Zabawa w chowanego - różne sposoby maskowania

Nie zawsze oszuści używają nazw domen jako odsyłaczy do pułapek w Internecie. Bardzo często w odnośniku figuruje tylko adres IP. Mimo iż można trafić na odnośniki do adresów IP także w bezpiecznych e-mailach, oznaczają, że nadawca chce coś ukryć. Dlatego powinieneś uznać taką wiadomość za bardzo podejrzaną.

Zniekształcone adresy. Adresy IP można zapisywać i kodować na różne sposoby. Przez pewien czas spamerzy stosowali adresy IP w postaci bez kropek. Są to dziesięciocyfrowe liczby, które po odpowiednim przekształceniu dają właściwe adresy IP. Jednak to nie jedyny sposób zniekształcania. Jest ich znacznie więcej, ale niektórych już nie obsługują obecne wersje przeglądarek internetowych i zapór sieciowych. Dlatego cyberprzestępcy przestali ich używać.

Zobacz również:

• Sprawdzone sposoby na ochronę służbowej skrzynki pocztowej
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Jeśli zamiast nazwy domeny ujrzysz coś podobnego do 3475931693 (bezkropkowy zapis adresu IP), 0324.0273.0167.0253 (zapis ósemkowy) lub 0xd4bb77ab (zapis szesnastkowy), ktoś umyślnie usiłuje wprowadzić cię w błąd. To samo dotyczy zakodowanych w specjalny sposób nazw domen, które rozpoznasz po znaku procent.

Tak samo jak można kamuflować adresy IP i domeny, są narzędzia do ich demaskowania. Pod adresem www.netdemon.net/decode.html możesz to zrobić bezpośrednio w trybie online. Skopiuj sfałszowany adres URL do pola widniejącego na powyższej stronie internetowej. Potwierdź klikając przycisk Decode. Witryna pokaże adres w bardziej czytelnej postaci.

Nadużywanie wyszukiwarek

Mało kto waha się przed kliknięciem odsyłacza w wyszukiwarce Google. Czy kliknąłbyś bez namysłu odnośnik www.google.pl/search?q=firefox%2C+download%2C+pcworld+pl&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pl:official&client=firefox-a&btnI=745? Jeśli to zrobisz, nie trafisz na stronę Google'a z rezultatami wyszukiwania, lecz bezpośrednio na (rzecz jasna, bezpiecznej) stronie pobierania Firefoksa w obrębie naszego serwisu www.pcworld.pl.

Jak działa ta sztuczka? Wybraliśmy poszukiwane pojęcia (firefox, download, pcworld, pl), aby nasza strona z pobieraniem (przynajmniej w momencie przygotowywania tego materiału) ukazała się jako pierwszy rezultat. Na końcu odsyłacza wygenerowanego przez Google'a wpisaliśmy btnI=745. Tym sposobem uaktywniliśmy w wyszukiwarce funkcję Szczęśliwy traf, która automatycznie otwiera witrynę docelową pierwszego rezultatu. Podobną możliwość oferuje także popularny serwis Yahoo. Spamerzy bardzo często nadużywają tej sztuczki do niecnych celów.

Jak znaleźć właściciela domeny

Zapytaniem Who is ustalisz, na jaką firmę lub osobę prywatną jest zarejestrowana określona domena. Bardzo dobrze sprawdza się w tej kwestii serwis www.dnsstuff.com. Zwróć jednak uwagę na to, że niektóre domeny mają dwa rozszerzenia. Na przykład wiele brytyjskich domen nie kończy się na .uk, lecz na .co.uk. Ponadto są firmy takie jak amerykańska Network Solutions, które za dopłatą dopuszczają anonimowe zarejestrowanie domeny. Jako rezultat zapytania Who is nie pojawi się faktyczny właściciel witryny, lecz placówka rejestrująca.

Załączniki - uważaj, co otwierasz

Cyberprzestępcy chętnie wykorzystują pocztę elektroniczną do przesyłania zainfekowanych plików. Gdy otrzymasz wiadomość z załączonym plikiem, lepiej go nie otwieraj. Największą ostrożność powinieneś zachować przede wszystkim w sytuacjach gdy:

• nie znasz nadawcy wiadomości;
• adres e-mail nie pasuje do nadawcy;
• treść wiadomości nie pasuje do nadawcy;
• treść wiadomości nie wydaje ci się wiarygodna;
• w wiadomości chodzi o rzekomą aktualizację zabezpieczeń.

Pamiętaj, że żaden producent oprogramowania nie rozsyła plików wykonywalnych pocztą, gdy nie zostanie o to poproszony.

Uwaga! Dotychczas szkodliwy kod rozprzestrzeniał się przeważnie w postaci plików wykonywalnych z rozszerzeniami COM i EXE. W wielu wypadkach były spakowane w archiwach ZIP. Jednak luki w zabezpieczeniach mają także takie formaty jak JS, HTML, SWF i VBS, a także pliki aplikacji pakietu Microsoft Office (DOC, XLS i PPT). Dlatego należy zachować szczególną ostrożność, mając do czynienia z plikami wspomnianych typów.

Co robić z załącznikami

Podejrzany załącznik najpierw zapisz na twardym dysku, lecz nie otwieraj go. W trakcie zachowania pliku na dysku zostanie on automatycznie przeskanowany przez strażnika zainstalowanego w twoim systemie programu antywirusowego. Miej jednak na uwadze, że oprogramowanie antywirusowe może jeszcze nie znać nowego szkodnika.

Dlatego bezpieczniej jest sprawdzić załącznik kilkoma narzędziami do wykrywania wirusów. Możesz to zrobić np. za pomocą serwisu www.virustotal.com. Kliknij przycisk Przeglądaj, wskaż zapisany uprzednio plik załącznika na twardym dysku i potwierdź przyciskiem Wyślij plik.

Godna polecenia jest również witryna virusscan.jotti.org/pl. Sposób korzystania z niej jest bardzo podobny. Wystarczy kliknąć przycisk Przeglądaj, wybrać plik załącznika na dysku i potwierdzić przyciskiem Przesłać plik.

W obu wypadkach załącznik zostanie przetestowany przez ok. 40 skanerów antywirusowych z aktualnymi bazami sygnatur. Rezultat otrzymasz już po kilku minutach.