Fałszywe antywirusy na pierwszy rzut oka nie różnią się niczym od prawdziwych antywirusów. Ich ofiary nie zdają sobie zwykle sprawy, że programy te przed niczym nie chronią. Głównym celem tych aplikacji jest wyłudzanie pieniędzy przez zastraszanie, dlatego określane są też jako scareware (czyli oprogramowanie do zastraszania).

Strategie ataku

Przynęta na darmowe skanowanie

Kanałem dystrybucji fałszywych antywirusów są specjalnie spreparowane strony, które mają w odwiedzającym wywołać poczucie zagrożenia bezpieczeństwa jego komputera. Po wejściu na taką stronę w oknie przeglądarki może pojawić się:

• zachęta do kliknięcia w podstawiony odnośnik w celu przeprowadzenia darmowego skanowania systemu,
• wyskakujące okienko lub komunikat zawierający ostrzeżenie o podatności systemu na groźne szkodniki,
• reklama lub krzykliwa informacja o możliwym zainfekowaniu systemu ofiary i konieczności przeprowadzenia skanowania.

Jednocześnie serwis oferuje remedium na “wykryte” problemy, czyli program antywirusowy, który można bezpłatnie pobrać, pomocny w przeskanowaniu systemu użytkownika pod kątem obecnych zagrożeń.

Wzbudzanie zaufania

Po uruchomieniu fałszywy antywirus zazwyczaj dobrze prezentuje się od strony wizualnej – wygląda nowocześnie i nie brakuje mu żadnych opcji, włącznie z pomocą techniczną. Aplikacje te stawiają ponadto na budowanie wiarygodności podczas komunikacji z ofiarą, szczególnie w obszarze działań, które wykonują na komputerze. Podczas sfingowanego skanowania systemu wielokrotnie informują swoje ofiary o liczbie wykrytych szkodników, podając ich nazwy oraz stopień zagrożenia.

Zakup podszyty strachem

Każde skanowanie, niezależnie od tego, czy komputer jest wolny od szkodników, czy nie, zakończy się komunikatem o znalezieniu wielu wirusów, robaków, trojanów, backdoorów i innych szkodników. Ma to ponownie wywołać w użytkowniku strach, którego następstwem jest chęć jak najszybszego pozbycia się problemów. Umożliwia to rzekomo płatna, pełna wersja fałszywego antywirusa.

Nękanie do skutku

Jeśli użytkownik mimo wszystko zwleka z zakupem, cyberprzestępcy dalej próbują go straszyć, informując w wyświetlanych okienkach informacyjnych, że brak podjęcia działań doprowadzi do utraty istotnych danych lub dokumentów. Komunikaty takie będą pojawiały się w zainfekowanym systemie tak długo, aż ofiara dokona zakupu lub usunie fałszywego antywirusa.

Blokowanie plików i szantaż

Niektórzy cyberprzestępcy idą jeszcze dalej i oprócz zastraszania stosują metody szantażu. Na przykład po instalacji fałszywego antywirusa blokują uruchamianie różnych programów w systemie ofiary oraz uniemożliwiają otwieranie dokumentów. Odblokowanie ma nastąpić po zakupie “pełnej wersji” programu.

Kupisz - stracisz. Nie usuniesz - ryzykujesz

Niezależnie od argumentów podawanych przez cyberprzestępców zakup ich programu nie rozwiąże żadnych problemów (oprócz zniknięcia okienek z ostrzeżeniami), nie umożliwi skutecznego pozbycia się wirusów, ani nie zabezpieczy komputera przed innymi zagrożeniami. Pozostawienie aplikacji w systemie może być ryzykowne, gdyż fałszywy antywirus może śledzić aktywność użytkownika, np. podczas logowania do serwisów bankowych, przekazując zdobyte dane w ręce cyberprzestępców. Co więcej, istnieje prawdopodobieństwo, że taka maszyna może zostać zamieniona w komputer zombie, wysyłający spam lub wykonujący różne, zwykle niezgodne z prawem zadania, np. ataki na inne komputery.

Pamiętaj, że aby skutecznie pozbyć się wirusów należy korzystać z oprogramowania pochodzącego z wiarygodnego źródła. W przypadku braku pewności, czy program, który chcesz zainstalować to prawdziwy antywirus, warto poprosić o pomoc znajomych, albo zapytać w znanym ci sklepie komputerowym.

Sposoby dystrybucji

Wyszukiwarki

Cyberprzestępcy chętnie wykorzystują wyszukiwarki internetowe, w których pozycjonują swoje strony z fałszywymi antywirusami na hasła związane z oprogramowaniem antywirusowym. Ponadto celują w popularne w danym czasie tematy i wywołujące emocje wydarzenia, jak wypadki, katastrofy, przewroty polityczne, czy ciekawość życia celebrytów.

