Фишеры проталкивают шпионское ПО через дыры в защите DNS // 07 Ноября 2012

Онлайновые воры, охотящиеся за персональными данными, могут прибегать к более активным мерам по переадресации пользователей с легитимных сайтов на сайты злоумышленников, предупреждают эксперты по безопасности.

Это предупреждение стало реакцией на появившиеся в пятницу сообщения о том, что компьютеры некоторых пользователей с таких сайтов, как eBay и Google, переадресуются на веб-серверы злоумышленников, пытающиеся установить на эти компьютеры шпионское ПО. По словам специалиста Internet Storm Centre Джейсона Лэма, подобные инциденты замечены в 30-40 сетях. "Трудно сказать, сколько людей от этого пострадали, но широкого распространения такая практика пока не получила", - сказал Лэм во вторник.

Злоумышленники заменяют цифровые адреса популярных веб-сайтов в серверах DNS фальшивыми адресами. Такая схема, называемая "порчей DNS" (DNS poisoning), и применяется для выуживания у пользователей ценной информации или для установки spyware на их ПК.

Internet Storm Centre, объединяющий группу специалистов по реагированию на инциденты, организованную учебной организацией SANS Institute, подозревает, что для порчи DNS применяется обнаруженная недавно дыра в брандмауэрах и шлюзах Symantec. Однако жертвами стали и другие сайты, которые не применяют продукты Symantec, отметил Лэм. "Мы еще не установили причину этого явления, - сказал он. - У нас нет достаточной статистики, поэтому выводы делать трудно".

Использование порчи DNS для переадресации пользователей на сайты, которые выглядят натурально, но на самом деле крадут ценную информацию, - относительно новый тип угрозы. Некоторые секьюрити-фирмы называют этот метод фармингом (pharming).

Лэм предупредил, что если подобные атаки станут более изощренными, то их будет почти невозможно обнаружить. Пользователям будет казаться, что они находятся на легитимном сайте, и ничто в их браузере не будет указывать на подлог. "В данном случае содержимое сайта было другим, - говорит он. - Но вообще порча DNS, если злоумышленник намерен использовать ее для фишинга, вещь чрезвычайно опасная".

По его словам, некоторый намек на то, что что-то не так, могут дать сертификаты, используемые финансовыми веб-сайтами и другими подобными службами.

Источник: @Astera