Atak typu scam opracowano w celu uzyskiwania danych bankowych użytkowników. Po zainfekowaniu użytkownicy są bowiem przekierowywani na witryny www, na których odbywa się sprzedaż fałszywych produktów antywirusowych, co wymaga wprowadzenia poufnych danych. Średnio cena fałszywego produktu antywirusowego wynosi 49,95 euro. Nietrudno zatem obliczyć, że twórcy tych programów zyskują miesięcznie ponad 10 milionów euro, zważywszy, że 3% zainfekowanych użytkowników decyduje się na zakup fałszywego produktu.
Choć sposób nie jest nowy ani szczególnie oryginalny, liczba infekcji wywoływanych przez fałszywe programy antywirusowe nadal gwałtownie rośnie. Twórcy tych programów mają tylko jeden cel: czerpać korzyści finansowe ze swoich produktów. I to im się udaje. „Zgodnie z danymi zgromadzonymi przez Panda Security ponad 30 milionów użytkowników zostało zainfekowanych przy użyciu fałszywych programów antywirusowych” – stwierdził Maciej Sobianek, specjalista ds. bezpieczeństwa w Panda Security Polska. „Informacje, jakimi dysponujemy obecnie, wskazują, że około 3% tych użytkowników podało swoje dane osobowe w trakcie1 dokonywania zakupu produktu, który ma rzekomo wyleczyć ich komputery. W rzeczywistości osoby te nie otrzymują nawet zamówionego produktu. Zważywszy, że cena takiego produktu wynosi średnio 49,95 euro, można przyjąć, że twórcy tego rodzaju programów zarabiają ponad 10 milionów euro miesięcznie”2.
Złośliwy adware atakuje
Do osiągnięcia tego celu wystarczyło stworzyć tysiące odmian nowego rodzaju oprogramowania adware i rozpowszechnić je w internecie. Użytkownicy mogą być infekowani na kilka sposobów: podczas przeglądania witryn www przeznaczonych dla osób dorosłych, podczas pobierania plików za pośrednictwem sieci P2P, podczas odbierania elektronicznych kartek z życzeniami, podczas pobierania plików, które wykorzystują luki w zabezpieczeniach, co skutkuje infekcją komputerów bez wiedzy użytkowników, itp. Istnieją też przypadki fałszowania strony głównej Google.
Cel: zastraszyć użytkownika
Wszystkie programy tego typu działają w podobny sposób. Użytkownik jest informowany, że jego komputer został zainfekowany. Ponadto nieustannie prezentowane są okna typu pop-up, tapety pulpitu lub wygaszacze obrazu z ostrzeżeniem, co uniemożliwia normalne korzystanie z komputera. Celem takiego działania jest zastraszenie użytkownika i zmuszenie go do zakupu fałszywego oprogramowania antywirusowego. Dla jego osiągnięcia stosuje się również animacje, na których karaluchy zjadają zawartość pulpitu, lub wyświetlane są fałszywe niebieskie ekrany sugerujące wystąpienie awarii.
Zaawansowani użytkownicy internetu szybko zorientują się, że mają do czynienia z fałszywym oprogramowaniem antywirusowym i zaczną szukać rozwiązania problemu. „Co gorsza, tego typu programy bardzo trudno zneutralizować. Użytkownicy dysponujący sporą wiedzą mogą próbować zneutralizować zagrożenie, ale nie jest to zadanie łatwe. Na ogół całkowite usunięcie złośliwego oprogramowania z komputera może zająć do trzech dni” – dodaje Sobianek. „Dlatego właśnie zalecamy użytkownikom, dysponującym programami antywirusowymi, które nie są w stanie wykryć zagrożenia, zainstalowanie odpowiedniego systemu zabezpieczeń, stworzonego specjalnie w celu wykrywania i neutralizacji wszelkich śladów tego rodzaju złośliwych programów”.
Jednak nie wszyscy użytkownicy są w stanie rozpoznać problem. Ci, którzy odwiedzą strony, na których odbywa się sprzedaż fałszywych programów antywirusowych, napotkają produkty, które są klonami oryginalnych systemów zabezpieczających. „Trzeba przyznać, że fałszywe programy oraz powiązane z nimi witryny www potrafią wyglądać bardzo wiarygodnie. Nie może więc dziwić fakt, że część użytkowników dokonuje zakupu, zwłaszcza, że chce szybko zneutralizować zagrożenia obecne na ich komputerach” – twierdzi Sobianek z Panda Security Polska.
W trakcie procesu zakupu użytkownicy muszą wprowadzić poufne dane. Ich karty kredytowe zostają obciążone kwotą średnio 49,95 euro. To zapłata za program antywirusowy, którego nigdy nie otrzymują. „Jako że produkty te są imitacją dobrze znanych marek, ofiary – po zakupie fałszywego oprogramowania – często zwracają się do rzeczywistych producentów zabezpieczeń. Ci nie są w stanie im pomóc, ponieważ nie sprzedali tym użytkownikom żadnych licencji” – mówi Sobianek.
Nadal nie wiadomo, czy dane banków i numery kart kredytowych są później wykorzystywane przez cyberprzestępców. Jeżeli miałoby się tak stać, konsekwencje finansowe byłyby znacznie poważniejsze.
„Te techniki dowodzą pomysłowości cyberprzestępców, którzy stale szukają nowych sposobów zarabiania pieniędzy” – komentuje Sobianek.
Pomogą systemy najnowszej generacji
Celem uniknięcia infekcji powodowanych przez tego rodzaju oprogramowanie adware, Panda Security zaleca użytkownikom instalowanie systemów antywirusowych najnowszej generacji. Wszystkim zainteresowanym użytkownikom producent oferuje 30 dniową wersję oprogramowania Panda Internet Security 2009. Można ją pobrać pod adresem: http://www.pspolska.pl/download/demo/pobierz/?prod=is2009
Nowe rodzaje epidemii wirusowych
Epidemie tego rodzaju to jeden z elementów dynamiki rozwoju złośliwego oprogramowania. W dzisiejszych czasach nie mamy już do czynienia z głośnymi epidemiami powodowanymi przez pojedyncze wirusy, takie jak „I love you” (http://en.wikipedia.org/wiki/ILOVEYOU) czy Sasser. Te niezwykle popularne złośliwe kody miały na celu przyniesienie ich twórcom szczególnie pojmowanej sławy i prestiżu poprzez infekcję jak największej liczby komputerów.
Obecnie cyberprzestępcy działają w zorganizowanych grupach o charakterze przestępczym, a ich celem jest osiągnięcie korzyści finansowych. Użytkownicy są więc bombardowani każdego dnia tysiącami nowych odmian złośliwego oprogramowania. W ten sposób autorzy złośliwych kodów chcą nasycić laboratoria antywirusowe, a jednocześnie uniknąć uwagi mediów, jaką z pewnością przyciągnęłaby epidemia spowodowana pojedynczym – spektakularnym – atakiem. Użytkownicy zyskali zatem fałszywe poczucie bezpieczeństwa.
Laboratorium PandaLabs wykryło ponad 7000 odmian fałszywych programów antywirusowych.
Więcej informacji na ten temat można znaleźć na blogu PandaLabs: http://pandalabs.pandasecurity.com/archive/Who-Wants-to-Be-a-Millionaire_3F00_.aspx
Pod tym adresem można uzyskać informacje, w jaki sposób działają programy antywirusowe: http://pandalabs.pandasecurity.com/blogs/images/PandaLabs/2008/10/13/video.avi
Pod tym adresem można zobaczyć przykłady fałszywych produktów antywirusowych: http://www.flickr.com/photos/panda_security/tags/fakeantivirus/)