Hlavní navigace

Falešné antiviry pro šetřílky jsou zase na scéně

 Autor: 74287
Pavel Čepský

Jedním zástupcem kategorie dlouhodobě rozšířeného škodlivého kódu jsou bezesporu falešné antiviry. Dokážou oblafnout hlavně naivní surfaře, nicméně na pozoru by se měli mít nejen oni. Proč ještě nevyhynuly?

Pro útočníky a podvodníky je v dnešní době o něco těžší vymýšlet nové útoky, které by stoprocentně přelstily sofistikované bezpečnostní systémy, a tak se snaží držet zaběhlých scénářů. Klasické e-mailové požadavky na reset hesla Facebooku, PayPalu či eBay jsou naštěstí v hojném počtu ty tam, přední umístění zaujaly jiné alternativy. Mezi nejpopulárnější patří takzvané falešné antiviry, které nyní zažily další z neslábnoucích vln renesance, jak jsme vás informovali v samostatné zprávičce Další falešný antivirus cílí na uživatele Firefoxu:

„Uživatelé prohlížeče Mozilla Firefox by měli zvýšit svou ostražitost při procházení webových stránek. Bezpečnostní společnost Sophos upozorňuje na rostoucí počet útoků zaměřených právě na ně. Nejnověji experti ze společnosti Sophos zaznamenali výskyt podvodných webových stránek, které se snaží imitovat webové rozhraní služby Windows Update. Po navštívení uživateli nabídnou ke stažení a instalaci údajně důležitou aktualizaci. Ve skutečnosti si uživatelé stahují tzv. falešný antivirus.“

Jak společnost Sophos uvádí na svém webu, příznačně pojmenovaném Naked Security, snaží se tvůrci dostat uživatele přesnou kopií dialogu aktualizací Windows. Jde o poněkud zvrácený scénář, jelikož útok může být sebelépe balamutěný, a přitom už první krok odradí většinu uživatelů – aktualizace prostřednictvím webového prohlížeče vyžadují parťáka z dílen Microsoftu, tedy Internet Explorer, a tak imitace specializující se na zobrazení ve Firefoxu automaticky získává negativní nádech.

Falešné antiviry samozřejmě nepatří mezi novinky, kterými nás temná strana počítačové barikády proti naší vůli pravidelně zásobuje, v různých variantách se objevují již delší dobu. Představují jedny z nejlepších ukazatelů moderních trendů, jelikož právě ony zvládly oklamat nespočet běžných koncových uživatelů. Falešné antiviry svým tvůrcům vydělávají hodně peněz, vždy stačilo jen probudit v uživatelích strach a nabídnout jim rychlé a spolehlivé řešení. Co na tom, že je podvodné – uživatel získal pocit, že antivir opravdu zabral a byl za těch pár investovaných dolarů spokojen. A právě toto je hlavním zdrojem energie pečlivě připraveného a promazaného soukolí – kdyby uživatelé byli k vydání peněz donuceni (například pomocí ransomwaru), zbystří, a útočník tak nemusí dostat ani korunu. Pardon, vlastně dolar.

Sophos malware
Podvodná imitace aktualizačních stránek, která se nově objevila. Zdroj: Sophos

Přežijí, dokud to jen půjde

McAfee dříve v rámci programu Consumer Threat Alert odhadlo, že by se falešné antiviry mohly z hlediska způsobených škod stát vůbec největším odvětvím internetové kriminality. Podvodníkům může falešný bezpečnostní software celosvětově vynést až 300 milionů dolarů. Množství falešných antivirů vzrostlo v posledních dvou letech dokonce více než šestinásobně. Obor se také profesionalizuje, rozhraní scarewaru připomíná běžné bezpečnostní nástroje, podvodníci používají loga a další prostředky, jimiž se snaží vzbudit dojem, že se jedná o solidní firmu.

Pokud se ponoříme do neúprosné řeči čísel a statistik, je vidět, že akce se škodlivým kódem a různými podvodnými technikami opravdu mohou být velice zajímavé. Vezmeme-li dobře známé vodítko, že každý zhruba desátý e-mail je regulérní (po odstavení Rustocku podíl kolísá, nicméně stále jde o výraznou menšinu), zbytek spam, může vyvstat otázka, jestli se podvodníkům a útočníkům skutečně vyplatí takto laškovat a balamutit uživatele na první pohled velice průhlednými technikami.

I když si falešné antiviry většinou dělají reklamu samy v případě fiktivní nutnosti, je nasnadě scénář, který snoubí dva hlavně zmíněné trendy lákadel a cestiček: koncový uživatel získá pocit nebezpečí a snaží se najít pomoc přes vyhledávač. Postupně samozřejmě přední pozice zaberou seriózní stránky, blackhat SEO a na něj navěšené stránky nebudou tak účinné. Nicméně zpočátku mohou na prvních místech vyhledávání po vložení názvu jakože viru bombardovat stránky s falešným antivirem za rozumnou cenu. Dvě mouchy jednou ranou, útočník získá peníze, uživatel je spokojen, že je systém zase vyléčen.

Přesně tyto přístupy odkrývají nesmrtelnost a oblibu falešných antivirů. Jedná se o zneužití uživatele jedním z mnoha způsobů, mění se cesty proniknutí do počítače a brnkání na tu přespříliš důvěřivou stránku myšlení. Nezabere prostý e-mail? Nevadí, stačí vytvořit web, na který uživatelé narazí jakoby náhodou. A když ani to nezabere, zkusí útočníci blackhat SEO. A k tomu třeba robota rozesílajícího zprávy přes IM či sociální sítě. Dokud falešné antiviry budou slavit úspěch a běžní uživatelé je neakceptují jako standardní reálnou hrozbu (jako to udělali v případě průhledného phishingu, spamu, zavirovaných keygenů a dalších), bude útočníkům stačit měnit cestu k jejich oslovení a lapení do pasti.


Ukázka falešného antiviru, který neúnavně útočí na koncové uživatele. Zdroj: McAfee

Kdo se nechá nachytat?

Ochranu dokážou poskytnout doplňky webového prohlížeče, které otestují výsledky hledaných stránek ještě dříve, než uživatel některou z nich navštíví. Nespornou výhodou takovéhoto řešení je, že se jedná o proaktivní obranu – nebezpečí není zapotřebí vymetat z počítače až poté, když se tam dostane, ale prostě a jednoduše mu vystavíte stopku hned při klepání na dveře. Klasikou jsou pak standardní reaktivní obranné mechanismy, kam spadá třebas kontrola systému na požádání a automatické testy v pravidelných intervalech.

Specialitkou z druhé poloviny loňského roku je zneužití webu Kaspersky, zde útočníci přidrzle zvolili atak přímo na svého úhlavního nepřítele. Někteří návštěvníci webu Kaspersky byli podvodně přesměrováni na stránky, jež nabízely ke stažení falešný antivir. K provozovateli webu se tato informace navíc dostala až na základě upozornění v diskuzním fóru, tedy od samotných uživatelů, kteří si na podvodné stránky stěžovali a ve finále se i mohli nachytat. Jedná se jen o další důkaz toho, že útočníky nesmíme ani vteřinu podceňovat.

Jaký bezpečnostní software ve své domácí nebo firemní síti používáte vy? Kterými programy chráníte svůj systém a nechali jste se někdy alespoň skoro nalákat do pasti webovými podvodníky? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.

Našli jste v článku chybu?

21. 6. 2011 21:17

csm (neregistrovaný)

Antiviry jsou pro BFU. Kdo jen trochu ví co dělá, vystačí si i na Windows jen s firewallem (třeba Comodo, který je zadarmo).

21. 6. 2011 10:40

assassini (neregistrovaný)

Řadím se sice k šetřílkům, ale antivir, který mám je spolehlivý a pravý, stahl jsem si ho po přečtení recenzí na větším množství stránek a pročtení uveřejněných testů, řídil jsem se i zkušenostmi přátel, kteří tento konkrétní AV používají již delší dobu. Přesto je pro mne tento článek přínosem.
Děkuji za něj, assassini


120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Placené VoD a obsah zdarma

Placené VoD a obsah zdarma

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life