Кто кормит троянского коня. Вирус‑блокер проник в мобильные сервисы

internetВ январе по Рунету прокатилась эпидемия вирусов. Они блокировали компьютер пользователя и требовали за разблокировку выкуп в виде premium-SMS стоимостью 300-900 рублей ($10-30).

Речь идет об одном типе вируса, которому разные антивирусные компании дали различные имена: “Лаборатория Касперского” – Trojan-Ransom.Win32.SMSer, а “Доктор Веб” прозвал его Trojan.Winlock.

И оценил, что от этой напасти пострадало несколько миллионов россиян. Шантаж в Сети давно стал рутиной, однако расследование дало парадоксальные результаты: нынешний вирус – это только вершина айсберга. В его подводной части затаились тектонические силы, чью мощь обществу еще только предстоит осмыслить.

Уровни угрозы

Начать стоит с вопроса: какую роль играет в этой истории оператор мобильной связи, точнее, каким образом в руки злоумышленника попадают деньги абонента? Дело в том, что сам оператор организацией контентных услуг (загрузка картинки, мелодии звонка, SMS-игры, SMS-голосования и т. д.) не занимается. Для этого существуют контент-провайдеры (КП) – компании, разрабатывающие привлекательные сервисы, и агрегаторы контента – по сути посредники между сетями операторов и оборудованием контент-провайдеров.

Они владеют собственной надежной и гибкой контент-платформой, к которой могут легко подключаться, с одной стороны, операторы, а с другой – множество КП. Их задача – обеспечить надежную техническую связь между абонентом и сервисом, а также информационный обмен: о прохождении SMS, зачислении платежей и взаиморасчетах между участниками этой цепочки. Именно агрегаторы приобретают у операторов короткие номера, на которые можно “навешивать” десятки сервисов. Отличаться они будут лишь префиксом, то есть тем кодовым словом, которое абонент набирает в тексте SMS. За каждым префиксом, стало быть, стоит конкретный КП.

Аренда короткого номера – дело недешевое. Эксперты называют суммы на уровне 700 тысяч рублей в качестве единовременного платежа плюс стоимость аренды в несколько тысяч долларов ежемесячно. Но прибыль перевешивает затраты. По разным оценкам, контентные услуги могут приносить одному крупному агрегатору 3-10 миллионов долларов в месяц. Такая жизнь настала сравнительно недавно – после того, как операторы решили стимулировать активность КП.

Сегодня, по словам участников рынка, оператор забирает себе 30-50 процентов дохода, агрегатору достается от 1 до 10 процентов, а остальное уходит КП. Эти последние, между прочим, представляют собой весьма разношерстную компанию. По оценке Сергея Тулаева, генерального директора компании Planet3 (в составе агрегатора i-Free она специализируется на мобильных микроплатежах), значительная часть сообщества вообще существует вне правового поля: без образования юридического лица, без налогового учета… И агрегатор – тот самый, что владеет коротким номером, – зачастую имеет о них слабое представление, потому что право пользования префиксом можно передать другой компании, второй, третьей.

Как поступят эти физлица, находящиеся где-то на четвертом или пятом уровне от титульного держателя номера, если оператор стимулирует рост контентных сервисов? Правильно – любую услугу примут с распростертыми объятиями, лишь бы она обещала принести копеечку. Заключать договоры, прописывать обязательства сторон, даже паспорт проверять уже не обязательно. Особенно если речь идет об интернет-услугах, ведь Сеть – это территория свободы. Так что заходи, дорогой человек, на сайт, заполни регистрационную форму и через пять минут располагай коротким номером с личным префиксом, а доход тебе будет -капать автоматически на электронный счет.

Интересная деталь – никто из КП агрегатору ничего за номер не платит, он живет только на комиссионных. Более того, если оператор с ним рассчитывается один раз в месяц по фактическому объему оказанных услуг, то у КП все по-другому: расчеты с КП производятся чаще – раз в неделю, а порой агрегаторы авансируют своих партнеров. Ульяна Мельникова, начальник отдела развития услуг “Скай Линк”, поясняет, почему: “Некоторые контентные услуги предполагают, например, рекламу на ТВ, а реклама – удовольствие дорогое”. Ну откуда у физического лица, разработчика услуги, такие деньги? Интересно получается: некоторая масса поставщиков сервисов, которых не знают не только в лицо, но и по настоящему имени, получает аванс в счет еще не оказанных услуг. Как тут удержаться от соблазна?

И ведь признаки надвигающейся грозы уже были: помните, как со всех ТВ-экранов нас призывали узнать, с кем и о чем эсэмэсится твоя подружка? Это ведь явный обман, но пипл, включая почтенных операторов, схавал его и не подумал возмутиться. “Рынком сегодня правит скорость оборачивания денег, потому на нем господствуют схемы агрессивного продвижения услуг с коротким временем жизни, – так охарактеризовал нынешнее состояние контентного рынка один эксперт. – Люди не успевают разобраться, что происходит – а был ли обман? – а на них уже обрушивается следующая броская услуга”.

А почему бы в таком случае не пойти дальше? Стать еще агрессивнее? Ведь по рынку ходят слухи о том, что оборот “на выкупах” (читай, шантаже) может достигать 50-60 миллионов рублей в день! Что может быть проще – заблокировал комп жертвы, и все – система операторского биллинга точнехонько учтет и сплюсует все premium-эсэмэски.

Вышел из сумерек

Что рядовой российский гражданин знает сегодня об Интернете? Что там есть волшебная программа-поисковик, которая приведет туда, куда надо. И вроде бы есть какие-то умельцы, которые умеют продвигать те или иные сайты на первые строчки результатов поиска. А знаете ли вы, что такое дорвеи, реферальные ссылки, партнерки и SMS-конверты? Это, между прочим, элементы крайне эффективных процессов, на которых сегодня строится бизнес в Интернете.

Дорвей (от англ. door-way) – это фактически транзитная веб-страница, информационная пустышка, наполненная лишь ключевыми словами по определенной тематике и специальным образом организованными ссылками на другие сайты. Но написаны эти слова не просто так, а для того, чтобы обмануть поисковую машину и попасть на верхушку выдачи. Дорвей живет за счет переходов по этим ссылкам, создающих трафик кликов пользователей.

Очень удобно при этом использовать программы PPC (Pay-Per-Click), то есть заработок на кликах. Кстати, ПО типа Google Adsense – это тоже вариант PPC, только “белый”, иначе говоря, зарабатывать можно и честно, то есть на реальных посетителях, но это подходит лишь для популярных сайтов. А дорвей позволяет добиваться таких же результатов с помощью сайтов-пустышек и манипуляций с поисковыми системами.

Кроме того, для получения трафика есть биржи, обменники и т. п. структуры. “Спамилки”, конечно, тоже пригодятся, надо только использовать их с умом. Но ведь трафик в конце концов должен монетизироваться. Нет проблем – для этого есть партнерские сети, которые используют платный, например порнографический, контент или броские тизеры, скажем, приглашение купить методичку для похудания за один день. Чаще всего (у нас в России) оплата происходит в виде premium‑SMS. Так трафик кликов превращается в реальные -деньги .

Это не детские игры. По оценкам специалистов, оборот партнерских сетей составляет миллионы долларов ежемесячно. Причем вызывает неподдельное удивление тот уровень наставничества, который принят в данной сфере. Признанные гуру терпеливо объясняют желторотым неофитам, как начать свой бизнес в Интернете, а тем, кто столкнулся с проблемами, – способы их разрешения. Кстати, кроме мозгов, ничего особенно не нужно: самые начальные знания о веб-программировании, а первичных инвестиций – не более пяти долларов, чтобы оплатить доступ в Интернет.

