На днях произошёл забавный случай: впервые за 5 лет в аську пришёл спам. И ладно бы просто пришёл, но нет. Сам способ достоин упоминания и описания. Плюс ко всему, в дело включилась моя фантазия.
В процессе разговора со знакомой вдруг от неё пришло такое сообщение:
Специально вставляю картинку, а то мало ли любителей «кликнуть» найдётся. Тем не менее, «угонщики» асек сменили философию. Дело в том, что не так давно Mail.ru Group вовсю пиарили новый функционал своих детищ из сферы интернет-мессенджеров. Главной «фичёй» стала возможность одновременно быть подключённым с нескольких мест. То бишь по сути Mail.ru продублировали у себя функционал Skype. Но вместе с плюсами, пришли и свои минусы. Раньше, если кто-то заходил в твою аську, это было сразу видно, так как тебя выкидывало с соответствующей ошибкой. Теперь же подобного не происходит, и нет гарантий, что вас никто не слушает.
Всё это, при должной фантазии, даёт спамеру неплохие шансы не вызвать подозрения своими ссылками. Конечно, в данном случае, текст на английском, сразу же вызвал подозрение (на самом деле не только он. Подробный анализ ссылки будет ниже). К примеру, сообщение вида «*оффтоп* зацени, <ссылка>», лично у меня вызвало бы меньше подозрений.
Но вернёмся к нашей ссылке. Она скорее всего приведёт нас к какой-то гадости. Давайте подумаем, как можно увериться в её вредоносности, не совершая переход.
Каждому в глаза бросается что-то своё, поэтому перечислю всё просто по порядку.
Первое, что вызывает подозрение – домен «.сс». Он имеет особую репутацию в мире зловредов и периодически становится эпицентром скандалов. Вот недавний .
Идём дальше, само слово «tiny» призвано уменьшить нашу подозрительность, намекая на то, что был использован сервис сокращения ссылок. Он действительно был использован, т.к. при внимательном рассмотрении ссылка заканчивается на DCS8037_jpeg. Здесь расчёт на невнимательного пользователя, который подумает, что точку просто не видно.
В дополнение ко второму пункту стоит сказать, что грамотный человек, получив такую ссылку, от собеседника, должен задуматься, а с чего вдруг тот стал пользоваться сервисом сокращений ссылок.
Третье, и последнее, на что стоит обратить внимание, это название. Злоумышленники хотят убедить нас, что это безобидная ссылка на фото. Причём, как видно из ссылки, оно было загружено без изменения имени. Однако ни один фотоаппарат не маркирует свои снимки словами «Picture». Более того, расширение снимков обычно JPG, но никак не jpeg. Конечно, никто не мешает нам поставить для пущей убедительности в ссылку хоть «CR2», но знайте, что такой формат даже Picasa не «переваривает».
Какой же итог? Новые возможности «аськи» дали старт новому направлению атак, рассчитанных на тех пользователей, которые сначала кликают по ссылке, а только потом думают. Как вы могли убедиться, для анализа порой достаточно лишь включить дедукцию.
Алексей Дрозд,
аналитик компании SearchInform
