Новая услуга на рынке кибершантажа: «Пришлите тысячу евро – прекратим атаку»
Кибершантаж — это вымогательство при помощи компьютерных технологий. Преступление не новое, но прогрессирующее, с множеством разновидностей. Это уже не мелкая телефонная пакость вроде: «Мама, брось 500 рублей, потом все объясню». Шантаж через Сеть — распил более крупных денег. А еще — средство убрать конкурентов или «завалить» чужой бизнес. Недавно киберпреступники забрались в новую для себя сферу, продемонстрировав, что жертвой вымогательства может оказаться любой человек.
Используют Интернет для нарушения закона уже лет десять. Начинали виртуальные бандиты с кражи номеров кредитных карт, логинов и паролей. «Раньше, при распространении модемного выхода в Интернет, были программы, которые автоматически звонили на телефонные номера с дорогими тарифами и пользователи были вынуждены оплачивать большие счета, — рассказывает Михаил Калиниченко, генеральный директор компании S.N. Safe&Software, крупного российского разработчика программных решений в сфере информационной безопасности.
— Сейчас существуют вредоносные программы для смартфонов: они посылают на такие номера SMS-сообщения. Наиболее «продвинутые» преступники используют для шантажа DDoS-атаки1. Сегодня это самое популярное в среде киберкриминала средство получения денег и инструмент «черной» конкурентной борьбы. Кибератаки на компьютерные сети компаний осуществляют с целью получения информации для игры на бирже или различного рода преимуществ при ведении переговоров, а также используют для шантажа компаний и ее сотрудников».
Специалисты Регионального общественного центра интернет-технологий (РОЦИТ) отмечают, что «самыми проблемными являются страны с большим количеством интернет-пользователей и при этом слабой правовой культурой населения. Так, например, массово программно-технические угрозы создаются в Индии и Китае. Успешность кибершантажа зависит от наличия способов для преступника получить деньги (соответствующих сервисов) и степени контроля властей за операциями, проводимыми при помощи этих сервисов».
По данным МВД РФ, в нашей стране только за май этого года было зарегистрировано порядка 5 тысяч преступлений в сфере компьютерной информации.
«Кибершантаж наряду с фишингом2 является «классикой» экономических интернет-угроз, — соглашается Урван ПАРФЕНТЬЕВ, ведущий аналитик РОЦИТа, координатор Центра безопасного Интернета в России. — Есть два основных способа вымогательства при помощи кибершантажа: первый — комбинация программно-технической и экономической угрозы. Например, вредоносная программа блокирует работу компьютера, требуя деньги за код разблокировки.
Правда, такой код преступники высылают далеко не всегда, даже если вы им перевели деньги. Второй вариант — классический шантаж, в который просто привнесен компьютер: требование денег за нераспространение, скажем, неких порочащих снимков или информации по Интернету. Жертвами программно-технического кибершантажа могут быть как частные пользователи, так и организации — преимущественно небольшие».
Михаил Савельев, эксперт «Лаборатории Касперского», рассказал «Новой», что существует своеобразный «рынок» DDoS, позволяющий практически кому угодно заказать атаку на любой интернет-сервис по цене 100 долларов за 1 день атаки. Эта сумма дает представление о степени доступности инструмента. Есть специализированные форумы, где легко можно приобрести программы, позволяющие взламывать плохо защищенные компьютеры. Ко всему прочему распространяется стереотип, что защититься от виртуального преступления невозможно. Все это на руку сетевым вымогателям.
Все в сад
Недавно киберпреступники забрались в новую для себя сферу, еще раз продемонстрировав, что жертвой вымогательства может оказаться любой человек.
Ирина — руководитель питомника по выращиванию декоративных деревьев и кустарников. Ее питомник площадью в 30 гектаров работает в Подмосковье с 2007 года. Бизнес хороший, хотя и не очень крупный, зато динамичный и стабильный. «Мы жили, не знали бед, — говорит Ирина.
— И вдруг начались проблемы с нашим сайтом: сначала он завис, а потом вообще «исчез». Обратились к провайдеру и выяснили, что на сайт совершили мощную DDoS-атаку: 3 тыс пользователей в минуту. Обычно нас посещают 200—300 (максимум 500) человек в день. Я с подобной проблемой столкнулась впервые. А провайдер сразу сказал: ищите конкурентов. Мне это показалось диким. Мы не банковская среда, не нефтяная компания. Обороты у наших коллег в других питомниках гораздо больше. Кроме того, у нас нет интернет-магазина, сайт — просто информационный ресурс. То есть обвалить сайт — не значит уничтожить наш бизнес.
Мы решили перейти к новому хостинг-провайдеру3. Но через несколько дней после этого снова была совершена атака. А еще через два дня мне по электронной почте пришло письмо с требованием заплатить 1000 евро. Деньги нужно прислать на интернет-кошелек, тогда преступники обещали прекратить атаки.
Специалисты хостинга посоветовали обратиться в милицию, а пока они отбивают атаки на сайт, их защита обходится в 10 тыс рублей ежемесячно».
Знакомство с хакерами
«Кибершантажом занимаются целые преступные группы, — рассказывает Михаил Савельев. — В них входят программисты, которые создают зловредное программное обеспечение, специалисты, которые ищут способы заражения, умеют использовать найденные способы и распространяют зловредное программное обеспечение (ПО) на компьютеры пользователей Интернета. Ну и, наконец, верховодят всем владельцы ботнетов (сеть компьютеров, зараженных вредоносной программой, позволяющей киберпреступникам удаленно управлять зараженными машинами). По их заказу пишется и распространяется это зловредное ПО. Они же осуществляют контакты с заказчиками DDoS-атак или сами занимаются противоправной деятельностью, в том числе и кибершантажом. Порой один человек может сочетать в себе несколько ролей, но это, скорее, исключение из правил.
Мир DDoS разделяется на «касты». «Матерые» преступники не будут заниматься заказами за 100 долларов в день, равно как и люди с серьезными намерениями не станут обращаться к мало что знающим «новичкам». Поэтому если для вашего бизнеса работоспособность сайта является критичной (например, это интернет-магазин), лучше заранее позаботиться о его защите».
Обнаружить организаторов DDoS-атак очень трудно. Атака ведется с управляющих компьютеров.
«Преступник подает сигнал о начале атаки на главные компьютеры (на одну управляющую консоль может приходиться до нескольких сотен главных компьютеров), те, в свою очередь, передают сигнал «агентам-зомби»4, — поясняет Михаил Калиниченко. — Жертва DDoS-атаки может вычислить адрес «агента-зомби», в лучшем случае — адрес главного компьютера, которые в этой ситуации также являются пострадавшими. Но все-таки иногда вычислить преступников можно, так как для получения денег они используют вполне вычисляемые данные: счета для совершения операций с электронной наличностью, зарегистрированные в сети телефонных операторов номера, и т.д.».
Виртуальный помощник
Главное средство предотвращения кибершантажа — защитное программное обеспечение и знание элементарных правил поведения в Сети.
«Например, не стоит нажимать на кнопки незнакомых выскочивших окон или якобы «программ», — советует Урван Парфентьев. — Защитные программы доступны любому, их можно купить как в интернет-магазинах, так и в обычных компьютерных салонах. Разумеется, на случай атак необходимо иметь резервные копии данных».
От DDoS-атак невозможно защититься, в случае если ничего не предпринимать или пытаться бороться с ними в одиночку, считают эксперты из «Лаборатории Касперского». «Эффективные решения по защите от DDoS-атак существуют, — говорит Михаил Савельев. — Однако надо понимать, что защита состоит из нескольких взаимодополняющих элементов: первое — информированность о проблеме и способах ее решения; второе — технические средства защиты; третье — правовое противодействие злоумышленникам с привлечением правоохранительных органов. После получения важных знаний необходимо перейти к активным действиям, а именно заранее заключить договор на защиту, ибо качество работы системы противодействия DDoS напрямую зависит от учета индивидуальных характеристик ресурса, и эту настройку лучше сделать заблаговременно.