Даже доменное имя не надо покупать – на первых порах можно запускать свои сайты на домашнем ПК. Правда, без мозгов ничего не получится. Легким этот заработок называют потому, что работа вся сугубо интеллектуальная, в домашних условиях. Но, как замечает один из патриархов в своем интернет-интервью, он до сих пор работает по 16 часов в сутки. Причем нужно постоянно развиваться: изучать тонкости ведущих поисковых систем (“Яндекс”, Google – обязательная программа, Yahoo! – факультативно для тех, кто ориентируется на международный бизнес) и быть постоянно в курсе их обновлений.

Дело в том, что “Яндекс”, например, как утверждают эксперты, производит зачистку всяческих новообразований типа дорвеев не реже, чем раз в 3-5 дней. Да и дорвеи для приличного заработка нужно производить сотнями и тысячами ежедневно. Для этих целей есть бесплатные дор-генераторы. В общем, все, что нужно, можно найти в Интернете: расценки (объявления типа “Покупаю трафик Doorways по 14 долларов за тысячу посетителей”), сети и порталы для слива и монетизации click-трафика. Возможно и комплексное обслуживание: вам приготовят готовую услугу, в которой учтут и желаемую географию сайтов, и тематическую специфику. Стоит это несколько сотен долларов, максимум – две тысячи. При этом заработок может достигать тысячи баксов в день, утверждают профи.

Если бы не скандал с трояном-блокером в январе, мы бы еще долго не знали, что совсем рядом с нами в Сети существует особая субкультура, живущая своей яркой, насыщенной жизнью. Причем совершенно автономно: со своими бизнес-процессами, правилами, системой образования и трудоустройства. Есть и свой сленг, который очень показателен. Вот, к примеру, термин “честная партнерка” – он означает, что некая группа товарищей не замечена в попытках увести заработок от партнеров. Вот так благодаря наглому трояну этот параллельный мир вышел из сумерек, и как-то стало жалко легенды о добром старине Интернете – обители знаний, оплоте гласности и прочих демо-кратий.

Между услугой и террором

Что в этой истории смущает? Эта бизнесовая субкультура подчиняется только одному регулятору – Его Величеству Заказчику. Если заказчик – обычный рекламодатель, не все так плохо. В крайнем случае можно засудить рекламное агентство, обвинив в нарушении прав потребителей, – дескать, они-то рассчитывали, что им предоставлен самый широкий выбор продавцов автомобилей, кухонных гарнитуров или средств для мытья кошек, а на самом деле их отправляли на странички конкретного рекламодателя. Правда, если человек купил нужный товар хорошего качества, можно ли считать его обманутым?

Это к вопросу о том, могут ли технологии быть неэтичными. Второй занимательный вопрос – кто еще может стать заказчиком помимо производителей товаров и услуг? Сегодня это разработчик контентного сервиса для мобильной связи, воспользовавшийся тем, что у него завелись деньжата для оплаты труда интернет-поденщиков. А кто завтра? Неизвестная политическая сила? Секта? Олигарх с чуть поехавшей крышей?..

Но есть и хорошие новости. По данным Ивана Татарникова, вирусного аналитика “Лаборатории Касперского”, активность злоб-ного блокера пошла на спад уже с 29 января, и сегодня могут наблюдаться лишь остаточные проявления. Связаны они с тем, что в Интернете осталось множество следов этой организованной кампании, уничтожить их может только время. Для этого нужен был всего лишь окрик со стороны мобильных операторов, столкнувшихся с риском потери репутации, и вот уже все “виновные” префиксы выявлены и заблокированы.

Как рассказал Роман Володин, директор по продукту TELE2 Россия, в похожем случае контент-партнеру хватило одного часа после жалобы абонента для того, чтобы заблокировать вредоносную рассылку, отказаться от услуг нарушителя и начать оказывать консультации другим абонентам. Кстати, этот окрик имел вполне осязаемую форму. Участники рынка говорят, что, например, компания МТС пообещала поставщикам услуг, наносящих ущерб ее абонентам, штраф до 90 процентов от ежемесячной выручки по данному сервису. Поглядим, что из этого получится.

Кто отвечает за эпидемию Trojan.Winlock?

Это агрегатор. Беда в том, что многие сервисы нельзя однозначно отнести к обману, но и абсолютно прозрачными для абонентов их тоже назвать нельзя. И борьба с негативом от таких сервисов еще не закончена. Да, операторы проявили гнев, но все будет зависеть от того, готовы ли они устанавливать единые правила для всех игроков и хватит ли им политической воли для очищения рынка, ведь это непременно скажется на их доходах. До сих пор за подобными вспышками гнева следовало затишье, во время которого все возвращалось на круги своя.

Сергей Тулаев, генеральный директор Planet3

Возлагать ответственность на сотового оператора – это все равно что обвинять изготовителя автомобиля, владелец которого задавил пешехода. Это несерьезно. Ответственность перед пострадавшими пользователями лежит только на злоумышленниках, вымогающих у пользователей деньги. Между прочим, часть денег, полученных от жертв троянца, причем немалая, оседает у сотовых операторов. Их возврат потерпевшим – это, кстати, моральная дилемма, ведь услуги-то им были оказаны!

Валерий Ледовской, аналитик “Доктор Веб”

У оператора есть вся информация, необходимая для оперативной реакции на подобные жалобы: данные SMS-центра, биллинга и т. д., а также возможность возврата денег абоненту. Но всю ответственность за содержание услуги несет контент-провайдер либо агрегатор, с которым оператор заключил договор. Предотвратить подобные инциденты в будущем поможет полный отказ от авансирования контент-провайдеров и переход на взаиморасчеты только по факту оказанной услуги между всеми участниками.

Ульяна Мельникова, начальник отдела раз вития услуг “Скай Линк”

Сеть волнуется

Первая волна эпидемии SMS-блокеров прошла еще три года назад, а в январе мы наблюдали уже третью волну вируса Trojan-Ransom.Win32.SMSer. Вирусописатели усовершенствовали функционал блокеров, добавив в них червь-технологию: теперь они распространяются через сетевые диски и сменные носители. Так, возможна ситуация, когда пользователь скачал из Интернета игрушку, видеокодек или электронную книгу, под которые сегодня часто маскируется зловред, “подцепил” вирус и передал его другу вместе с файлом на флэшке.

Бывает, что злоумышленники даже “легализуют” свои творения: используют интерфейс или название, схожие с легальным ПО, и демонстрируют пользователю лицензионное соглашение. В его длинном тексте упоминается, что данное приложение будет работать столько-то часов, после чего за его использование нужно дополнительно платить. Заставить жертву нажать ОК в нужный момент – уже дело техники: пользователи не только крайне редко читают соглашения, но даже игнорируют предупреждения антивирусов об опасности!

Наши сканеры постоянно изучают веб-сайты, выискивая новые зловредные программы-блокеры и подозрительные ресурсы, например, те, которые содержат скрытый код (признак маскировки) или скрытые ссылки на зловредный файл, о наличии которых может даже не догадываться владелец легального сайта. Но пользователи начали наконец жаловаться, вызвав тем самым интерес к данной теме у правоохранительных органов.

К слову, зачинщики предыдущей волны уже не только найдены, но и осуждены, а по январской истории идут уголовные расследования. А мораль всей этой басни про трояна-блокера такова: во всех треволнениях публики виноваты, конечно, вирусописатели. Однако и сами пользователи им помогали, относясь к своим действиям в Интернете не слишком ответственно. Операторы сотовой связи также невольно способствовали распространению этого зловреда, предложив слишком легкий способ регистрации коротких номеров.

cripo.com.ua