[Kermit]

В продолжение истории о трояне Disker, который обходит аутентификатор. С момента его обнаружения прошла неделя, и в ситуации удалось более-менее разобраться.

(источник)

Троян был встроен в фальшивый (но работающий) клиент Curse. Жертвы трояна скачивали его с фальшивой версии сайта Curse, ссылка на который появлялась в поисковиках по запросу "curse client".

Придется поговорить о таких скучных, но - увы! - актуальных вещах как фишинг и MitM. Как известно, на НК есть множество экспертов по всем вопросам, и особенно по вопросам сетевой безопасности. Но вместо того чтобы писать в комментариях "ололо у меня noscript а на фишинг попадаются только лохи", напишите лучше "я научил родителей, детей и своего кота не доверять выдаче поисковых систем".

Фишинг - один из видов интернет-мошенничества. Преступники создают подложный сайт, который выглядит точно так же, как настоящий. Пользователи настоящего сайта заманиваются на фальшивый с помощью рассылки электронной почты или другими средствами, после чего их побуждают ввести на фальшивом сайте конфиденциальную информацию - пароль, номер кредитной карты и тому подобное. Так эти данные уходят "налево".

Фишинг очень многолик. Обычно подделываются сайты интернет-магазинов, платежных систем или банков, однако никто не мешает, к примеру, подделать сайт Blizzard и попробовать заставить посетителей авторизоваться на фальшивом сайте, получив тем самым данные об их аккаунтах. Да что там - поддельных сайтов Blizzard десятки, если не сотни. Все мы неоднократно получали на электронную почту письма счастья, мол, "ваш аккаунт замечен в подозрительных вещах, срочно сходите и авторизуйтесь, а не то мы вас забаним". Это и есть фишинг.


Борьба с фишингом ведется постоянно, производители антивирусов и браузеров встраивают в свои продукты программные методы определения попыток обмана, и иногда эти методы даже работают. К сожалению, ни один антивирус не спасет, если пользователь не понимает, что он делает. Обратное тоже верно: если вы уже подцепили трояна, голова на плечах вас от фишинга не защитит.

Таким образом, основным способом противодействия фишингу является повышение общей компьютерной грамотности - как лично вашей, так и грамотности вашей семьи. И этот процесс неотделим от повышения уровня собственной паранойи:

• Не верьте ссылкам в письмах
• Не верьте ничему в письмах
• Не верьте ничему в интернете

Последний пункт, хоть и представляется некоторым перебором, не так уж далек от истины. В частности, нельзя слепо верить выдаче поисковых систем. Скажите, есть у вас знакомые, для которых любая работа с банк-клиентом начинается с того, что они ищут его в поисковике и переходят по первой ссылке? А может, вы и сами так делаете? Вот и словившие троян Disker тоже так поступали.

Итак, что же произошло. Группа мошенников сделала сайт, внешне неотличимый от сайта Curse. Вывела этот сайт в топ поисковых систем по запросу "curse client", пользователи переходили по ссылке из поисковика и устанавливали себе на компьютер фальшивый клиент, который выглядел так же как настоящий и работал так же, как настоящий. Только этот клиент еще и внедрял на компьютер жертвы троянскую программу.

Но у меня есть аутентификатор! Почему он не защитил меня, сам Майк Морхейм клялся что с аутентификатором я в безопасности!

MitM (англ. Man in the middle) - термин, обозначающий атаку, при которой злоумышленник внедряется в канал связи между клиентом и сервером, перехватывая и подменяя данные незаметно от обоих корреспондентов.

Disker способен обходить аутентификатор, используя MitM атаку. Процесс выглядит следующим образом: вы пытаетесь войти в игру и клиент WoW спрашивает у вас код аутентификатора. Вы вводите код, но троян перехватывает его и отправляет своим владельцам, которые логинятся с вашими реквизитами (логин происходит автоматически и очень быстро). На сервер Blizzard вместо настоящего кода аутентификатора троян отправляет фиктивный, таким образом одноразовый код не "портится", но владелец аккаунта, естественно, войти не может и получает ошибку, как если бы он ошибся во вводе пароля.

Из всего это не следует, что аутентификатор бесполезен. Он полезен и способен защитить аккаунт в тех случаях, когда злоумышленник не смог посадить вам трояна. Просто он не дает гарантий безопасности и всегда следует об этом помнить.

[Ra1N]

Мдам, так надо смотреть на адрес сайта когда заходишь(просто когда то я и сам попался на фишинг )

[kvasilov48]

И я попадался, просто не переходите по ссылкам из почты.

[Myango]

Тут защита одна, "не доверяй никому" и "внимательно смотри адреса сайтов по которым заходишь".
А вещи типа учетки б.нета лучше попросту повесить в закладки и при необходимости заходить через них.
Как вариант использовать гугл для поиска ибо в нем как правило верхние ссылки всегда правильные.

[madmaximka]

Из всего это не следует, что аутентификатор бесполезен. Он полезен и способен защитить аккаунт в тех случаях, когда злоумышленник не смог посадить вам трояна. Просто он не дает гарантий безопасности и всегда следует об этом помнить.

весьма сомнительна его польза. ведь основная его задача, защита аккаунта пользователя путём двухфакторной аутентификации - оказалась нерабочей. сценарии mitm давно известны. на etoken например данную штуку повторить нельзя. остаётся только посочуствовать покупателям данных брелоков. помню что blizzard и за андроид версию денег хотел.

[Сирус]

А мне вот "Близзы" пообещали Жнеца Душ подарить 

(показать/скрыть)

[Pandasama]

на etoken например данную штуку повторить нельзя.

каким образом подобной от "подобной штуки" защищается etoken?

[demoniko_nc]

Тут защита одна, "не доверяй никому" и "внимательно смотри адреса сайтов по которым заходишь".
А вещи типа учетки б.нета лучше попросту повесить в закладки и при необходимости заходить через них.
Как вариант использовать гугл для поиска ибо в нем как правило верхние ссылки всегда правильные.

Никогда не доверяй поисковикам. НИКОГДА. Тем более гуглу, основной заработок которых идет от рекламы. Всегда запоминай адрес и вводи вручную, желательно чтобы по максимумы были ограничены сайты - никто не защищен от взлома. Буквально недавно попался на взломанный сайт с пачкой эксплоитов. Сайт вполне надежный был и даже был первый в выдаче гугла, просто его забросили и он был взломан. (Сайт никак не связанный с Blizzard, просто к примеру того, что даже при ручном вводе адреса можно попасть, что уж говорить про выдачу гугла).

[iPilot]

А мне вот "Близзы" пообещали Жнеца Душ подарить 

(показать/скрыть)

Не могу понять где подвох. Переходит вовсе не по той ссылке что написана?

[demoniko_nc]

А мне вот "Близзы" пообещали Жнеца Душ подарить 

(показать/скрыть)

Не могу понять где подвох. Переходит вовсе не по той ссылке что написана?

Очевидно ведь. Письмо HTML, в тексте одна ссылка, а в href - другая.

Из всего это не следует, что аутентификатор бесполезен. Он полезен и способен защитить аккаунт в тех случаях, когда злоумышленник не смог посадить вам трояна. Просто он не дает гарантий безопасности и всегда следует об этом помнить.

весьма сомнительна его польза. ведь основная его задача, защита аккаунта пользователя путём двухфакторной аутентификации - оказалась нерабочей. сценарии mitm давно известны. на etoken например данную штуку повторить нельзя. остаётся только посочуствовать покупателям данных брелоков. помню что blizzard и за андроид версию денег хотел.

OTP eToken подвержен точно такой же атаке. Вообще любые методы с одноразовым кодом подвержены такой атаке, от этого никак нельзя защититься. Чем сильнее защита, тем менее удобно этим будет пользоваться. Аутентификатор дает достаточную защиту, если у пользователя голова на плечах есть, при этом удобство не очень сильно страдает.

[chidka]

Не верьте ссылкам в письмах
Не верьте ничему в письмах
Не верьте ничему в интернете

Не верьте письмам из военкомата

[Myango]

Никогда не доверяй поисковикам. НИКОГДА. Тем более гуглу, основной заработок которых идет от рекламы. Всегда запоминай адрес и вводи вручную, желательно чтобы по максимумы были ограничены сайты - никто не защищен от взлома. Буквально недавно попался на взломанный сайт с пачкой эксплоитов. Сайт вполне надежный был и даже был первый в выдаче гугла, просто его забросили и он был взломан. (Сайт никак не связанный с Blizzard, просто к примеру того, что даже при ручном вводе адреса можно попасть, что уж говорить про выдачу гугла).

Это было адресовано скорее тем кто мог бы перейти на фейковый курс...ума не приложу как. Переходя на настолько большие и популярные сайты я в том же гугле наверху выдачи еще ни разу не видел фейковых ссылок например.

[Крио]

Эффективность защиты зависит от её стоимости - аксиома систем безопасности.

[Alecseus]

Через какой поисковик они туда попадали интересно знать?

[discoD]

Через курс клиент уже который раз хакают, и все равно народ продолжает его юзать