Вредоносный IP-адрес — это любой адрес устройства, который был связан с негативной деятельностью в интернете. Чтобы отнести его к полезным или вредоносным, большинство брандмауэров и инструментов кибербезопасности используют показатель «репутация IP». Он позволяет оценить надежность адреса с помощью исторических данных и участия в различной веб-деятельности.
Например, если с IP-адреса часто рассылаются массовые нежелательные электронные письма, он может быть помечен как потенциальный источник спама. Аналогичным образом, если пользовательское устройство с выходом в интернет участвует в распространении вредоносного ПО или в DDoS-атаках, ему будет присвоен низкий рейтинг репутации.
Как мошенники могут «похитить» ваш IP
Чтобы организовать бот-атаку, злоумышленникам требуется как можно больше устройств с разными IP. Для этого они распространяют вредоносное ПО и заражают им ПК, смартфоны, роутеры, умные розетки и чайники рядовых пользователей. Таким образом они создают сеть, которую и используют для атак.
Заражение происходит через фишинговые и спам-ссылки, загрузку ПО и файлов, установку вредоносных мобильных приложений и т. д. Вы можете случайно загрузить себе на компьютер или телефон безобидную на первый взгляд картинку, которая на самом деле может оказаться с троянской начинкой.
У каждого зараженного устройства в составе вредоносной сети будет свой IP-адрес. Это позволяет киберпреступникам не только масштабировать атаки, но и снижать риск быть обнаруженными. Ведь чем уникальнее и «чище» IP, тем он выглядит органичнее.
Также совершать мошенническую активность «вашими руками» злоумышленники могут с помощью зараженных расширений и плагинов в браузерах. Если вдруг вы заметили, что в браузере самостоятельно открываются вкладки со странными сайтами, появляются всплывающие окна, то это говорит о том, что ваше устройство, а вместе с ним и IP, скомпрометированы.
Как используются скомпрометированные IP-адреса
Вот для чего мошенники могут использовать скомпрометированный IP:
- Создание анонимного прокси-сервера. Если у кого-то есть физический доступ к вашему компьютеру или телефону, он может сдавать его в аренду и использовать как точку для перенаправления трафика. Получается что-то вроде VPN или анонимайзера. Любой пользователь, который купил доступ к такому прокси, может использовать ваш IP для маскировки своих посещений различных ресурсов или сокрытия мошеннической деятельности в интернете, например рассылки фишинговых писем.
- Создание ботнета для генерации трафика. В этом случае пользовательское устройство, зараженное вредоносным ПО, контролируется злоумышленниками для организации кибератак на другие системы и приложения. Например, они могут проводить DDoS-атаки с ПК или в скрытом режиме просматривать рекламу с помощью CTV (Connected TV).
- Сканирование. Используется при сканировании веб-ресурсов на наличие уязвимостей, которыми злоумышленники могут воспользоваться.
- Спуфинг IP. Здесь устройство может быть в целостности и сохранности, а вот данные IP — скомпрометированы. Спуфинг IP-адреса — это тип мошеннической технологии, при которой злоумышленники подменяют данные адреса своего устройства на чужое, создавая и отправляя ложные пакеты данных. Например, для маскировки атак с кражей логинов и паролей на сторонних ресурсах.
Как определить маскировку IP, мы описывали ранее в этой статье.
Примеры создания прокси и организации атак с резидентных IP-адресов
Вот самые известные примеры атак, когда киберпреступники использовали зараженные пользовательские устройства и их IP:
- Ботнет из роутеров MikroTik. Злоумышленники смогли взломать 13 тыс. устройств и создать из них прокси. Сеть используется мошенниками для выполнения DDoS-атак, рассылки фишинговых писем, кражи данных, включая персональные, скликивания рекламы и маскировки вредоносного трафика.
- Прокси из роботов-пылесосов — Ngioweb. Злоумышленники ищут уязвимые устройства и сайты, заражают их вредоносным ПО и перепродают трафик другим кибермошенникам. Среди наиболее атакуемых — маршрутизаторы Zyxel, Linear eMerge и роботы-пылесосы Neato.
- PEACHPIT — ботнет, который смог заразить миллионы смартфонов на Android и iOS. С помощью него операторы крали конфиденциальные данные пользователей, создавали локальные выходные узлы прокси-сервера и совершали мошенничество с рекламой через поддельные приложения.
- Mirai — ботнет, который состоял из зараженных умных приборов (IoT), превращая их в сеть дистанционно управляемых ботов. Использовался для DDoS-атак.
При этом, если вы используете динамический IP, ваш провайдер будет выдавать вам новый IP-адрес, который буду продолжать использовать и киберпреступники.
Больше информации о других бот-сетях читайте в нашем блоге.
К чему может привести компрометация устройств и IP
Системы кибербезопасности и сервисы верификации трафика могут использовать блокировку визитов по IP. Это помогает компаниям бороться с вредоносной и мошеннической активностью и защищать свои сайты и системы от атак. Тогда вы не сможете попасть на какой-то из этих ресурсов, так как доступ скомпрометированному IP будет заблокирован.
