Hlavní navigace

Twitter, falešný antivir a rouška tajemství

Pavel Čepský 27. 3. 2012

Sociální sítě se stávají pravidelnou cestou, jak uživatele donutit k akci, kterou by jinak snad ani neprovedli. Falešné antiviry tak prožívají svoji „renesanci“, a zřejmě nikoliv naposledy.

Mezi hrozbami, které se průběžně objevují ve stále nových variantách, mají své pevné místo falešné antiviry. Pro pokročilejší uživatele může být toto nebezpečí jen stěží pochopitelné, vždyť přece kdo by si dobrovolně stáhnul kus neznámého softwaru bez toho, aby přesně věděl z jakého zdroje a od kterého výrobce. Začínající a takzvaní běžní uživatelé se však nechají přemluvit takřka k čemukoliv, a také proto falešné antiviry v různých obměnách přežívají již několik let – dokud se najdou nevyléčitelní bezhlaví „klikači“ a přespříliš naivní konzumenti internetového obsahu, mají podvodníci částečný (i když ve finále třeba nijak převratný) odbyt zajištěn.

Právě falešné antiviry jsou typickou ukázkou toho, jak útočníci s oblibou sázejí na časem prověřená a poměrně úspěšná rizika, přitom však musí průběžně obměňovat cesty, kterými koncové uživatele přesvědčí. Během několika minulých dnů se oblibě a velkému rozšíření těšilo zneužití Twitteru, přesněji řečeno jeho využití k rozeslání falešných odkazů směřujících na podvodné stránky. Až překvapivě jednoduchý princip zamotal hlavu řadě uživatelů: podvodníci nabádali ke stažení zdarma dostupného antiviru AVG, po následování takovéhoto odkazu se otevřela domovská stránka a opravdový regulérní download zdarma.

Takto se celý postup jevil očima konzumenta, ve skutečnosti se však po kliknutí na odkaz maskovaný zkracovačem adres uživatel dostal na falešné stránky imitující domovské stránky AVG. Odtud si pak mohl daný „antivir“ stáhnout. Na první pohled tedy při bezmyšlenkovitém stahování a brouzdání webem nemusel nic poznat, jelikož i grafické zpracování bylo oproti jiným podvodům nadprůměrné. To, že dané okopírované stránky AVG byly pouze v angličtině a nenabízely kompletní funkcionalitu, nemuselo být na první pohled nápadné.

Falešné antiviry představují jedny z nejlepších ukazatelů moderních trendů, jelikož právě ony zvládly oklamat nespočet běžných koncových uživatelů. Svým tvůrcům vydělávají hodně peněz, vždy stačilo jen probudit v uživatelích strach a nabídnout jim rychlé a spolehlivé řešení. Co na tom, že je podvodné – uživatel získal pocit, že antivir opravdu zabral a byl za těch pár investovaných dolarů spokojen. A právě toto je hlavním zdrojem energie pečlivě připraveného a promazaného soukolí – kdyby uživatelé byli k vydání peněz donuceni (například pomocí ransomwaru), zbystří, a útočník tak nemusí dostat nic.

Podvodné stránky napodobující AVG
Podvodné stránky umožňující stažení falešného antiviru. Zdroj: AVG

Hrozba bleskově ukrytá

McAfee dříve v rámci programu Consumer Threat Alert odhadlo, že by se falešné antiviry mohly z hlediska způsobených škod stát vůbec největším odvětvím internetové kriminality. Podvodníkům může falešný bezpečnostní software celosvětově vynést až 300 milionů dolarů. Množství falešných antivirů vzrostlo v posledních letech dokonce více než šestinásobně. Obor se také profesionalizuje, rozhraní scarewaru připomíná běžné bezpečnostní nástroje, podvodníci používají loga a další prostředky, jimiž se snaží vzbudit dojem, že se jedná o solidní firmu – přesně tak se nyní stalo i v případě podsunutí imitovaných stránek AVG.

Aktuální podvod cílící na uživatele prahnoucí po zdarma dostupném antiviru od AVG je zajímavé prozkoumat z několika úhlů pohledu, jelikož se v něm snoubí hned několik atributů, které jsou v současnosti pro podobné vějičky typické. Vystopovat lze zejména následující:

  • vytvoření na první pohled důvěryhodných stránek, které zprostředkovávají stažení malwaru
  • maskování podvodných odkazů pomocí zkracovačů odkazů
  • šíření a nepřímé zneužití sociálních sítí, v tomto případě Twitteru

O napodobení domovských stránek AVG jsme se již detailně zmínili, minimálně stejnou pozornost ale z uvedené trojice symptomů vyžaduje také podloudné využití služeb pro zkracování odkazů. Pokud by uživatel na první pohled viděl nějakou čínskou nebo japonskou doménu, nejspíš zbystří, nicméně takto je vše pěkně skryto. Jedná se o rafinovanější metodu než jen klasické skrývání odkazu za jiný text v HREF tagu, oblibě se ze strany útočníků těší v automatickém komentářovém spamu, maskování odkazů na Twitteru, Facebooku apod.

Všichni uživatelé, kteří si odkaz před následováním rádi ověří, mohou v případě zkráceného URL na Bit.ly využít rozšiřujícího znaku + za cílovou adresou, čímž se zobrazí interní statistika odkazu, opravdovou cílovou adresu nevyjímaje. Pokud má tedy neznámý, narychlo maskovaný odkaz podobu bit.ly/abc, stačí pro výpis detailů použít bit.ly/abc+. Perfektním pomocníkem se také stává univerzální služba na adrese www.longurl.org.

Odkaz na Twitteru
Maskované odkazy na Twitteru. Zdroj: AVG

Lepší zítřky v nedohlednu

Třetí shoda aktuálního incidentu s moderní vlnou útoků spočívá ve zneužití Twitteru či Facebooku pro rozšíření falešného odkazu. Stále častěji se objevují podvody, které tyto a další sociální sítě volí jako důvěryhodnou a naprosto nenákladnou cestu, jak uživatele oslovit. Klasickým příkladem jsou zprávy odkazující na stránky podobné klasickému videoportálu YouTube, ale pokud je příjemce facebookové zprávy následuje, dojde k otevření podvodné kopie. Namísto spuštění videa pak uživatel vyzván ke stažení doplňku pro přehrání, a tedy stažení viru. Podobně jako u e-mailu nebo instant messagingu zde autoři těží z toho, že zprávy na první pohled pocházejí od známého kontaktu. A v případě zneužití stránek AVG nebo do budoucna kteréhokoliv jiného známějšího tvůrce samozřejmě postačí i anonymní tweet.

Podle všech stávajících indicií bohužel během následujících měsíců nemůžeme očekávat ústup podobně koncipovaných útoků, spíše naopak. Kromě neustále lačnosti běžných koncových uživatelů po všem, co je zdarma a lhostejno z jakého zdroje, této prognóze nahrává i fakt, že vytvoření takovéhoto podvodu nevyžaduje detailní technické znalosti nebo nekončící dny pilování. Jednoduše se použije koncept již připravených a postupem času ověřených technik, skloubí se dohromady a pak již jen zbývá čekat, kolik uživatelů se nachytá. Výrobci legitimních antivirů samozřejmě v co nejkratším časovém okně reagují na falešné antiviry jako na kterýkoliv jiný škodlivý kód: obohatí databázi o novou signaturu. Prim by nicméně v proaktivně ochraně měli hrát hlavně sami uživatelé a vyhnout se bezhlavé touze a naivitě.

Našli jste v článku chybu?
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky