Komunikator ICQ a ataki internetowe

Przeczytaj także: Zaawansowane i ukierunkowane cyberataki 2013

Ogólnie, w spamie ICQ dominują tematy związane z rozrywką. Wynika to z tego, że ICQ jest rzadko wykorzystywany do komunikacji biznesowej, a większość użytkowników to ludzie młodzi. Spamerzy uwzględniają zainteresowania swoich grup docelowych: w spamie ICQ dominują zaproszenia do odwiedzenia stron oferujących rozrywkę oraz reklamy "dla dorosłych". Spam w kategorii Gry komputerowe, Głosowanie oraz Mobilny spam również wysyłany jest do młodych ludzi. Ogólnie młodzi ludzie stanowią cel około 50% wszystkich wiadomości spamowych.

Niewielki udział spamu "medycznego" (tradycyjnie wiodąca kategoria w spamie rozsyłanym za pośrednictwem poczty elektronicznej) jest również zdeterminowany przez odbiorców docelowych. W spamie ICQ udział tej kategorii wynosi poniżej 1%. Najwidoczniej użytkownicy ICQ nie reagują w sposób zgodny z oczekiwaniami na reklamy towarów i usług medycznych.

Scenariusz ataków

Użytkownik uruchamia plik pobrany za pomocą odsyłacza otrzymanego za pośrednictwem ICQ, jednak obiecane przez spamera zdjęcie nie pojawiają się na ekranie. Użytkownik czeka minutę lub dwie, a w tym czasie trojan przeszukuje jego komputer w celu znalezienia przechowywanych na nim haseł. Niektóre hasła są zaszyfrowane, jednak cyberprzestępcy potrafią je bez trudu odszyfrować. Następnie trojan zbiera wszystkie hasła znalezione w komputerze i tworzy wiadomość e-mail zawierającą wszystkie zebrane poufne informacje. Wiadomość zostaje wysłana na adres e-mail cyberprzestępcy, który został utworzony kilka dni przed atakiem. Aby uniemożliwić systemowi Windows ostrzeżenie użytkownika o zagrożeniu, trojan wyłącza zaporę sieciową poprzez zmodyfikowanie odpowiedniego klucza rejestru. Trojan wykonuje podobne działanie w stosunku do innych programów, które mogłyby uniemożliwić mu kradzież haseł i innych istotnych informacji użytkownika. Na koniec szkodliwy program tworzy plik .bat, który usuwa zarówno samego siebie jak i trojana, niszcząc tym samym ślady szkodliwej aktywności.

Zanim użytkownik zacznie coś podejrzewać, haker przetworzy dziesiątki lub setki wiadomości (w zależności od rozmiaru wysyłki) z hasłami przesłanymi przez trojana. Nawiasem mówiąc, wielu użytkowników w ogóle nie zdaje sobie sprawy, że miała miejsce jakakolwiek szkodliwa aktywność. Jedynym dowodem, jaki posiada użytkownik, jest odsyłacz do nieistniejącego zdjęcia, dlatego szanse na wyśledzenie cyberprzestępcy są bardzo niewielkie. Użytkownicy często pocieszają się tym, że i tak nie mieli niczego ważnego na swoich komputerach. Jednak haker lub cyberprzestępca jest zupełnie innego zdania: znalazł się w posiadaniu imponującej listy haseł do kont e-mail, klientów FTP i gier online, jak również konta bankowego użytkownika i oczywiście samego konta ICQ.

Ktoś mógłby zapytać, do czego hakerowi potrzebny jest jeszcze jeden dziewięciocyfrowy numer, którego nikt nie zna. Oto dlaczego: haker wprowadzi hasło do klienta ICQ i uzyska dostęp do listy kontaktów użytkownika. Do wszystkich użytkowników na liście kontaktów zostanie wysłana wiadomość z prośbą o pożyczenie 50 e-dolarów i obietnicą zwrócenia ich następnego dnia. Reszta będzie zależała od hojności odbiorcy wiadomości i ich relacji z użytkownikiem, którego konto zostało skradzione. Przekonanie do tego zwykle nie jest trudne. W tym samym czasie haker będzie rozmawiał z innymi osobami z listy kontaktów, aby ich również nakłonić do pożyczenia mu pieniędzy. Nawet jeśli tylko jedna osoba z listy kontaktów każdej ofiary zgodzi się zapłacić hakerowi wirtualne pieniądze, zbierze on całkiem sporą sumkę w porównaniu z dziennym zarobkiem dobrego programisty - i to tylko za godzinę czatowania.

A co z kontem FTP? Co będzie, jeżeli na serwerze FTP, do którego cyberprzestępca uzyskał dostęp przy pomocy skradzionego hasła, przechowywane są strony WWW wystarczająco popularnej witryny internetowej? Cyberprzestępca będzie mógł dodać prostą ramkę lub zaszyfrowany kod JavaScript na koniec każdej strony, który będzie ukradkiem pobierał i uruchamiał szkodliwy program na wszystkich komputerach, z których dana strona będzie oglądana.