Эстонский мужчина получает более 7 лет в тюрьме за роль в глобальном DNS-захвате ботнета

Эстонский человек был приговорен к семи годам и трех месяцам лишения свободы в США за свою роль в (

) 35-летний Владимир Цастин, из Тарту, Эстония, был одним из ключевых игроков схемы мошенничества с кликом на сумму 14 млн. долларов США. Он является шестым человеком, который должен быть осужден по делу и получил самый длинный тюремный срок. Приговор был вынесен во вторник в окружном суде США по Южному округу Нью-Йорка.

По данным Министерства юстиции, в период с 2007 по 2011 год Цастин и его созаговорщики создали компании, которые маскировались как сети издателей и вступили в соглашения с рекламными брокерами для показа рекламы по их свойствам.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Чтобы заработать больше денег, группа искусственно увеличила количество кликов и просмотров пользователей для объявления, которые они отображали, путем установки вредоносной программы под названием DNS Changer на компьютерах, не подозревающих пользователей.

По оценкам, DNSChanger заразил более 4 миллионов компьютеров по всему миру, включая 500 000 в США, до того, как его действие было отключено ФБР.

Как следует из его названия, вредоносное ПО DNSChanger изменило настройки DNS (Domain Name System) компьютера, заставив их использовать DNS-резольверы, запускаемые злоумышленниками.

DNS - это телефонная книга Интернета, переводящая d omain имена в числовые IP-адреса, которые компьютеры используют для связи. Контролируя DNS-серверы, используемые зараженными компьютерами, злоумышленники могут указывать пользователям на другие веб-сайты, когда они хотят достичь определенных доменных имен. Эта возможность использовалась для мошенничества с кликом.

Цастин и его созаговорщики использовали DNSChanger для перенаправления пользователей, которые нажали на ссылки в результатах поиска на веб-сайты, которые они не собирались посещать. Они также заменили рекламные объявления, которые пользователи обычно видели на разных сайтах с рекламой, за которую они платили.

Хотя DNS-захват использовался для мошенничества с кликами в этом случае, этот метод очень эффективен и может использоваться для более серьезных атаки на пользователей, такие как фишинг.

Например, при запросе IP-адреса веб-сайта онлайн-банкинга DNS-сервер изгоев может отвечать адресом веб-сервера, на котором размещена мошенническая копия веб-сайта. Несмотря на это, имя домена, отображаемое в браузере пользователя, будет правильным, поэтому трудно сказать, что была предпринята фишинг-атака.

Такая атака произошла в 2014 году в Польше, но вместо использования вредоносного ПО изменить настройки DNS на отдельных компьютерах, злоумышленники скомпрометировали домашние и малые бизнес-маршрутизаторы и изменили настройки DNS для целых сетей.

Большинство компьютеров и мобильных устройств настроены на автоматическое получение настроек своего интернет-подключения с маршрутизатора, обслуживающего сеть, повторно подключен. Это делает маршрутизаторы привлекательной целью атаки DNS-захвата.

В течение последних нескольких лет исследователи безопасности наблюдали множество широкомасштабных атак, предназначенных для изменения настроек DNS на маршрутизаторах, либо путем использования уязвимостей в их прошивке, либо путем захвата браузеров пользователей когда они посетили скомпрометированные веб-сайты.

Владельцы маршрутизаторов должны периодически проверять веб-сайт производителя своего устройства на наличие обновлений прошивки и устанавливать их, особенно если они содержат исправления безопасности. Они также должны изменить пароль администратора по умолчанию на своих маршрутизаторах и всегда должны выйти из интерфейсов управления маршрутизатора после доступа к нему через браузер.