Mezi hrozbami, které se průběžně objevují ve stále nových variantách, mají své pevné místo falešné antiviry. Pro pokročilejší uživatele může být toto nebezpečí jen stěží pochopitelné, vždyť přece kdo by si dobrovolně stáhnul kus neznámého softwaru bez toho, aby přesně věděl z jakého zdroje a od kterého výrobce. Začínající a takzvaní běžní uživatelé se však nechají přemluvit takřka k čemukoliv, a také proto falešné antiviry v různých obměnách přežívají již několik let – dokud se najdou nevyléčitelní bezhlaví „klikači“ a přespříliš naivní konzumenti internetového obsahu, mají podvodníci částečný (i když ve finále třeba nijak převratný) odbyt zajištěn.
Právě falešné antiviry jsou typickou ukázkou toho, jak útočníci s oblibou sázejí na časem prověřená a poměrně úspěšná rizika, přitom však musí průběžně obměňovat cesty, kterými koncové uživatele přesvědčí. Během několika minulých dnů se oblibě a velkému rozšíření těšilo zneužití Twitteru, přesněji řečeno jeho využití k rozeslání falešných odkazů směřujících na podvodné stránky. Až překvapivě jednoduchý princip zamotal hlavu řadě uživatelů: podvodníci nabádali ke stažení zdarma dostupného antiviru AVG, po následování takovéhoto odkazu se otevřela domovská stránka a opravdový regulérní download zdarma.
Takto se celý postup jevil očima konzumenta, ve skutečnosti se však po kliknutí na odkaz maskovaný zkracovačem adres uživatel dostal na falešné stránky imitující domovské stránky AVG. Odtud si pak mohl daný „antivir“ stáhnout. Na první pohled tedy při bezmyšlenkovitém stahování a brouzdání webem nemusel nic poznat, jelikož i grafické zpracování bylo oproti jiným podvodům nadprůměrné. To, že dané okopírované stránky AVG byly pouze v angličtině a nenabízely kompletní funkcionalitu, nemuselo být na první pohled nápadné.
Falešné antiviry představují jedny z nejlepších ukazatelů moderních trendů, jelikož právě ony zvládly oklamat nespočet běžných koncových uživatelů. Svým tvůrcům vydělávají hodně peněz, vždy stačilo jen probudit v uživatelích strach a nabídnout jim rychlé a spolehlivé řešení. Co na tom, že je podvodné – uživatel získal pocit, že antivir opravdu zabral a byl za těch pár investovaných dolarů spokojen. A právě toto je hlavním zdrojem energie pečlivě připraveného a promazaného soukolí – kdyby uživatelé byli k vydání peněz donuceni (například pomocí ransomwaru), zbystří, a útočník tak nemusí dostat nic.
Podvodné stránky umožňující stažení falešného antiviru. Zdroj: AVG
Hrozba bleskově ukrytá
McAfee dříve v rámci programu Consumer Threat Alert odhadlo, že by se falešné antiviry mohly z hlediska způsobených škod stát vůbec největším odvětvím internetové kriminality. Podvodníkům může falešný bezpečnostní software celosvětově vynést až 300 milionů dolarů. Množství falešných antivirů vzrostlo v posledních letech dokonce více než šestinásobně. Obor se také profesionalizuje, rozhraní scarewaru připomíná běžné bezpečnostní nástroje, podvodníci používají loga a další prostředky, jimiž se snaží vzbudit dojem, že se jedná o solidní firmu – přesně tak se nyní stalo i v případě podsunutí imitovaných stránek AVG.
Aktuální podvod cílící na uživatele prahnoucí po zdarma dostupném antiviru od AVG je zajímavé prozkoumat z několika úhlů pohledu, jelikož se v něm snoubí hned několik atributů, které jsou v současnosti pro podobné vějičky typické. Vystopovat lze zejména následující:
- vytvoření na první pohled důvěryhodných stránek, které zprostředkovávají stažení malwaru
- maskování podvodných odkazů pomocí zkracovačů odkazů
- šíření a nepřímé zneužití sociálních sítí, v tomto případě Twitteru
O napodobení domovských stránek AVG jsme se již detailně zmínili, minimálně stejnou pozornost ale z uvedené trojice symptomů vyžaduje také podloudné využití služeb pro zkracování odkazů. Pokud by uživatel na první pohled viděl nějakou čínskou nebo japonskou doménu, nejspíš zbystří, nicméně takto je vše pěkně skryto. Jedná se o rafinovanější metodu než jen klasické skrývání odkazu za jiný text v HREF tagu, oblibě se ze strany útočníků těší v automatickém komentářovém spamu, maskování odkazů na Twitteru, Facebooku apod.
Všichni uživatelé, kteří si odkaz před následováním rádi ověří, mohou v případě zkráceného URL na Bit.ly využít rozšiřujícího znaku + za cílovou adresou, čímž se zobrazí interní statistika odkazu, opravdovou cílovou adresu nevyjímaje. Pokud má tedy neznámý, narychlo maskovaný odkaz podobu bit.ly/abc, stačí pro výpis detailů použít bit.ly/abc+. Perfektním pomocníkem se také stává univerzální služba na adrese www.longurl.org.
Maskované odkazy na Twitteru. Zdroj: AVG
Lepší zítřky v nedohlednu
Třetí shoda aktuálního incidentu s moderní vlnou útoků spočívá ve zneužití Twitteru či Facebooku pro rozšíření falešného odkazu. Stále častěji se objevují podvody, které tyto a další sociální sítě volí jako důvěryhodnou a naprosto nenákladnou cestu, jak uživatele oslovit. Klasickým příkladem jsou zprávy odkazující na stránky podobné klasickému videoportálu YouTube, ale pokud je příjemce facebookové zprávy následuje, dojde k otevření podvodné kopie. Namísto spuštění videa pak uživatel vyzván ke stažení doplňku pro přehrání, a tedy stažení viru. Podobně jako u e-mailu nebo instant messagingu zde autoři těží z toho, že zprávy na první pohled pocházejí od známého kontaktu. A v případě zneužití stránek AVG nebo do budoucna kteréhokoliv jiného známějšího tvůrce samozřejmě postačí i anonymní tweet.
Podle všech stávajících indicií bohužel během následujících měsíců nemůžeme očekávat ústup podobně koncipovaných útoků, spíše naopak. Kromě neustále lačnosti běžných koncových uživatelů po všem, co je zdarma a lhostejno z jakého zdroje, této prognóze nahrává i fakt, že vytvoření takovéhoto podvodu nevyžaduje detailní technické znalosti nebo nekončící dny pilování. Jednoduše se použije koncept již připravených a postupem času ověřených technik, skloubí se dohromady a pak již jen zbývá čekat, kolik uživatelů se nachytá. Výrobci legitimních antivirů samozřejmě v co nejkratším časovém okně reagují na falešné antiviry jako na kterýkoliv jiný škodlivý kód: obohatí databázi o novou signaturu. Prim by nicméně v proaktivně ochraně měli hrát hlavně sami uživatelé a vyhnout se bezhlavé touze a naivitě.
