Ekonomika strachu

Rik Ferguson, Trend Micro 21-05-2010, 10:41

W świecie zabezpieczeń komputerów występują dwa rodzaje programów antywirusowych: takie, które działają, i takie, które nie działają – przestrzega Rik Ferguson, doradca ds. bezpieczeństwa z firmy Trend Micro. - Przeciętnemu użytkownikowi trudno je rozróżnić, co może przynosić zyski przestępcom. Ogromne zyski.

U wielu użytkowników komputerów pojawia się wyskakujące okno z mniej więcej takim komunikatem: „Uwaga!!! Twój komputer wykazuje objawy zainfekowania wirusami i szkodliwymi programami. Powinien być natychmiast przebadany programem antywirusowym. Kliknij, aby wykonać szybkie, bezpłatne skanowanie swojego komputera”. Znacie to? No cóż, nie jesteście sami.

Pragnę podzielić się z Wami wynikami badań prowadzonych przez Boba McArdle, jednego z moich kolegów z laboratorium TrendLabs. Dla dobra prowadzonych dochodzeń nie mogę podać żadnych nazw, ale prawdę mówiąc, nazwy nie mają znaczenia, zwłaszcza że często się zmieniają. W ciągu zaledwie roku jeden z gangów — nazwijmy go Firma X — zarobił przeszło 180 milionów dolarów na sprzedawaniu szkodliwego oprogramowania swoim ofiarom w co najmniej 30 krajach na całym świecie.

Nasuwa się naturalne pytanie, dlaczego ludzie gotowi są płacić za szkodliwe programy. Odpowiedź jest prosta — ponieważ nie wiedzą, że są one szkodliwe. Gang tworzy fałszywe programy zabezpieczające o bardzo przekonującym wyglądzie, których celem jest wprowadzenie ofiary w błąd, że dany komputer jest zainfekowany. Te fałszywe programy antywirusowe (scareware) są rozpowszechniane przez specjalnie tworzone strony internetowe, zaprojektowane w taki sposób, aby pojawiały się w wyszukiwarkach na wysokich miejscach wśród wyników dotyczących popularnych terminów lub najnowszych wydarzeń. Gdy tylko użytkownik kliknie taki fałszywy wynik, pojawia się wyskakujące okno, o którym mówiliśmy na początku, i łańcuch infekcji zostaje zapoczątkowany.

>> Czytaj także: Ataki pod pozorem ochrony

Ale w jaki sposób ów gang zarobił aż tyle pieniędzy? Przede wszystkim to oferowane bezpłatne skanowanie (które w rzeczywistości w ogóle nie jest wykonywane) zawsze wykazuje, że komputer jest poważnie zainfekowany. Zaniepokojony użytkownik otrzymuje propozycję zakupu pełnej wersji programu „zabezpieczającego”, który ma usunąć nieistniejącą infekcję. Następnie użytkownik podaje przestępcom dane swojej karty kredytowej, pobiera do swojego komputera szkodliwe oprogramowanie i płaci za ten przywilej od 50 do 100 dolarów. To jest pierwsza część gry — jeżeli gangowi uda się przekierować 100 000 wyników wyszukiwania i tylko 1% użytkowników zapłaci za jego produkt, zysk netto wyniesie 50 000 dolarów dziennie.

Druga część tego modelu biznesowego obejmuje komputery, które gang już zainfekował. Kiedy zainfekowany użytkownik przegląda internet, szkodliwy program spokojnie podmienia każdą oglądaną przez niego reklamę na reklamę należącą do jednej z jego filii, najczęściej zachwalającą fałszywe leki. Na każdej podmianie reklamy gang zarabia dwa lub trzy centy. Badanie jednego z serwerów gangu wykazało podmianę około miliona reklam dziennie, co oznacza następny dzienny zysk netto w wysokości 25 000 dolarów, a był to tylko jeden z jego botnetów. Mamy więc 25 000 dolarów dziennie na każdy botnet.

>> Czytaj także: Tradycyjne testy antywirusów dają złudne poczucie bezpieczeństwa

Trzecia część modelu biznesowego Firmy X wiąże się, co może zaskakiwać, z udzielaniem pomocy klientom. Największym problemem Firmy X jest oczywiście refundacja wpłat dokonywanych kartami kredytowymi. Klienci, którzy zorientowali się, że padli ofiarą oszustwa, kontaktują się ze swoim bankiem, który wydał kartę, i żądają zwrotu pieniędzy. W rezultacie bank odmawia współpracy z Firmą X, która musi utworzyć kolejną fałszywą filię, łącznie z fałszywymi tożsamościami dla wszystkich jej dyrektorów. Aby przezwyciężyć te trudności, przestępcy zdecydowali się zainwestować znaczne środki w telecentra. Powstały one w Stanach Zjednoczonych, Azji i Europie Wschodniej.

Teraz fałszywy program antywirusowy regularnie apeluje do użytkownika, aby go za niewielką opłatą uaktualnił — naprzykrza się wyskakującym oknem tak długo, aż użytkownik to zrobi. Wielu użytkowników ulega, ale inni dzwonią do telecentrum z żądaniem usunięcia problemu. Każdy fałszywy program antywirusowy ma ustawienia, które można zmienić w taki sposób, aby użytkownik nie był już więcej zachęcany do aktualizacji. Personel telecentrum udziela wskazówek, jak to zrobić — za skromną opłatą 20 dolarów za połączenie telefoniczne.

Pomyśl zanim klikniesz — nie wszystkie programy zabezpieczające są jednakowe.

 

Rik Ferguson, Trend Micro
countermeasures.trendmicro.eu


  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy