2. Веб-сайт для?безопасных платежей

Настройка данного модуля не требуется. По умолчанию он уже готов к работе. Единственное действие, которое вы можете выполнить при настройке – ввести доверенные адреса.

При первом входе на соответствующий сайт достаточно ответить на вопрос «хотите ли вы запустить сессию в защищенном режиме», после чего при всех дальнейших операциях с этими адресами автоматически будет запускаться специальная защищенная сессия браузера.

Что происходит при запуске защищенного режима браузера?

1. Автоматически задействуется ряд антифишинговых технологий, включая проверку репутации сайта в «облачной» системе KSN и эвристический анализатор сайтов. Таким образом, даже если злоумышленники заманили пользователя письмом якобы от его банка и заставили перейти на поддельный сайт, защита распознает атаку, предупредит и заблокирует. Спуфинг (подмена адресов сайтов) также блокируется.

2. KIS проводит валидацию цифровых сертификатов (согласно базе данных KSN) для установления действительно доверительного, защищенного соединения с сайтом и предотвращения использования поддельных сертификатов.

3. Каждый раз при запуске проводится экспресс-сканирование операционной системы для выявления критических уязвимостей, которые могут использоваться злоумышленниками для атаки на компьютер и обхода стандартной защиты. Если уязвимости найдены, система выводит предупреждение и предлагает запустить модуль обновления Windows для установки обновлений.

Защищенный режим браузера включает расширенный режим контроля программ (HIPS) специально для веб-сайтов, защищает вводимые с клавиатуры символы при помощи виртуальной клавиатуры и новой технологии «Безопасная клавиатура», защищающей от клавиатурных перехватчиков (кейлоггеров) на уровне драйвера операционной системы, (см. рисунок).

Рисунок. Схема работы KIS

Таким образом создается интегрированная, многоуровневая защита для борьбы с финансовым мошенничеством и специализированными вредоносными программами. Защита синхронизирует все необходимые компоненты продукта (в том числе автоматическую защиту Automatic Exploit Prevention для блокировки как известных, так и неизвестных атак через уязвимые места) для безопасной работы с «денежными» онлайн-сервисами.

Вместе с тем следует учесть, что не нужно каждый раз вручную включать специальный защищенный режим – это происходит автоматически, причем браузер сигнализирует об активации режима подсветкой окна. Технология не требует настройки: пользователю выводятся только предупреждения о блокированных атаках.

И, наконец, самый главный вопрос. А зачем вообще все это нужно? Ведь уже сегодня нормальные банки используют многофакторную аутентификацию, одноразовые пароли, SMS-оповещения, защищенные соединения, политику оценки и аудита паролей, даже иногда попадаются сервисы с виртуальными клавиатурами. Да затем, что киберпреступность не будет стоять на месте, угрозы, увы, развиваются непредсказуемо. А значит, дополнительный уровень защиты лишним не будет!

Поделитесь материалом с коллегами и друзьями

Резюме

При разработке всех решений и заложенных в них технологий мы стараемся реализовать их таким образом, чтобы на работу с ними у специалиста по информационной безопасности уходило минимум времени, и при этом он получал максимальный результат. Именно так и реализован кейлоггер в составе Dozor Endpoint Agent. Его возможности направлены на получение максимально подробной информации о действиях сотрудника на рабочей станции, зафиксированных DLP-системой, со всеми деталями и сопутствующими данными в сжатые сроки.

Подписывайтесь на каналы «SecurityLab» в Telegram и Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector