Ten odcinek będzie inny od wszystkich poprzednich. Odłożymy w nim na jakiś czas edytor kodu i zajmiemy się pisaniem... tekstu, w którym poinformujemy użytkownika, iż jego pliki zostały zaszyfrowane. Tekstu, od którego zależy efektywność Twojego biznesu.
Zanim doszedłeś aż do części dziewiątej, z pewnością widziałeś niejeden komunikat o infekcji. Masz więc już w głowie jako taki obraz tego, co powinieneś stworzyć.
Stylometria
Zanim jednak zaczniesz pisać cokolwiek własnego, zapoznaj się z zagadnieniem stylometrii. Wspominaliśmy o niej już w poprzedniej części, tam jednak w kontekście kodu źródłowego. Tym razem stoi przed Tobą dużo poważniejsze zadanie: ucieczka od stylu, w jaki wypowiadasz się na co dzień. A więc od charakterystycznych słów, zwrotów, form gramatycznych, końcówek itp.
Będzie to pozornie łatwe, gdyż komunikaty tego typu w 95% przypadków pisze się w języku angielskim, gdy Twoim językiem natywnym jest polski. Jednak tylko pozornie - mnóstwo osób bezwiednie przenosi różne swoje naleciałości z języka polskiego na angielski, a dodatkowo przestawia szyk zdania na typowy dla języka polskiego. Dlaczego o tym wspominamy? Ponieważ pierwsza rzecz, jaką zrobią służby, to próba analizy Twojego komunikatu dla użytkownika i próba wyciągnięcia z niego jak najwięcej informacji o Tobie:
- analizy osobowościowej - co jest wykonalne, jeżeli komunikat będzie dostatecznie długi i wyczerpujący, a najlepiej w języku natywnym autora (co też da się z bardzo dużym prawdopodobieństwem sprawdzić!)
- analizy stylometrycznej - czyli porównanie Twojego stylu wypowiadania się z tym, co można np. znaleźć na różnych forach w Internecie (nie tylko hakerskich, ale też np. Stack Overflow, czy choćby o hodowli psów/kotów, albo dowolnym innym hobby, ws. którego mogłeś się kiedyś wypowiedzieć)
Dobrą wiadomością jest to, iż teraz przynajmniej nie jesteś bezbronny - nasz prezent świąteczny pozwoli Ci samodzielnie sprawdzić, co na temat Twojego komunikatu będzie w stanie powiedzieć polska policja.
Jak tego nie robić?
Zobacz poniższy przykład - jest to komunikat od ransomware Satana. Ma on formę tekstową, ponieważ Satana uszkadza rekord MBR na dysku twardym, czym uniemożliwia ponowny start systemu Windows - zostaje więc wyświetlenie komunikatu w formie czysto tekstowej.
Niezależnie od formy, przyjrzyj się samemu tekstowi. Zawiera on przynajmniej kilkanaście powtarzalnych elementów charakterystycznych - elementy te może i nie pozwolą na jednoznaczną identyfikację autora, ale pozwalają dość mocno zawęzić krąg podejrzanych:
Jak się już pewnie domyślasz, komunikat dla użytkownika powinien być jak najbardziej generyczny - tj. zawierać wszystkie potrzebne szczegóły, ale nic ponadto - zobacz chociażby ten niebieski komunikat powyżej, pochodzący od ransomware TeslaCrypt.
Jak wpływać emocjonalnie na użytkownika?
W wielkim skrócie, dużo bezpieczniej jest to zrobić odpowiednią grafiką, doborem kolorów itp. (patrz np. cała galeria komunikatów na stronie ransomware.pl).
Powód jest bardzo prosty: otóż jeżeli w dzisiejszych czasach aktywnie funkcjonujesz w Internecie (zawodowo, hobbystycznie, towarzysko, zakupowo, zdrowotnie i w wielu innych płaszczyznach), to można w nim znaleźć setki, a może choćby tysiące różnych Twoich, choćby drobnych wypowiedzi. Dla przykładu, autor tych słów ma na swoim koncie kilkadziesiąt tysięcy różnych komentarzy i innych wypowiedzi na blogach i forach, dokonywanych sukcesywnie od 2003. Wypowiedzi tego typu najczęściej są szczere - jeżeli choćby nie w treści, to przynajmniej w formie (gramatyce, szyku zdań, doborze wyrazów itd.) - a co za tym idzie, są świetnym materiałem do różnego rodzaju analiz.
Przy odpowiednio dużej ilości różnych wypowiedzi, w zupełnie różnych miejscach (w tym wymagających logowania), na zupełnie różne tematy, nie jesteś w stanie zapobiec analizie swojej osoby - ani stylometrycznej, ani osobowościowej (ten artykuł dotyczy "polubień" na Facebooku, które mówią tylko o tym, iż ktoś się z czymś zgadza lub nie - z otwartej wypowiedzi można wyczytać o autorze jeszcze więcej).
W przypadku grafiki jest odwrotnie: grafika jest formą świadomej ekspresji, gdzie nie rysujemy bezwiednie tego, co nam przyjdzie do głowy, ale świadomie dobieramy narzędzia, techniki i sposób malowania sposobu odbioru, jaki chcemy sprowokować u odbiorcy. Dodatkowo grafika jest bardzo rzadką formą ekspresji (chyba iż akurat ktoś jest malarzem lub innym artystą, albo grafikiem komputerowym). Oba te elementy powodują, iż ciężko jest mówić o skutecznym użyciu metod stylometrycznych.
Z drugiej strony, dobór kształtów i kolorów, choćby w ramach świadomej ekspresji, ma aspekty podświadome - dlatego też możliwa jest choćby częściowa analiza psychometryczna twórcy. Z tego względu, tworząc elementy oprawy graficznej, lepiej sugeruj się przykładami sprawdzonych rozwiązań konkurencyjnych, niż tylko własną intuicją.
Istnieje też korelacja pomiędzy efektownością i charakterystycznością graficzną komunikatu o infekcji, a jego pokazywaniem w różnego rodzaju mediach - przykłady z takim komunikatem są tym chętniej pokazywane, im łatwiej rozpoznawalne jest okienko programu na tle większej całości. Przykładowo poniższe zdjęcie przedstawia komputery w bibliotece pewnego włoskiego uniwersytetu, w 2017 zainfekowane jedną z wersji wirusa WannaCrypt:
Przy czym oczywiście korelacja ta jest wtórna - korelacją pierwotną jest oczywiście efektywność działania, dzięki której media zaczynają się interesować sprawą.
Czy lokalizacja komunikatu o infekcji (a wcześniej phishingu) ma sens?
Kiedy w kontekście ransomware mówimy o lokalizacji, większość osób ma jedno skojarzenie: Google Translate. Na razie jednak zostawmy kwestię techniki tłumaczenia i skupmy się na tym, czy w ogóle warto to robić?
Jeśli tworzysz komunikat z żądaniem okupu przeznaczony dla konkretnego kraju, pamiętaj iż przeciętny poziom znajomości języka angielskiego (choćby biernej i tylko słownictwa podstawowo-technicznego) dla populacji krajów, w których ofiary mają z czego płacić okup, wynosi 60% lub więcej. Oznacza to, iż jeśli nie celujesz w jakąś konkretną niszę, komunikat napisany łamanym angielskim w zupełności wystarczy - ważne natomiast, aby ten "łamany" angielski był napisany stylem innym, niż Twój natywny (patrz wyżej akapity o stylometrii).
Pozostałe kraje też można pominąć, zostawiając im wyłącznie wersję angielską komunikatu - przeciętna ofiara i tak nie będzie miała z czego zapłacić. A jeżeli choćby ktoś będzie miał, to najprawdopodobniej będzie też znał język angielski.
Kiedy więc lokalizowanie komunikatu o infekcji rzeczywiście ma sens? Głównie w dwóch scenariuszach:
- wtedy, gdy celujesz w konkretną niszę lub branżę, w której "są pieniądze", ale jednocześnie poziom znajomości języków obcych jest poniżej przeciętnej - np. w Polsce może to być branża numizmatyczna i kolekcjonerska
- jeśli okienko z komunikatem ma nawiązywać formą graficzną do wcześniejszego phishingu, a więc ma np. imitować szatę graficzną jakiegoś banku, operatora GSM lub innej firmy
Odnośnie samej techniki wykonania lokalizacji, nasuwają się 4 podstawowe możliwości:
- tłumaczenie samodzielne (albo po prostu napisanie lokalnej wersji jako pierwszej) będąc native speakerem - czyli np. jesteś Polakiem i tworzysz komunikat po polsku - tej możliwości powinieneś zdecydowanie unikać (patrz wyżej akapity o stylometrii)
- Google Translate, Microsoft Translator, Amazon Translate i inne nowoczesne usługi chmurowe - z pewnością dają one najlepsze jakościowo tłumaczenia automatyczne, jednakże wszystko, co jest "przepuszczane" przez te usługi, najprawdopodobniej jest logowane wraz z informacjami o użytkowniku i może być udostępnione na żądanie służbom (a w Polsce trwają prace nad prawem umożliwiającym polskim organom proszenie o "dobrowolne" udostępnienie danych kogokolwiek, choćby gdy Polska nie ma podpisanej z danym krajem dedykowanej umowy o współpracy organów śledczych)
- program lub urządzenie tłumaczące starszego typu, działające offline - użycie takiego rozwiązania (zwłaszcza na odizolowanej dla pewności maszynie wirtualnej) jest dużo bezpieczniejsze od użycia np. Google Translate, jednak za cenę dużo gorszej jakości tłumaczenia
- skorzystanie z pomocy żywego tłumacza - pamiętaj jednak o ogólnej zasadzie w kryminalistyce: w grupie 2-osobowej ryzyko wpadki wzrasta o 50% z samego tylko powodu współpracy 2 osób, w grupie 3-osobowej o 75% itd.
W kolejnej części - przyjmowanie płatności i obsługa "klienta".
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.