Суть работы систем защиты от DDoS можно проиллюстрировать так. Она представляет собой ряд распределенных центров очистки трафика, подключенных к Интернету таким образом, чтобы суммарная полоса пропускания компонент была выше мощности любой потенциальной атаки. Кроме того, это повышает надежность самой системы, так как отключение какого-либо узла перестает быть критичным — его функции возьмут на себя остальные компоненты. Кроме того, распределенность позволяет разделить атаку между компонентами, не перегружая ни сами компоненты, ни сети провайдеров, где они расположены: известны случаи, когда под мощными атаками оказывались «погребены» операторы, к которым были подключены атакуемые ресурсы.
Вторым рубежом защиты становятся методы анализа трафика, благодаря которым можно распознать и отфильтровать трафик легитимных пользователей ресурса от трафика, сгенерированного злоумышленником.
Во время атаки на защищаемый ресурс остается только перенаправить трафик через центры очистки, и ресурс восстанавливает свою работоспособность».
Достаточно эффективным методом защиты считается маскировка IP-адреса (то есть сетевого адреса вашего компьютера) и возможность удаленной перезагрузки сервера с другого IP. «DDoS-атака на уровне персонального компьютера может быть заблокирована с помощью систем защиты от внешних вторжений. А еще встроенными средствами защиты обладают межсетевые экраны5. Конечно, от глобальных атак это не спасает, но уверен, что если вы не компания международного уровня, то и атака будет не столь масштабной», — говорит Михаил Калиниченко.
Что делать, если атакуют?
«Прежде всего не нужно платить, — говорит Михаил Калиниченко. — Заплатите один раз, потом будете платить постоянно. Обязательно надо копировать все факты угроз и переписку. При этом надо помнить, что все интернет-провайдеры обязаны сохранять трафик в течение определенного промежутка времени. Поэтому если вы готовы предпринимать активные действия против мошенников, надо обращаться в правоохранительные органы, чтобы они могли использовать информацию от провайдеров Интернета».
С точки зрения закона нет никакой разницы, было ли совершено вымогательство или мошенничество «в реальной жизни» или в Интернете. В данном случае действуют статьи 27 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ» и 272 УК РФ «Неправомерный доступ к компьютерной информации», согласно которым преступники могут получить от 3 до 7 лет лишения свободы.
1 – DDoS-атака (Distributed Denial Of Service attack) — распределенная атака типа «отказ в обслуживании». От грамотно проведенной атаки такого рода практически нет защиты. Суть DDoS-атаки очень проста: это в некотором роде аналог автомобильных пробок, где вместо дорожной трассы выступает информационный канал, а точнее — его узкое место, которым оказывается обработка запросов от пользователей. Злоумышленник бомбардирует пострадавший сервер огромным количеством ложных запросов, отчего сервер попросту не успевает на них отвечать и «падает» — становится недоступным.
2 – Фишинг (от англ. fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, цель которого — получить данные, содержащиеся на вашей пластиковой карте.
3 – Хостинг-провайдеры предоставляют место для размещения сайтов. Не путать с интернет-провайдерами, предоставляющими доступ в Интернет.
4 – «Агенты-зомби» — обычные взломанные компьютеры, владельцы которых не подозревают, как используют их машины.
5 – Межсетевой экран (другие названия: файрвол или брандмауэр) — это программа или программно-аппаратное решение, которое контролирует, фильтрует входящий и исходящий трафик, пакеты получателя и отправителя. Правильно настроенный межсетевой экран способен блокировать на уровне шлюза (сервера) вирусные, хакерские и DDoS-атаки средней сложности.
Юлия Балашова, Новая газета
Tweet