איך האקרים עושים כסף מנוזקות?

למה לטרוח כל כך על יצירת והפצת נוזקות למשתמשים פרטיים?

shutterstock

השאלות הנפוצות ביותר שאני נתקל בן במהלך העבודה שלי הן "למה בעצם מיועדים וירוסים ונוזקות? למה מושקעים כל כך הרבה משאבים ביצירה של נוזקות? למה מעניין אותם הרשימת קניות לסופר שיש לי במחשב? נכון שחברות האנטי וירוס מייצרות וירוסים כדי שתהיה להן עבודה?"

כשמדובר ברשתות של חברות המניעים הם די ברורים – גניבה של מידע לצורך ריגול תעשייתי או על מנת לגרום לחבלה בחברה מתחרה, אבל למה להשקיע את כל המשאבים הללו בפריצה למחשבים של משתמשים פרטיים?

התשובה הפשוטה והקצרה היא – כסף, וברגע שמצליחים להדביק כמות גדולה של מחשבים מדובר בסכומים לא מבוטלים, שיכולים לספק לעבריין אינטרנטי הכנסה שבועית שלא תבייש מנהלים בחברת החשמל.

קיימות הדרכים הישירות והברורות יותר לעשיית כסף מנוזקות, כמו תוכנות כופר ורוגלות שגונבות פרטים של חשבונות בנק, אבל השיטה הנפוצה ביותר עבור עבריינים אינטרנטיים לעשיית רווח מנוזקות היא הצטרפות של לתוכניות של תשלום עבור התקנה, או PPI – Pay Per Install.

מפרסומות לנוזקות

תוכניות PPI קיימות כבר מסוף שנות התשעים, כאשר בתחילת הדרך הן היו מקושרות בלעדית לתוכנות Adware שדוחפות למשתמש פרסומות בצורה של חלונות קופצים, שינוי אתר הבית בדפדפן או שינוי של תוצאות חיפוש.

עבריין שמעוניין היה להרוויח מתוכנית PPI, היה נרשם לאתר שבו היה מקבל binder שתפקידו לקחת תוכנה כלשהי ולצרף לה Adware, כך שכאשר משתמש היה מתקין את התוכנה הוא היה מתקין גם את ה-adware ללא ידיעתו. כל הפניה של משתמש לאתרי הפרסום ע"י ה-Adware היה מזכה את העבריין ברישום של כניסה ייחודית לאתר, ונספר לצורך תגמול שמשולם בכל תקופת זמן קבועה מראש.

גם כיום קיימות תוכניות PPI שמסוות סרגלי כלים, Adware ותוכנות נוספות בהתקנה של תוכנות לגיטימיות. ישנם גם אתרים וחברות גדולים ומוכרים שמשתמשים בשיטה הנ"ל, ולצערי קיים מספר לא מבוטל של חברות ישראליות שמשתמשות בשיטה הזו כדי ליצור לעצמן הכנסה נוספת.

ישנן תוכנות אבטחה בודדות שמזהות תוכנות מסוג זה ומגדירות אותן כ-Potentially unwanted applications כדי להזהיר את המשתמשים בפני תוכנות שמבצעות פעולות ללא ידיעת המשתמש, אפילו שאינן מוגדרות כנוזקות.

1

 בשנים האחרונות הרוב המכריע של תוכניות ה-PPI משמשות להתקנה של רוגלות ונוזקות על מחשבים של משתמשים ביתיים ועסקיים כאחד.

שיטות הפצה

כאשר עבריינים אינטרנטיים מצטרפים לתוכנית PPI, האתגר הראשון והעיקרי שלהם הוא להפיץ את ההתקנות של הנוזקות והרוגלות בכמה שיותר מחשבים, ובצורה שקטה, כך שהמשתמשים לא יסירו אותן ויאפשרו להם להמשיך לקבל הכנסה קבועה.

לכן 99% מהנוזקות והרוגלות כיום מיוצרות בצורה שמאפשרת למשתמש לעבוד בצורה רגילה על גבי המחשב.

קיימות מגוון דרכים ליצור רשת הפצה אוטומטית, שתפיץ את הנוזקות לכמות מקסימלית של משתמשים:

  • שיתוף קבצים – השיטה הנפוצה ביותר עד לשנים האחרונות היתה הפצה של קבצים נגועים ברשתות שיתוף הקבצים כמו אימיול, טורנטים וכו'. הבעיה עם השיטה היא שאתרי השיתוף עולים על הקובץ הנגוע בזמן קצר יחסית, ומורידים אותו מתפוצה, או שהמשתמשים מפרסמים בפורומים אזהרות וההורדות מפסיקות זמן קצר לאחר שהן מפורסמות.
  • דואר זבל – כאן מדובר בשיטה של "חבר מביא חבר" משום שמחשבים נגועים מתקינים את הנוזקות וגם שולחים ללא ידיעתם דואר זבל לרשימת התפוצה שלהם ולרשימות נוספות, וכך הופכים לחלק מרשת ההפצה.
  • אתרים נגועים – העבריינים משתמשים בערכות פריצה שיודעות להדביק אתרים בצורה אוטומטית ומפנות את הגולשים לאתר נוסף שממנו מתבצעת התקפה אוטומטית שבודקת פרצות אבטחה פוטנציאליות אצל הגולשים ושולחת התקפות בהתאם.

שיטות הסוואה

על מנת לחמוק מזיהוי של תוכנות אנטי וירוס, סינון של שירותי אימייל ושיתוף קבצים, יוצרים ההאקרים שעובדים עבור משפחות הפשע שמנהלות את תוכניות ה-PPI מעין מעטפת שמגינה על הנוזקה או הרוגלה בפני זיהוי. מדובר בעצם בהצפנה של הקבצים שמנועי הסריקה אינם יודעים לפענח, וכך מתאפשר לקבצים לחמוק מזיהוי.

למעטפת הזו קוראים Crypter, וכאשר אנחנו מדברים על מאות אלפי ווריאנטים (variants) של נוזקות שמשוחררים מידי יום, רובם אינם שונים כלל אחד מהשני, אלא פשוט משתמשים במעטפת מגן שונה שמיוצרת בצורה אוטומטית ע"י כלי ייעודי או בתור חבילה מושלמת כאשר משתמשים בערכת פריצה.

אחד היתרונות של העבריינים שמשתמשים ב-Crypter או בערכת פריצה על מנת ליצור ווריאנטים חדשים הוא שקיימים לרשותם שירותים אוטומטיים שבודקים עבורם את הקבצים החדשים שהם יוצרים מול כל מנועי הזיהוי של חברות האנטי וירוס, כך שכאשר מופץ ווריאנט חדש הוא יוצא לאחר שבדקו שאיננו מזוהה ע"י רוב האנטי וירוסים הנפוצים בשוק.2

בדוגמא שלמעלה מדובר ב-Crypter וותיק משנת 2007 שכבר אז הכיל טכנולוגיות שמאפשרות לו לחמוק מטכנולוגיית הזיהוי הנפוצה ביותר של מנועי הסריקה של חברות האנטי וירוס – Sandbox. הנושא מוסבר ביתר פירוט במאמר מהבלוג של ESET.

וכמה הם מרוויחים מזה?

תוכניות ה-PPI משלמות בדרך כלל תשלומים שבועיים לחברים הרשומים לאתרים ולפורומים שלהן, על פי המיקום הגיאוגרפי של המחשבים הנגועים. לכן גם הסטטיסטיקות שמציגות ערכות הפריצה מדגישות את המיקום של המחשבים הנגועים, על מנת שיהיה קל יותר לחשב את ההכנסה שהם מייצרים. בדרך כלל העבריינים שרוכשים את ערכות הפריצה נרשמים גם למספר תוכניות PPI  במקביל על מנת למקסם את הרווחים שלהם מכל מחשב נגוע.

קיימים גם מנגנונים שנועדו לוודא שהמחשבים הנגועים הם אכן מחשבים פיזיים של משתמשים פרטיים ולא כתובות IP מזויפות או מחשבים וירטואליים (כמובן, ארגוני הפשע שיוצרים את ערכות ה-PPI מצפים לגרוע ביותר מהלקוחות שלהם).

התשלום מחושב ברוב תוכניות ה-PPI על פי תעריף של תשלום עבור 1,000 מחשבים נגועים ממדינה מסוימת, כאשר מדינות מערביות מניבות את התשלום הגבוה יותר (מחשבים נגועים מישראל מחושבים בדרך כלל בתעריף השלישי ומטה בתור חלק מהמזרח התיכון או אסיה).

3

קבוצות של עבריינים שהתאגדו יחד על מנת ליצור רשתות הפצה של נוזקות מגיעות לסכומים של עשרות אלפי דולרים בשבוע, זאת כאשר הם מגיעים לסטטוס אידיאלי (עבורם כמובן) של הדבקה אוטומטית מסיבית של מאות אלפי מחשבים ברחבי העולם. אם נצרף לכך את העבריינים היחידניים שגם הם מתפרנסים ברמה צנועה קצת יותר, אנחנו מגיעים לרוב המוחלט של המחשבים הנגועים בעולם, וכך תעשיית הנוזקות ממשיכה להתגלגל ולהתפתח משנה לשנה, כאשר בדרך ישנם ארגוני פשע מאורגן ממזרח אירופה ואסיה שמנהלים את תוכניות ה-PPI, מפתחים עבורן את הנוזקות והרוגלות, וגוזרים קופונים של מאות מליוני דולרים בשנה.

קשה להעריך את הנזק הגלובלי של נוזקות, אולם רוב המחקרים מהשנים האחרונות שנערכו בתחום העריכו שמדובר בלמעלה מ-100 מיליארד דולר בשנה.

קרדיט תמונה: Spyware via Shutterstock.




הכתבה בחסות Eset

חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה - ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android - מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.


בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.


בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, 
עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.






אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

4 Comments on "איך האקרים עושים כסף מנוזקות?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
אחד
Guest

וזה לא כולל את הרוגלות והנוזקות שממשלות כגון ארה"ב ישראל וסין שותלות במאות מיליוני מחשבים ושתכליתם היא ריגול או/ו המתנה לשעת פקודה.

כל אדם צריך לקחת בחשבון שכל מה שהוא עושה על המחשב/גולש נצפה ע"י שרת כלשהוא ויתכן ומועבר הלאה.

עולם עצוב

גיא
Guest

שכחת את הדבר החשוב ביותר – Ransomware. תוכנות שמצפינות את כל הקבצים ששמורים על המחשב, ומספקות את מפתח ההצפנה רק כאשר משלמים תמורתו בביטקוין.

מ"מומחה אבטחת מידע" ציפיתי ליותר.

אמיר כרמי
Guest

שלום גיא,

תוכנות Ransomware אכן נמצאות בעליה בחודשים האחרונים, אבל הן עדיין מהוות אחוז מזערי משוק הנוזקות העולמי.
הזכרתי אותן בפיסקה הראשונה של הכתבה כדרך ישירה יותר לעשיית כסף.

אם אתה מתעניין בנושא, כתבתי עליהן יותר בפירוט בכתבה הנ"ל:

קנס או סחיטה? הפורצים שמתחפשים לאנשי חוק

עופר
Guest

תשובה יפה ומנומסת לטרול. יפה מאוד אמיר! כתבה מעולה!

wpDiscuz

תגיות לכתבה: