Опасные флешки. К чему может привести подключение USB-носителя.
Вам может показаться, что это изжившая себя тема, рассчитанная на простаков, и вы отлично знакомы с данной угрозой. Уверяю вас, это не так. Данная угроза куда опаснее, нежели ее принято считать, она включает в себя не только банальное подбрасывание флешек с вирусом, но даже продажу зараженных флешек в магазине или раздачу в качестве призов на конкурсе по кибербезопасности.
Наверное, самым лучшим способом оценить масштаб угрозы было бы раскидать флешки и посмотреть, как много жертв клюнут на приманку. Именно так поступила группа исследователей из Иллинойского университета, оставив 297 флешек в разных местах образовательного учреждения. Используемые в исследовании флешки собирали информацию о пользователях, хотя и не наносили никакого ущерба.
Результаты оказались пугающими:
290 из 297 флешек были подобраны;
135 (45%) найденных флешек не только вставили в компьютер, но и открыли один или более файлов, содержащихся на них;
20 флешек были вставлены в устройства без открытия файлов.
Но и это не все. После открытия файла пользователю предлагалось пройти небольшой опрос с компенсацией в 10 долларов. Обработав результаты опроса и получив различные статистические данные, исследователи обратили внимание на ряд интересных моментов.
Участники опроса недооценивали риск открытия вредоносных файлов. Некоторые даже воспринимали файлы на флешке как безопасные, видя расширение .html.
Опасаясь заражения личного компьютера, участники опроса нередко открывали флешки на университетских компьютерах.
Участники исследования верили, что операционная система и антивирус защитят их.
Некоторые участники исследования приняли разумные меры предосторожности, например, открывали HTML-файлы в текстовом редакторе или отключали компьютер от сети во время открытия файлов.
Познакомиться с результатами исследования на английском языке вы можете здесь.
Раз уж мы заговорили о научной стороне, давайте классифицируем угрозы, которые могут исходить от флешки или иного USB-носителя, например внешнего жесткого диска.
Первое – это вредоносное программное обеспечение, записанное на флешку с целью заразить компьютер жертвы. Здесь все понятно, и об этой угрозе знает большинство читателей. Однако автозапуск файлов сегодня блокируют практически все операционные системы и тем более антивирусы, потому простое открытие флешки с трояном в большинстве ситуаций не опасно.
Только не подумайте, что я рекомендую вставлять найденные флешки в компьютер, просто обращаю внимание, что современные устройства достаточно хорошо защищены от заражения вредоносным программным обеспечением путем его автоматического запуска без участия пользователя.
Второе – это флешки, на которых размещены сами по себе безопасные файлы, цель которых – привести пользователя на сайт злоумышленника.
Третье – это мошенничество. Например, на флешке могут оказаться доступы к интернет-банку с тысячами долларов на счету. Жертва заходит в аккаунт, и там выясняется, что владелец счета разрешил переводы со счета на счет только внутри банка.
Для снятия денег жертве надо открыть онлайн-счет в том же банке – к счастью, это оказывается пустяковым делом. Жертва открывает счет, и успешно переводит на него деньги. Остается вывести средства, но для совершения любых расходных операций надо пройти идентификацию счета, а она стоит 500 euro. И вот незадача: оплатить их со счета нельзя, необходимо вложиться своими деньгами.
Жертва в предвкушении получения крупной суммы денег платит за прохождение проверки. Как вы можете догадаться, подобные интернет-банки создаются мошенниками, чтобы глупые и нечестные люди расставались со своими деньгами.
Флешка может оказаться и USB-киллером, способным вывести из строя компьютер жертвы – это четвертый вариант атаки. Мы рассказывали о таких устройствах здесь, уделите пару минут для прочтения. Если вы вставите в свой компьютер такую флешку, готовьтесь к покупке новой материнской платы.
Вероятно, вы не раз столкнетесь с мнением, что любую USB-флешку можно спокойно запускать, если ты умеешь открывать файлы в песочнице или виртуальной среде. Расскажите этим экспертам о данной угрозе.
Пятый вариант – BadUSB. На наш взгляд, это самый опасный способ атаки. В данном случае флешка выдает себя за другое устройство, подключаемое через USB. Мы подробно рассказывали об атаке BadUSB тут и тут.
Шестой вариант – флешка-жучок, которая не наносит вреда компьютеру, разве что заряжаясь от него, но используется как микрофон для прослушки периметра и/или GPS-трекер для отслеживания местоположения. Подобные устройства можно купить на AliExpress.
С помощью такой флешки можно шпионить за второй половинкой, сотрудником или конкурентом по бизнесу.
Совет
Никогда и ни при каких обстоятельствах не используйте найденные флешки.
Обычно USB-флешки просто подкидывают, например в почтовый ящик, как это было в ходе масштабной вредоносной кампании в Австралии. Иногда подобные флешки дарятся в виде подарка, именно таким подарком наградило Тайваньское бюро расследований победителей викторины по кибербезопасности.
Согласно местным СМИ, победители получили флешки, зараженные трояном XtbSeDuA.exe. Задача этого трояна – сбор информации на компьютере жертвы и отправка на управляющий сервер.
Делать исключение не стоит даже для флешек, полученных от людей, которым вы доверяете. Многие популярные вредоносные программы умеют самостоятельно записывать себя на внешние носители информации, подключаемые к скомпрометированному устройству, и таким образом заражая все новые компьютеры.
Совет
Не доверяйте даже флешкам, полученным от доверенных лиц.
Но и это не все, запомните: не стоит для персонального использования покупать флешки на AliExpress, мне кажется, вы лучше меня понимаете почему.
Совет
Покупайте флешки только у надежных продавцов.
Есть еще одна адресная атака, которая обычно применяется против руководителей организаций и о которой вам стоит знать. У многих из нас есть USB-флешки, и большинство из них – стандартные модели, которые каждый может приобрести в магазине.
Злоумышленник, например коллега, выясняет, какую флешку использует жертва, и приобретает аналогичную. На нее кладется вредоносная программа и называется именем производителя флешки, например Transcend. Для программы используется ярлык в виде папки, и жертва думает, что это папка, хотя на самом деле это исполняемый файл.
Вставив флешку, жертва не обнаруживает файлов, зато видит «папку» Transcend, куда непременно попытается зайти. При попытке зайти система уведомит о попытке запуска приложения, которое может называться Transcend security update. Оно будет подписано не связанным с Transcend разработчиком, но многие ли обращают на это внимание?
После этого жертве будет сообщено, что это важные обновления, установка которых необходима для дальнейшего использования продукта. В процессе установки у жертвы будут запрошены права администратора, после чего на рабочем столе появится ярлык программы «Transcend security update», а флешка будет очищена. Название программы я взял из головы, оно может быть любым в зависимости от используемой модели и креатива создателя.
В конечном счете жертва, скорее всего, удалит установленную программу, вероятно, проверит ее на вирусы. Но антивирусам придраться будет не к чему, программа служит только для отвлечения внимания и не представляет никакой угрозы. Настоящая угроза уже тайно установлена в систему с правами администратора, и это дает атакующему фактически неограниченную власть над устройством жертвы.
Завершить статью хочу основным советом этой главы: не недооценивайте угрозу, исходящую от USB-носителей информации, и это не только флешки, но и внешние жесткие диски. Постарайтесь вообще не подключать чужие носители к своему компьютеру, это лучшая защита.
В конце концов, именно благодаря USB-накопителю с вредоносным программным обеспечением была подорвана иранская ядерная программа. По крайней мере, именно так писали в СМИ.
