Анкета подлежит обязательной активации или как подменяют сайт ВКонтакте
24 апреля 2012, Павел Данилов
За последний месяц наткнулся на пару любопытных случаев, иллюстрирующих эволюцию технических средств мошенничества с помощью социальной сети ВКонтакте. Механизм, по сути, один и тот же, но исполнение разное. При этом, от одного из вариантов, антивирусы на ПК пользователя не спасают вовсе. Видимо, со временем таких случаев станет больше. Давайте обо всем по порядку.
Случай первый или способ озадачить невнимательного ловца вирусов
Эта неприятность случилась у одного из клиентов. Один из сотрудников никак не мог зайти на страницу фирмы ВКонтакте. При попытке зайти у него высвечивалось окно, показанное на скриншоте, где сообщалось, что де: «В связи с многочисленными регистрациями анонимных анкет и увеличением уровня спам-рассылок на сайте, теперь каждая анкета подлежит обязательной активации.» Для активации же своей анкеты предлагается отправить SMS с определенным текстом, в ответ на которую должен прийти код активации. Человеку, хоть немного думающему, такая надпись все равно, что выведенный поверх монитора красной краской лозунг «Разводка! У вас есть деньги? Тогда мы идем за ними!». Сотрудник, к сожалению, к таковым людям не относился и подарил мошенникам около 500 рублей с корпоративного счета за сотовую связь.
На момент моего появления вируса уже не было. Его удалили местные умельцы с помощью антивируса. Однако проблема с заходом на сайт ВКонтакте осталась. Компьютер упорно выдавал страницу с запросом SMS для активации (см. скриншот), вместо сайта социальной сети.
Первым же делом я проверил файл hosts. Этот файл находится по адресу C:\WINDOWS\system32\drivers\etc\hosts. Он содержит базу доменных имен и соответствующие им IP-адреса. Это такой локальный аналог DNS, к тому же, информация, записанная в нём имеет для системы приоритет перед обращением к любым серверам доменных имен. На первый взгляд, ничего не изменилось. Однако я обратил внимание на боковой бегунок в Блокноте для вертикальной прокрутки. Значит файл hosts длиннее и не умещается в окне программы. Так и есть, на 2048 строке нашел запись (IP- адрес скрыт):
XXX.XXX.XXX.XXX vk.com
XXX.XXX.XXX.XXX www.vk.com
XXX.XXX.XXX.XXX vkontakte.ru
XXX.XXX.XXX.XXX www.vkontakte.ru
Вывод – внимательно осматривайте содержимое файла hosts. Иногда проще пройтись поиском (в поисковую строку забить адрес на который не можете зайти), чтобы найти ответственную за ваши проблемы запись. Такой способ подмены обнаруживается сранительно легко, а некоторые антивирусы еще и сами чистят hosts. Второй случай значительно интереснее.
Случай второй или сетевой рассадник заразы
Позвонила одна знакомая, у которой возникли проблемы с заходом на ее страничку ВКонтакте. По ее описанию, сначала подумал, что это типичный случай вирусного заражения системы, лечение которого я описывал в статье «Что делать, если браузер не заходит на сайты антивирусов, поисковики и т. п.» или аналогичный описанному выше. Выдавалось такое же окно, как показано на скриншоте, иллюстрирующем первый случай. Благо, живет она недалеко, я и заехал буквально в тот же день.
Каково же было мое удивление, когда ни один из антивирусов не нашел ни одного подозрительного файла, а hosts был девственно чист – его почистил Dr.Web CureIt. При этом фальшивый сайт продолжает открываться, вместо ВКонтакте, а AVZ не дает никакой подозрительной информации. На ПК постоянно бдит Антивирус Касперского, который многие ругают за его прожорливость, но никто не обвиняет в неэффективности.
Фишинг явный и неприкрытый, но «Холмс… черт возьми… КАК?!». Откуда же происходит атака, если антивирусы не помогают, а вручную тоже ничего не обнаруживается? И почему ни антивирусы, ни ручная чистка не спасают? Все неприятности начались после запуска машины, отключенной на ночь. Новый софт не ставился, а флешки последний раз вставлялись неделю назад… Мистика? Ничего подобного! Зараженный сервер доменных имен у провайдера, который прописан в качестве основного DNS на компьютере!
Заход на фишинговый сайт происходит из-за подмены IP-адреса настоящего сайта соцсети Вконтакте, однако локальные файлы не заражаются и hosts остается чистым. Переключение на другой DNS дало немедленный результат. Защитить ПК от таких атак оказалось сложнее, чем от непосредственного заражения. А сколько времени было убито, пока была найдена причина!
Итог
Подмена IP-адресов сейчас становится весьма распространенным способом атаки (вспомним взлом сайта Коммерсанта в конце 2011 - механизм был примерно тот же). В первую очередь, используется это именно для фишинга – обманным образом выманить логины и пароли, платежные реквизиты или какие-то средства с сотового телефона. Как видите, можно вовсе не заражать компьютер вирусом, чтобы заставить пользователя зайти на фальшивый сайт. Поэтому, будьте бдительны!
Валерий И.