Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Услуги анонимных хостингов обычно предлагаются на тех же сетевых площадках, что и остальные криминальные товары (услуги). Здесь необходимо отметить, что на практике встречаются, конечно, и случаи размещения центров управления ботнетами на легальных хостингах при условии, что доступ ботов к ним обеспечивается не напрямую, а через промежуточные серверы, размещенные в иных местах.

Сетевой трафик в общепринятом значении – это количество посещений (буквально – физически подключившихся компьютеров и устройств пользователей) того или иного ресурса в интернете. Трафик обладает ценностью, и для его генерации используются различные способы и средства, как явные, так и скрытые, приводящие посетителей на нужный ресурс. В сети существуют биржи трафика, где он продается или обменивается. Основной способ монетизации трафика в сети – направление его для накрутки рейтингов веб-сайтов, для увеличения показов рекламных материалов, в партнерские программы, на порносайты и т. п. Такой трафик обычно называют белым.

Применительно к распространению вредоносных программ покупка или перенаправление трафика – способ получения новых заражений и увеличения числа ботов в ботнетах. Субъекты такого черного трафика – обычные пользователи – незаметно направляются на ресурсы, где при помощи специальных вредоносных программ или кодов (эксплойтов) осуществляются проникновение в системы и установка вредоносных программ. В отличие от случая с белым трафиком, когда пользователь, хотя и при помощи неких технических приемов, открыто приводится на нужный ресурс (буквально может его увидеть), в случае с черным трафиком пользователь, как правило, не замечает, что его компьютер соединялся с ресурсом, распространяющим вредоносные программы.

Специалист, занимающийся получением, агрегацией или перепродажей трафика для криминальных целей, называется на жаргоне трафером. Источниками трафика для него являются: взломанные (скомпрометированные) легальные веб-сайты, с которых происходит незаметное для посетителей перенаправление (так называемая drive-by загрузка) на связки эксплойтов; сайты-ловушки (дорвеи, сателлиты); рассылки спама; другие ранее установленные вредоносные программы. Эксплуатация уязвимостей на популярных веб-сайтах является наиболее ценным источником трафика, так как позволяет получить целевой трафик (например, если используются бухгалтерские или банковские веб-сайты). После того как веб-сайт каким-либо образом взломан, в исходный код его страниц встраивается вредоносный код, который вместе с содержимым страниц выдает посетителям вредоносные компоненты.

Трафик обычно измеряется в тысячах и классифицируется по стране происхождения, типу (компьютерный или мобильный, например на платформе Android) и тематике. Наиболее ценная тематика трафика для банковских ботнетов – финансовая и коммерческая. Такой трафик поступает со взломанных веб-сайтов соответствующей направленности, посетители которых с большей вероятностью пользуются ЭСП. Еще одна характеристика трафика – его уникальность. Продавец трафика может «отгружать» его в одни руки или нескольким заказчикам. В последнем случае эффективность получаемых ботов значительно снижается, так как на них может оказаться несколько различных вредоносных программ.

Необходимо также отметить, что покупка трафика – не единственный способ пополнения ботнетов и, следовательно, использование услуг траферов не является обязательным. Владельцы крупных ботнетов иногда самостоятельно занимаются генерацией трафика, взламывая веб-сайты, реквизиты доступа к которым поступают в центры управления от ботов. Еще один способ увеличения числа ботов – «покупка загрузок». Под этим термином понимается оплата установки вредоносных программ на компьютеры и устройства, предварительно зараженные специальными программами. Продажей загрузок обычно занимаются владельцы ботнетов, построенных на основе небольших вредоносных программ – лоадеров. Покупка загрузок считается малоэффективным способом наполнения ботнета, так как с целью извлечения максимальной прибыли загрузки обычно продаются сразу нескольким клиентам и устанавливаемые таким образом вредоносные программы имеют минимальный срок жизни. Кроме того, при покупке загрузок не может быть обеспечена необходимая целевая тематика.

Что касается трафика, то он должен быть направлен на заражение вредоносными программами. Заражение производится посредством так называемых эксплойтов (сокр. «сплойты»), разработка и поставка которых являются отдельным важным направлением преступной деятельности в сфере компьютерной информации.