Почтовые сервисы используют стоп-листы для фильтрации отправляемых писем и защиты пользователей от спама. Если IP-адрес был помечен как отправляющий спам или фишинговые письма, он, скорее всего, будет занесен в черный список крупными почтовыми сервисами. Это означает, что все письма, которые вы будете отправлять друзьям, коллегам и знакомым, просто будут попадать в спам или блокироваться еще на моменте отправки.
Платежные сервисы не дадут провести оплату с IP-адреса, который был заподозрен во вредоносной активности. Таким образом владельцы интернет-магазинов защищают свой бизнес от мошенников.
Как проверить свой IP на наличие в спам-базах
Для этого используйте открытые сервисы для проверки адресов. Например:
- https://2ip.ru/spam/ — наличие вашего IP-адреса в нескольких десятках самых активных СПАМ баз. Также вы можете проверить не только ваш IP, но и любой другой.
- https://www.virustotal.com/gui/home/upload — можно проверить не только адрес, но также домен, отдельный URL или файл.
- https://dnsbl.smtp.bz — проверка по 97 спам-базам.
Кроме того, некоторые сайты могут блокировать доступ вашему IP не из-за вредоносной активности, а из-за особенных политик и правил в силу тех или иных геополитических изменений. Например, пользователи из России не смогут получить доступ к сайту platform.openai.com.
Как изменить свой IP, если вы считаете, что он был скомпрометирован
В первую очередь, убедитесь, что скомпрометирован был только адрес, а не устройство целиком, с которого вы выходите в интернет. Так как в этом случае, даже если вы измените IP, оно всё равно продолжит участвовать в кибератаках или другой мошеннической деятельности.
Как изменить:
- Если у вас динамический IP. Новый адрес будет назначен со следующим подключением к интернету или когда истечет цикл жизни выданного IP. Или можно просто перезагрузить роутер — тогда вам будет выдан новый адрес.
- Если у вас статический IP. Чтобы изменить его, свяжитесь со своим интернет-провайдером.
Но, если был скомпрометирован ноутбук, телефон, умный чайник, то здесь потребуется очистка устройства от вредоносного ПО с помощью антивирусного обеспечения или других инструментов.
Как удалить свой IP-адрес из black-листа
Провайдеры удаляют вредоносные динамические IP-адреса из чёрных списков автоматически после того, как будет полностью ликвидирована причина, по которой адрес там оказался. Например, если в течение 30 дней не осуществляется рассылка с адреса, ранее проявившего подозрительную активность. Также пользователь сам может запросить удаление IP-адреса.
Как защитить свое устройство и IP
Чтобы обезопасить себя и защитить компьютеры, смартфоны и другие устройства от компрометации, следуйте этим полезным советам:
- Не пользуйтесь общественными WiFi. Лучше переключаться на передачу мобильных данных. Такое соединение будет устойчивее и есть гарантия, что мошенники не смогут перехватить ваш трафик или узнать ваши учетные данные для входа в системы.
- Установите антивирус. На компьютеры, ноутбуки, ТВ с выходом в интернет, систему умного дома. Так у вас появится мощный союзник в борьбе за репутацию своего IP и защитит от потери данных.
- Защитите свои аккаунты надежными и уникальными паролями. У каждой учетной записи, которую вы используете, должен быть надежный пароль. Никогда не используйте один и тот же пароль между всеми учетными записями.
- Храните логины и пароли в специальном хранилище. Например, LastPass. Они позволяют не запоминать сложные комбинации данных авторизации и автоматически будут подставлять их при входе в аккаунт в тот или иной сервис.
- Активируйте двухфакторную аутентификацию (2FA). Даже если вы считаете, что используете надежные пароли, поверьте, и они могут быть взломаны. Двухфакторная аутентификация защищает учетные записи с помощью дополнительного уровня проверки пользователя при авторизации. Например, отправка OTP-кода.
- Не переходите по ссылкам в мессенджерах, социальных сетях или из электронных писем, отправленных неизвестным адресатом. Даже если вам говорят, что вы выиграли «сто тыщ миллионов». Так вы можете потерять доступ и к устройству, и к другим персональным данным, включая банковские.
- Регулярно обновляйте мобильные приложения, браузеры, программы. С каждой новой версией продукта разработчики закрывают уязвимости, которые были обнаружены кибермошенниками.
- Будьте аккуратней с распространением данных о себе в соцсетях. Их чрезмерная публикация может подвергнуть вас риску. Удалите всю информацию о себе, которую могут занть мошенники.
Старайтесь сканировать свои устройства на предмет заражения вредоносным ПО. Если вы заметили, что смартфон стал быстро и часто нагреваться, вполне возможно, что он находится в составе какого-нибудь ботнета и тайно просматривает с него рекламу. Следуйте этим простым советам и будьте осторожны в сети!
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
