Operation Ghost Click
איך מבצע של ה-FBI ללכידתם של שישה פושעי סייבר, שהפיצו וירוס מחשבים מתקדם לפני קרוב לעשרה חודשים, קשור לחיבור האינטרנט הביתי שלכם? קמרון קאמפ, מומחה אבטחה מחברת ESET מסביר
הגנה לישראל
| 19/05/2011
האם תוכלו להמשיך לגלוש באינטרנט גם אחרי התשיעי ביולי או שאולי המחשב שלכם נגוע בווירוס? הסיפור מתחיל בספטמבר 2011 כאשר בתום חקירה של שנתיים עצר ה FBI שישה אזרחי אסטוניה באשמת יצירה והפצה של וירוס מתוחכם שהדביק מיליוני מחשבים ברחבי העולם במבצע שכונה Operation Ghost Click. ההונאה אותה הגו החשודים כללה שתילת תוכנה זדונית במחשבי הקורבנות כדי לשלשל לכיסם רווחים נאים על חשבון תעשיית המיליונים של הפרסום באינטרנט.
איך זה עבד?
כאשר אנחנו מקלידים כתובת אתר לדפדפן האינטרנט שלנו היא מפוענחת על ידי שרת מיוחד מהמילים/אותיות שהקלדנו לקוד נומרי (מספרי), השרת הזה נקרא DNS קיצור של (Domain Name Server) וגם אם אתם לא מרגישים או רואים אותו, אתם משתמשים בו בכל גלישה שלכם באינטרנט, בלעדיו על מנת לגלוש לאתר כלשהו היינו צריכים לשנן קודים ארוכים ומורכבים. זהו שירות קריטי, בלעדיו לא תוכלו לגלוש באינטרנט או לשלוח אימיילים. הווירוס, שזכה לכינוי DNS-Changer, שימש לניתוב המשתמשים לשרתים מתחזים אשר נשלטו על ידי החשודים מבלי לעורר את חשדם.
לדוגמא, אם משתמש של מחשב נגוע לחץ על לינק לאתר רשמי של itunes, הוא נותב לאתר אחר שאינו קשור כלל לחברת אפל אך מציג את עצמו כאתר שמוכר את מוצריה. לפי הפרסום של ה FBI החשודים הספיקו להרוויח כ- 14 מיליון דולר לפני שנתפסו. למעשה הווירוס אותו שתלו התוקפים במחשבי הקורבנות שלהם שינו את הגדרות הגלישה במחשב מבלי ידיעתם, וכאשר ה FBI "הפיל" את השרתים הנגועים הוא הפעיל שרתים אחרים אשר הביאו להמשך פעולה תקינה של האינטרנט אצל אותם משתמשים.
גם אתם נפלתם קורבן?
יכול להיות שהמחשב שלכם עדיין נגוע ב DNS-Changer ואתם לא מבחינים בכך כי המחשב עדיין עובד עם השרתים החלופיים האלו. אבל ה FBI התריע שבתשיעי ביולי השרתים החלופיים יכובו ותעבורת האינטרנט תחזור לשרתים ה"רגילים", מה שאומר שאם המחשב שלכם נגוע ב DNS-Changer או אם הגדרות ה DNS של המחשב שלכם לא מוגדרות כהלכה, ייתכן שלא תוכלו לגלוש באינטרנט אחרי ה- 9 ביולי.
איך יודעים אם המחשב לא נגוע וההגדרות נכונות? כל תוכנת אנטי וירוס אמינה תדע לזהות אם המחשב נגוע ב DNS-Changer או לא. ניתן גם לסרוק את המחשב עם סורק מקוון שאינו מצריך התקנת תוכנה על המחשב, אבל סורק מקוון הוא לא תחליף לתוכנת אבטחה שמותקנת דרך קבע על המחשב. דרך נוספת לבדוק אם המחשב נגוע ב DNS-Changer היא באמצעות אתרים מיוחדים שמציעים בדיקה בחינם. אך יש להיזהר כיוון שגם כאן קיימות הונאות.
כאמור, אם המחשב שלכם נגוע בווירוס DNS-Changer ייתכן שלא תוכלו לגלוש באינטרנט לאחר התשיעי ביולי. המשמעות של זה היא שלא תוכלו לקבל עזרה און-ליין מה שעלול לעלות לכם ביותר זמן וכסף כדי להחזיר את המחשב לפעילות תקינה.
האם תוכלו להמשיך לגלוש באינטרנט גם אחרי התשיעי ביולי או שאולי המחשב שלכם נגוע בווירוס? הסיפור מתחיל בספטמבר 2011 כאשר בתום חקירה של שנתיים עצר ה FBI שישה אזרחי אסטוניה באשמת יצירה והפצה של וירוס מתוחכם שהדביק מיליוני מחשבים ברחבי העולם במבצע שכונה Operation Ghost Click. ההונאה אותה הגו החשודים כללה שתילת תוכנה זדונית במחשבי הקורבנות כדי לשלשל לכיסם רווחים נאים על חשבון תעשיית המיליונים של הפרסום באינטרנט.
איך זה עבד?
כאשר אנחנו מקלידים כתובת אתר לדפדפן האינטרנט שלנו היא מפוענחת על ידי שרת מיוחד מהמילים/אותיות שהקלדנו לקוד נומרי (מספרי), השרת הזה נקרא DNS קיצור של (Domain Name Server) וגם אם אתם לא מרגישים או רואים אותו, אתם משתמשים בו בכל גלישה שלכם באינטרנט, בלעדיו על מנת לגלוש לאתר כלשהו היינו צריכים לשנן קודים ארוכים ומורכבים. זהו שירות קריטי, בלעדיו לא תוכלו לגלוש באינטרנט או לשלוח אימיילים. הווירוס, שזכה לכינוי DNS-Changer, שימש לניתוב המשתמשים לשרתים מתחזים אשר נשלטו על ידי החשודים מבלי לעורר את חשדם.
לדוגמא, אם משתמש של מחשב נגוע לחץ על לינק לאתר רשמי של itunes, הוא נותב לאתר אחר שאינו קשור כלל לחברת אפל אך מציג את עצמו כאתר שמוכר את מוצריה. לפי הפרסום של ה FBI החשודים הספיקו להרוויח כ- 14 מיליון דולר לפני שנתפסו. למעשה הווירוס אותו שתלו התוקפים במחשבי הקורבנות שלהם שינו את הגדרות הגלישה במחשב מבלי ידיעתם, וכאשר ה FBI "הפיל" את השרתים הנגועים הוא הפעיל שרתים אחרים אשר הביאו להמשך פעולה תקינה של האינטרנט אצל אותם משתמשים.
גם אתם נפלתם קורבן?
יכול להיות שהמחשב שלכם עדיין נגוע ב DNS-Changer ואתם לא מבחינים בכך כי המחשב עדיין עובד עם השרתים החלופיים האלו. אבל ה FBI התריע שבתשיעי ביולי השרתים החלופיים יכובו ותעבורת האינטרנט תחזור לשרתים ה"רגילים", מה שאומר שאם המחשב שלכם נגוע ב DNS-Changer או אם הגדרות ה DNS של המחשב שלכם לא מוגדרות כהלכה, ייתכן שלא תוכלו לגלוש באינטרנט אחרי ה- 9 ביולי.
איך יודעים אם המחשב לא נגוע וההגדרות נכונות? כל תוכנת אנטי וירוס אמינה תדע לזהות אם המחשב נגוע ב DNS-Changer או לא. ניתן גם לסרוק את המחשב עם סורק מקוון שאינו מצריך התקנת תוכנה על המחשב, אבל סורק מקוון הוא לא תחליף לתוכנת אבטחה שמותקנת דרך קבע על המחשב. דרך נוספת לבדוק אם המחשב נגוע ב DNS-Changer היא באמצעות אתרים מיוחדים שמציעים בדיקה בחינם. אך יש להיזהר כיוון שגם כאן קיימות הונאות.
כאמור, אם המחשב שלכם נגוע בווירוס DNS-Changer ייתכן שלא תוכלו לגלוש באינטרנט לאחר התשיעי ביולי. המשמעות של זה היא שלא תוכלו לקבל עזרה און-ליין מה שעלול לעלות לכם ביותר זמן וכסף כדי להחזיר את המחשב לפעילות תקינה.
