Komunikator ICQ a ataki internetowe

Przeczytaj także: Zaawansowane i ukierunkowane cyberataki 2013

Jeżeli nie pamiętają odpowiedzi, pytanie może zostać zmienione przy pomocy poczty elektronicznej - adresu e-mail podanego w informacjach kontaktowych podczas rejestracji. Proces jest dość bezpieczny, jeżeli jednak osoba trzecia w jakiś sposób uzyska dostęp do poczty elektronicznej, bez trudu zdobędzie też UIN. Po uzyskaniu hasła do poczty elektronicznej szkodliwy użytkownik może skontaktować się z ICQ, podszywając się pod właściciela konta, który zapomniał swojego hasła UIN. Szkodliwy użytkownik może w ten sposób uniemożliwić pierwotnemu właścicielowi uzyskanie dostępu nie tylko do jego własnego konta ICQ, ale również do pierwotnego konta poczty elektronicznej, zmieniając jedynie stare hasło. Kradzież tego typu nie jest łatwa - uzyskanie haseł do kont e-mail połączonych z numerami ICQ wymaga potężnego komputera, a nawet sieci.
Jednak najpopularniejszą metodą kradzieży numerów ICQ jest wykorzystanie szkodliwych programów, w szczególności trojana Trojan-PSW.Win32.LdPinch. W ciągu kilku minionych lat ta rodzina trojanów zaczęła stanowić zagrożenie dla użytkowników. LdPinch nie tylko kradnie hasła do ICQ i innych klientów IM, takich jak Miranda, ale również do kont poczty elektronicznej, różnych programów FTP, gier online itd. Istnieją wyspecjalizowane konstruktory programów do tworzenia określonych typów szkodliwych trojanów. Takie programy umożliwiają ustawienie parametrów określających, które hasła użytkownika zostaną ukradzione przez szkodliwy program po zainstalowaniu się na maszynie. Po skonfigurowaniu programu szkodliwy użytkownik musi tylko podać adres e-mail, na który zostaną wysłane poufne informacje. Łatwość, z jaką można stworzyć takie szkodliwe programy, powoduje, że są rozpowszechnione nie tylko w ruchu pocztowym, ale również w ruchu IM.

2. Rozprzestrzenianie szkodliwych programów

ICQ jest głównie wykorzystywany do rozprzestrzeniania trzech rodzajów szkodliwych programów:

• Robaków IM - szkodniki te wykorzystują klienta IM w celu samodzielnego rozprzestrzenia się.
• Trojanów przeznaczonych do kradzieży haseł, łącznie z hasłami do klientów ICQ (w większości przypadków jest to Trojan-PSW.Win32.LdPinch).
• Szkodliwych programów sklasyfikowanych przez firmę Kaspersky Lab jako Hoax.Win32.*.* (szkodliwe oprogramowanie stworzone w celu wyłudzania od użytkowników pieniędzy).

W jaki sposób wykorzystuje się ICQ do rozprzestrzeniania szkodliwego oprogramowania?

Robaki IM wymagają niewielkiej interakcji w celu rozprzestrzeniania się. Po uruchomieniu wiele robaków IM swój kod do kontaktów IM zapisanych na zaatakowanej maszynie. Robaki te posiadają szereg funkcji: mogą kraść hasła, tworzyć botnety, czasem ich funkcja jest czysto destrukcyjna (np. usuwanie wszystkich plików .mp3 z zaatakowanej maszyny). Szkodliwe programy, takie jak Email-Worm.Win32.Warezov oraz Email-Worm.Win32.Zhelatin (Storm Worm) w celu aktywnego rozprzestrzeniania się wykorzystywały ICQ.

Jednak w większości przypadków, aby atak mógł się powieść niezbędne jest działanie ze strony użytkownika. Aby nakłonić potencjalną ofiarę do kliknięcia odsyłacza i otwarcia pliku pobranego z odsyłacza, stosuje się szereg sztuczek socjotechnicznych.

Sztuczki socjotechniczne stosowane są również podczas rozprzestrzeniania szkodliwych programów za pośrednictwem spamu ICQ. Mówiąc ściśle, to nie szkodliwe oprogramowanie jest rozprzestrzeniane - użytkownicy otrzymują odsyłacze do szkodliwego oprogramowania. Odsyłacze w spamie mogą również prowadzić do stron (zarówno tych legalnych, które padły ofiarą włamania hakerów, jak i specjalnie stworzonych w tym celu) zawierających trojany downloadery. Trojany te instalują następnie szkodliwe oprogramowanie na zaatakowanej maszynie.