Dokonalý podvod

Nedlouho poté, co si princ William a Kate Middletonová 29. dubna vyměnili přísahu, se svatební portrét zesnulé matky ženicha, princezny Diany, z roku 1981, objevil jako jeden ze tří nejlepších obrázků pro lidi, kteří toho rána zadali nejoblíbenější hledaný výraz na Googlu: královská svatba. Dosah. Ale spoj byl vypínací drát. Podvodní umělci odhalili škodlivý web pomocí algoritmu Google. Odkaz vedl na hacknutou stránku webového komiksu s názvem Kiwiblitz.com, která přesměrovala prohlížeč na jiný web – web s názvem domény z neznámého australského ostrovního území a hostovaný ve Švédsku. Tato stránka zobrazovala realisticky vypadající program s názvem XP Anti-Spyware, který vydával falešná varování – Váš počítač je infikován! Několik kliknutí vedlo k údajnému řešení za 59,95 $: stažení opravy, která ve skutečnosti neexistovala.





Královská bolest: Otrávený obrázek princezny Diany se v jarním dni, kdy se oženil její syn princ William, dostal až na třetí místo ve vyhledávání obrázků na Google pro pokrytí královské svatby.

Připište další úspěch tomu, co je obecně známé jako falešný antivirový podvod. Federální vyšetřovatelé a bezpečnostní experti odhadují, že jeho různé iterace vytáhly z obětí v posledních několika letech nejméně 1 miliardu dolarů a stal se nejviditelnějším projevem celkového nárůstu škodlivého softwaru nebo malwaru distribuovaného online. (viz grafy níže) . Poškození přesahuje krádež hotovosti: i když nevytáhnete peněženku, někdy pouhé kliknutí na falešné hrozby může přinést další formy malwaru, které mohou ukrást vaše hesla nebo odvést váš počítač do vzdáleně ovládaného gangu tzv. botnet. Vzhledem k tomu, že obecně spoléhá na oklamání lidí, aby si dobrovolně nainstalovali malware – strategii zvanou útok sociálního inženýrství – může skončit infikováním i dobře udržovaných počítačů, PC i Mac. Jako akt podvodu na lidské úrovni je to prostě klasicky krásné, říká David Clark, vědecký pracovník MIT’s Computer Science and Artificial Intelligence Laboratory, který byl v 80. letech hlavním architektem internetového protokolu.

Měřený život

Tento příběh byl součástí našeho vydání z července 2011



  • Viz zbytek čísla
  • předplatit

Tato hrozba je produktem svižné technologie a obchodního modelu, který odměňuje inovace. Podvodníci vykreslili tisíce variant falešného antivirového návnady v desítkách jazyků, vymysleli automatizované prostředky k infikování běžných webových stránek a vymysleli mnoho vektorů nebo metod doručování webových odkazů nesoucích jejich hanebnou zátěž. Výsledky vyhledávání ve hrách jsou pouze jednou metodou. Dalším vektorem jsou online reklamy, stejně jako spamové e-maily, odkazy na sociálních sítích a dokonce i robotické hovory přes Skype nebo telefonáty, které lidem doporučují navštívit webové stránky, které útok říhají. Je to skutečně dominantní hrozba pro uživatele počítačů, která v průběhu času přetrvává a nadále se vyvíjí a roste, říká Maxim Weinstein, ředitel StopBadware, neziskové organizace v Cambridge ve státě Massachusetts, která pomáhá webům zbavit se malwarových hacků a tlačí k uzavření škodlivých stránek. . Úspěch podvodu odhaluje hloupost mnoha hlavních hráčů internetu, kteří nebyli schopni koordinovat strategii, jak se s tím vypořádat.

V nejméně 60 zemích jsou oběti. Strávil jsem hodiny čištěním systému, který se nakazil, protože zaměstnanec klikl na jedno z těchto varování, říká Brian D’Arcangelo, technik informačních technologií v Lynn Community Health Center v Lynn, Massachusetts. Tady se to děje s větší frekvencí. Výrobce šperků v Torontu – který chtěl používat pouze své příjmení Moser – našel loni svůj počítač se systémem Windows uzamčený s blikajícími varováními poté, co hledal položky související s jeho obchodem, a tak pokračoval a koupil řešení za 79,95 dolarů. Musel nechat vyčistit počítač. Hledání výrazů tak všedních jako balónky vedlo k útočným stránkám. Fóra Applu se rozsvěcují prosbami zákazníků, kteří se snaží vymanit z podvodů, jako je ten, který je nabádá ke koupi neexistujícího softwaru Mac Defender. Matka Melissy Hathawayové, která v roce 2009 působila jako poradkyně prezidenta Obamy pro kybernetickou bezpečnost, loni v prosinci klikla na instalaci falešného antivirového produktu. Odborníci na počítačovou bezpečnost varují, že mnoho obětí si ani neuvědomuje, že byly podvedeny.

Ekonomika

Přitažlivost falešného antivirového softwaru – často nazývaného scareware – má kořeny ve strachu. Tento podvod se nespoléhá na přesvědčování oběti o něčem absurdním – například, že nigerijský princ potřebuje pomoc s přemístěním svých peněz. Místo toho je dodávka kalibrována tak, aby těžila ze skutečných varování, která jsme všichni dostali. Lidé, kteří přesně nevědí, co se děje – a bylo jim řečeno: „Používejte antivirovou ochranu, čistěte si kybernetické zuby každý den“ – budou nuceni na to reagovat, říká Vint Cerf, spoluvynálezce původních internetových protokolů, který je nyní hlavním internetovým evangelistem ve společnosti Google. Útoky obecně pocházejí ze zemí, kde jsou zákony o kybernetické kriminalitě laxní (nebo nevynucované) a smlouvy zavazující ke spolupráci s jinými národy nejsou účinné. Mnoho zločineckých gangů provozuje sítě zejména z východní Evropy. (Některý malware kontroluje, zda je počítač potenciální oběti nastaven na východoevropské národní prostředí nebo má ruskou klávesnici, načež se elegantně ukončí.)



Na svobodě: Shaileshkumar Jain (vlevo nahoře) a Bjorn Daniel Sundin (vpravo) byli obviněni z podvodu s drátem a odsouzeni k rozsudku ve výši 163 milionů dolarů poté, co údajně podváděli spotřebitele prodejem falešných antivirových produktů prostřednictvím jejich dnes již neexistující společnosti Innovative Marketing se sídlem v Kyjevě.

Je snadné pochopit, proč je podvod s falešným antivirem mezi zločinci tak populární. Výplata je okamžitá a zisky velké. Někdo, kdo ukradne jiné druhy digitální kořisti, jako jsou čísla kreditních karet nebo hesla, musí udělat další kroky, aby získal peníze. Ale falešný antivirový produkt strčí peníze přímo do kapsy podvodníka. Například v roce 2008 Federální obchodní komise USA zažalovala ředitele společnosti Innovative Marketing, která byla začleněna do Belize a v té době měla kanceláře poblíž Kyjeva na Ukrajině. FTC uvedla, že společnost v letech 2004 až 2008 vydělala více než 163 milionů dolarů tím, že přiměla spotřebitele ke stažení falešného softwaru pomocí tak chytrých titulů, jako jsou Winfixer, WinAntivirus, Drivecleaner, SystemDoctor a XP Antivirus 2008. Minulý rok federální soudce v Marylandu vymáhal rozsudek v této výši proti ředitelům společnosti Shaileshkumar Sam Jain a Bjorn Daniel Sundin, kteří byli později obviněni z podvodu u federálního soudu v Chicagu. Zůstávají na svobodě. Třetí obžalovaný, James Reno z Amelie, Ohio – který se vyrovnal s FTC – byl rovněž obžalován; je obviněn z provozování call centra, kde se operátoři snažili odrazit lidi, kteří si stěžovali, i když zaměstnanci také někdy poskytovali náhradu, aby rozzlobili zákazníky, aby zůstali mimo radar společností vydávajících kreditní karty. Jeho právní zástupce nevracel zprávy, které zanechal Recenze technologie .

Škody způsobené touto organizací mohly být ještě horší, než tvrdila FTC. Výzkumníkovi bezpečnostní společnosti McAfee se podařilo zjistit, že Innovative Marketing má asi 600 zaměstnanců a 34 serverů šířících malware, z nichž většina funguje z tradičního kancelářského komplexu v Kyjevě. Firemní impérium zahrnovalo divize, které se zabývaly platbami kreditními kartami, call centrum v Ohiu a několik webových stránek pro dospělé, které plnily dvojitou povinnost jako vektory pro falešný antivirový software. McAfee poznamenal, že Innovative Marketing zaznamenal 4,5 milionu objednávek během 11měsíčního období v roce 2008; při 35 dolarech na objednávku se roční tržby zjevně blížily 180 milionům dolarů. To je podle odhadu společnosti eMarketer pro průzkum trhu lepší než 150 milionů dolarů, které Twitter letos vytáhne.



Inovativní marketing již neexistuje. To však nezpomalilo celosvětový obchod s falešnými antiviry. V posledních pěti letech se zde vyskytlo několik malwarových gangů, které neustále pracovaly na podvodných antivirových podvodech, říká Eric Howes, výzkumný analytik společnosti GFI Software, Clearwater na Floridě. Aby se operace udržely v chodu, dodavatelé tohoto a dalších forem malwaru přizpůsobují obchodní techniku ​​používanou společnostmi jako Amazon: affiliate model. Stejně jako webové stránky kohokoli mohou obsahovat odkaz na nákupní formulář na Amazonu a vybírat poplatek za jakýkoli prodej, antiviroví podvodníci získávají třetí strany známé jako přidružené společnosti, které mohou získat poplatek za každou instalaci – tedy pokaždé, když někdo otevře dveře malwaru. kliknutím na falešné varování – plus provize za každý výsledný prodej falešného produktu. Jeden distributor, Avprofit.com, na svých webových stránkách slíbil, že zaplatí mezi 300 a 750 dolary za každých 1 000 instalací ve Spojených státech, Kanadě, Velké Británii nebo Austrálii, kde je vyšší šance, že se setkají s oběťmi, které si mohou dovolit zaplatit falešná varování vyžadují. Požadované zkušenosti: Avprofit hledal hackery s průměrem minimálně 250 instalací za den.

Mnoho přidružených společností si vede velmi dobře. SecureWorks, jednotka společnosti Dell, analyzovala distribuci falešného antivirového programu nazvaného Antivirus XP 2008 prostřednictvím společnosti Bakasoftware se sídlem v Rusku. Podle dokumentů poskytnutých hackerem za Bakasoftware, který vystupoval pod přezdívkou Krab, dokázal jeden z jeho nejlepších poboček oklamat 154 825 lidí, aby si nainstalovali kopie malwaru do svých počítačů během 10 dnů, přičemž 2 772 obětí zadalo svou kreditní kartu. čísla. Pokud jsou dokumenty přesné, Krabova pobočka za tu krátkou dobu utekla s 146 524 dolary.

Inovace

Přidružené společnosti vytvořily působivý soubor temných inovací, aby vytvořily nové způsoby infikování počítačů přes web. Klíčovým nástrojem je legitimní web, který byl tajně napaden. Pokud takový web navštívíte, budete často automaticky přesměrováni na web, který zobrazí blikající varování, ve snaze oklamat vás, abyste klikli na souhlas ke stažení falešného antivirového programu. Jiný malware často hledá neopravené díry v běžném softwaru, jako je Java a Adobe Flash – díry, přes které může instalovat další škodlivé užitečné zatížení, jako je malware, který krade hesla uložená ve vašem počítači. Toto je známé jako stahování za jízdy.



Falešná varování podobná výše uvedenému – v desítkách jazyků – znají miliony uživatelů počítačů po celém světě.

Základem celého procesu je pozoruhodná technologie. Aby si zločinci udrželi stálý přísun infikovaných webů, píší kód, který prochází web a hledá známá zranitelnost na běžných publikačních platformách, jako je Wordpress, nebo v softwaru pro webhosting, jako je cPanel, říká Weinstein. (Jeho organizace StopBadware pomáhá každý měsíc vyčistit 1200 webových stránek, což je nepatrný zlomek ze stovek tisíc, o kterých se věří, že jsou kdykoli infikovány.) Alternativně mohou zločinci použít uloupená hesla k přihlášení na webové stránky a přidání škodlivého kódu. Aby byla tato práce snazší, dělají botnety většinu práce automaticky.

Nástražné webové stránky jsou jen jedním krokem. Škodlivý kód se musí vyhnout odhalení, pokud mají tyto stránky zůstat pro zločince užitečné. Aby přelstili skutečné antivirové programy, které jsou denně aktualizovány, provádějí zločinci kosmetické změny v kódu – často pomocí jednoduchých a široce dostupných šifrovacích triků. (Například škodlivý kód za obrázkem Princess Di byl v podstatě stejný jako kód použitý v jiných podvodech s falešnými antiviry, ale uniklo ho 38 ze 42 skutečných antivirových skenerů.) A udržet si náskok před černými listinami, které bezpečnostní společnosti a Webové společnosti neustále blokují webové adresy, o kterých je známo, že obsahují škodlivý software, využívají techniky pro rychlou registraci a změnu tisíců adres.

Pohled na jeden registr domén ukazuje, jak snadné to je. Společnost v Jižní Koreji se specializuje na prodej milionů adres v národní doméně .cc – na Kokosových (Keelingových) ostrovech, na území Austrálie. Korejský obchod zaregistroval co.cc. K tomu může přidat nespočet jmen. Za 1 000 $ vám jich dá 15 000. Chlubí se tím, že má 57 milionů co.cc stránek indexovaných Googlem, což ukazuje, jak snadné může být oslovit širokou škálu obětí. A bezplatné webhostingové služby po celém světě usnadňují uvedení těchto stránek do provozu.

vektory

Aby se jejich odkazy dostaly k obětem, které je pravděpodobně uvidí a kliknou na ně, potřebují antivirové podvodníky vektory a použili jich mnoho: porno stránky, online reklamy, výsledky vyhledávání, software obchodovaný na webech pro sdílení souborů a odkazy na Facebook a Twitter. Škodlivé webové stránky využívající tyto vektory jsou stále častěji vytvářeny denně nebo dokonce každou hodinu, aby bylo možné je zablokovat a vypnout.

Infikování online reklamy je docela jednoduché: padouši kupují reklamy a montují je škodlivým kódem nebo odkazy. Podle FTC zástupci Innovative Marketing vystupovali jako zástupci skutečných společností a organizací – včetně Travelocity, Priceline a Oxfam International – a nakupovali reklamy údajně jejich jménem. Tyto online reklamy využívaly důmyslnou variantu geografického cílení. Při zobrazení z IP adres zaměstnanců reklamní sítě se zdály legitimní, ale diváci na jiných adresách byli přesměrováni na podvodné stránky. V poslední době se podle zprávy bezpečnostní společnosti Websense infikované reklamy – umístěné reklamními sítěmi, které důkladně neprověřily klienty – objevily na Gizmodo, TechCrunch a webových stránkách New York Times .

Zvětšit grafy.

Ale vyhledávače mohou být nyní převládajícím vektorem, říká Stefan Savage, počítačový vědec z University of California v San Diegu. Podvodníci hrají různé triky pro optimalizaci vyhledávání, aby oklamali algoritmy, které Google, Bing a další nástroje používají k určení, které webové odkazy se mají zobrazit v reakci na požadavky vyhledávání. Obecně platí, že stránka na infikovaném webu (jako je Kiwiblitz.com) je tiše nacpaná trendy hledanými výrazy a odkazy na obrázky. Potom hráči se zlými úmysly propojují stránky – stovky nebo tisíce z nich – takže programy vyhledávačů pro procházení webu řadí infikovanou stránku na první místo podle zjevné popularity a relevance. Denis Sinegubko, výzkumník malwaru v Rusku, se domnívá, že zločincům se podařilo ukrást výsledky vyhledávání na prvních stránkách vyhledávání obrázků Google na miliony klíčových slov. V důsledku toho, jak odhaduje, lidé loni na jaře klikli na otrávené výsledky vyhledávání obrázků 15 milionůkrát za měsíc. Google říká, že od té doby snížil počet škodlivých odkazů při vyhledávání obrázků o 90 procent ze špičkových úrovní, a mluvčí zdůraznil, že pokračuje v ucpávání děr ve svých algoritmech, aby zabránil novým metodám útoku. Google uvádí, že 0,5 procenta vyhledávání přináší návratnost, která zahrnuje alespoň jednu známou škodlivou webovou stránku. To může znít málo, ale vzhledem k tomu, že Google zpracovává více než miliardu vyhledávání denně, znamená to, že pět milionů vyhledávání každý den nese škodlivý odkaz.

Když Google po nahlášení uživatelů nebo bezpečnostních společností identifikuje potenciálně škodlivý výsledek vyhledávání, označí jej varovnými zprávami. A pokud web použil vyhledávač a neměl být původně doručen, Google jej odstraní z výsledků vyhledávání. Google také odhaluje svůj seznam škodlivých stránek společnostem zabývajícím se internetovým zabezpečením a společnostmi zabývajícími se webovými prohlížeči, které mohou vydávat vlastní varování, pokud se pokusíte zadat adresy. Naše doba odezvy se prodloužila z týdnů nebo dnů na hodiny a dokonce minuty, říká Panayiotis Mavrommatis, výzkumník malwaru ve společnosti Google.

Webový průmysl však stále nebyl schopen držet krok s problémem. Facebook například blokuje svým uživatelům přístup k webům na černé listině Google a webům, které jsou interně a z jiných zdrojů označeny jako škodlivé. Přesto on a další sociální sítě, jako je Twitter, jsou stále hlavními vektory, částečně proto, že zločinci zakládají falešné účty nebo hackují legitimní účty. Asi 40 procent aktualizací statusu na Facebooku obsahuje odkazy; Z toho 10 procent vede k spamu nebo škodlivým webům, podle listopadové zprávy Websense. Mavrommatis, stejně jako ostatní bezpečnostní výzkumníci, připouští, že jde o velkou výzvu. S rotací domén jsou filtry založené na adresách URL méně výkonné. A s filtry založenými na obsahu – říká, že je opět naruší šifrování. Proto je to tak těžké.

Létající nevidomý

Výzkumníci tvrdí, že skoncovat s pohromou falešného antivirového malwaru – nebo malwaru jakéhokoli jiného druhu – bude téměř nemožné, pokud webové a bezpečnostní společnosti neshromáždí a nesdílí více informací o všem od vektorů, které v daném týdnu převládají, až po banky, které jsou podvodníci. pomocí k přijímání plateb. Soukromé společnosti odhalují pouze omezené údaje o narušení na svých stránkách nebo škodlivých odkazech ve svých sítích. V tomto odvětví je překvapivě méně informací, než si možná myslíte, říká Michael Barrett, šéf bezpečnosti online platební služby PayPal.

Je to částečně proto, že vlastnické informace o malwaru poskytují společnostem zabývajícím se internetovým zabezpečením konkurenční výhodu. Musí existovat více úsilí o sdílení komunity, na což bezpečnostní průmysl není zvyklý, říká Philippe Courtot, generální ředitel společnosti Qualys, která se zabývá bezpečností. Protože žádná společnost nemůže mít úplný přehled o útocích a zranitelnostech, může problém vyřešit pouze širší a komunitou řízené úsilí.

StopBadware pracuje na částečném řešení: systému hlášení, do kterého doufá, že kritická masa internetových společností bude přispívat hlášeními o infikovaných webech. Prověří přesnost zpráv, předá informace webhostingovým společnostem, aby mohly stránky odstranit, a zveřejní, které hostingové společnosti nezasahují. Zvýšený tlak na tyto společnosti by mohl přinutit zločince ke změně taktiky, což by jim zvýšilo náklady.

Dalším způsobem, jak zločince obtěžovat, by mohla být podrobnější kontrola bank, které zpracovávají jejich platby kreditními kartami. Savage naznačuje, že společnosti vydávající kreditní karty a orgány činné v trestním řízení se nemusí zaměřovat na mnoho bank, aby měly velký dopad. On a kolegové nedávno studovali náhodný vzorek 120 produktů inzerovaných prostřednictvím spamu a zjistili, že 95 procent jejich prodejů šlo pouze přes tři banky, v Ázerbájdžánu v Lotyšsku a Svatém Kryštofu a Nevisu v Západní Indii. Savage věří, že studie plateb za falešný antivirový software by přinesla srovnatelné výsledky.

Mezitím, v kteroukoli chvíli, alespoň několik set tisíc webových stránek – známý ty – distribuují malware prostřednictvím falešných antivirů a dalších podvodů. Zločinci odvádějí při koordinaci svého trestného činu lepší práci než dobří lidé při koordinaci naší obrany, říká Weinstein. To znamená ta falešná blikající varování – Váš počítač je infikován! — stále více odrážet pravdu.

David Talbot je Recenze technologie hlavní zpravodaj.

skrýt