Цифровой журнал «Компьютерра» № 14

Больше недели назад от пользователей Gmail начали поступать сообщения о том, что они подверглись необычному взлому, и с их ящиков автоматически рассылается спам. Пик эпидемии пришёлся на минувшие выходные.

С взломанных учётных записей происходит рассылка писем по всем адресам из адресной книги, а также на те ящики, куда хоть раз писал владелец аккаунта. Тема письма не указывается, а в теле находится единственная ссылка, которая ведёт на один из подставных веб-адресов в зоне *.co.cc. С указанных адресов пользователь автоматически перенаправляется на несуществующий сайт mrapgyan.net.

Хоть отправка происходит без ведома хозяина учётной записи, отправленные письма сохраняются в почтовом ящике Gmail. Также выяснилось, что спамеры подключались к взломанным аккаунтам при помощи мобильного интерфейса или через программные интерфейсы гуглопочты. IP-адреса, с которых происходил вход в чужие ящики, разбросаны по всему миру, что косвенно указывает на возможность использования ботнета.

В целом, взлом почтовых ящиков — явление достаточно частое. Однако в данном случае есть несколько необычных моментов. Во-первых, до сих пор не выяснена методика столь массового взлома. Во-вторых, нет ни одного фактора, который объединял бы всех пострадавших пользователей. Были взломаны как активные, так и давно заброшенные аккаунты. Более того, надёжность пароля и наличие или отсутствие каких-либо средств защиты (антивирусов и так далее) с пользовательской стороны никак не влияет на защищённость учётной записи. Возможность использования трояна также исключается, так как жертвы работали в различных операционных системах и браузерах.

Ещё одна необычность атаки заключается в том, что злоумышленники занимались только рассылкой спама. Пароли взломанных аккаунтов не были сменены, также не были затронуты пользовательские письма и записи в адресной книге. Других подробностей пока что почти нет. Количество взломанных аккаунтов на текущий момент неизвестно, даже неясно, продолжается ли сейчас атака или уже нет.

Есть некоторые основания предполагать, что уязвимость кроется где-то в недрах сервисов Google, однако достоверной информации на этот счёт не имеется. Сама компания Google наверняка уже ведёт внутреннее расследование инцидента. В Сети ходит множество слухов, в том числе самых невероятных. Пользователи пытаются связать атаку то с появлением Google Buzz, то с началом продаж iPad.

"Точной информации пока нет, — комментирует ситуацию старший вирусный аналитик «Лаборатории Касперского» Сергей Голованов, — Первые жалобы пользователей на подобные случаи начали появляться несколько месяцев назад. Постепенно количество взломов возрастало. Атаке подвергаются аккаунты со всего мира, но русскоязычные пользователи, судя по всему, оказались более внимательными к этой проблеме. Сайт, на который происходит перенаправление с доменов *.co.cc, mrapgyan.net, был зарегистрирован совсем недавно, но на данный момент он не работает. Один из серверов DNS, которые обслуживают этот сайт, используется для рассылки спама, а второй для распространения вредоносных программ. Есть веские предположения, что за всем этим стоят русскоязычные злоумышленники. Но вряд ли кто-то возьмёт ответственность за взломы на себя, ибо воевать с Google просто страшно. По той же причине, скорее всего, до сих пор не работает и сайт".