Media społecznościowe

Coraz częściej linki do stron z fałszywymi antywirusami pojawiają się w mediach społecznościowych, takich jak Facebook, Twitter czy NK. Widnieją tam pod przykrywką wpisów linkujących do sensacyjnych wiadomości, wzbudzających współczucie, gniew lub pożądanie.

Spam i podszywanie się

Cyberprzestępcy niejednokrotnie starają się dotrzeć do użytkowników za pomocą spamerskich wiadomości dotyczących kontrowersyjnych tematów, życia celebrytów, poprawy zdrowia, kondycji finansowej lub bieżących wydarzeń. W wiadomościach takich pojawia się odnośnik do strony, która ma zaspokoić ciekawość odbiorcy.

Często podszywają się także w wysyłanych wiadomościach pod instytucje finansowe i banki, prosząc odbiorców o potwierdzenie operacji, informując o konieczności odzyskania loginów czy haseł za pomocą kliknięcia w odnośnik i odwiedziny odpowiedniej strony. (Przypominamy przy okazji, że banki nigdy nie przesyłają tego typu wiadomości ani nie proszą w nich o kliknięcie w jakikolwiek odnośnik!)

Strony z podróbkami programów antywirusowych

Scareware podszywają się także pod oryginalne programy antywirusowe jako ich nowe, lepsze wersje. Można je spotkać na fałszywych stronach lub w reklamach zamieszczonych w podejrzanych serwisach.  Budują wiarygodność wśród odwiedzających, wykorzystując nie tylko zbliżoną nazwę i logotyp, ale również wygląd popularnych narzędzi antywirusowych.

Na przykład, kilka lat temu w sieci pojawiła się dokładna kopia strony Microsoft Update - z tą różnicą, że wyświetlała się ona podczas surfowania z wykorzystaniem przeglądarki Firefox, podczas gdy prawdziwa witryna korporacji z Redmond wymagała użycia przeglądarki Internet Explorer. Wspomniana strona służyła do rozpowszechniania fałszywego oprogramowania antywirusowego i wyglądała na tyle profesjonalnie, że mogła przekonać niedoświadczonych użytkowników do zainstalowania rzekomej aktualizacji.

Serwisy rozrywkowe z plikami do pobrania

Jedną z popularnych metod ataku, skierowaną przede wszystkim przeciwko młodym użytkownikom Internetu, jest oferowanie "darmowych" wygaszaczy ekranu, muzyki, gier lub filmów. Pobrane pliki multimedialne mogą być zainfekowane szkodliwym oprogramowaniem, aktywizującym się podczas próby ich odtworzenia.

Komunikatory

Scareware są dystrybuowane także za pomocą komunikatorów, w linkach rozsyłanych w wiadomościach tekstowych, ale również głosowych. W jednym z zidentyfikowanych ataków na użytkowników komunikatora Skype otrzymywali oni niechciane połączenia w postaci generowanych komputerowo wiadomości głosowych, których treść brzmiała: „Uwaga, to jest automatyczna wiadomość systemu komputerowego. Usługa ochrony twojego komputera jest nieaktywna. Aby włączyć ochronę komputera i naprawić problem, przejdź do [LINK]”.

Sposoby ochrony

Zainstaluj prawdziwe oprogramowanie antywirusowe.

W większości przypadków wykryje ono fałszywego antywirusa. Powinieneś przy tym wiedzieć, że w systemie może pracować w tym samym czasie tylko jeden antywirus. Uruchomienie dwóch spowoduje wystąpienie konfliktów między nimi. Świadomość posiadania jednego antywirusa w komputerze może więc także odwieść Cię od instalacji kolejnego, który może okazać się fałszywy.

Korzystając z Internetu, nigdy nie wyłączaj programu antywirusowego ani firewalla.

Sprawdzaj za pomocą programu antywirusowego każdy plik, który pobierasz z Internetu lub otrzymujesz w wiadomościach e-mail czy przez komunikatory.

Zadbaj o bieżące aktualizacje i odpowiednie ustawienia oprogramowania

Włącz automatyczną aktualizację oprogramowania, z którego korzystasz. Jeśli to niemożliwe, śledź zmiany i na bieżąco aktualizuj swoje programy - przede wszystkim system operacyjny, przeglądarki, z których korzystasz, program do obsługi poczty elektronicznej, oprogramowanie antywirusowe oraz bazy wirusów.

Zainstaluj w przeglądarce rozszerzenia takie, jak Noscript czy Adblock, które blokują nieznane, reklamowe lub szkodliwe skrypty.

Jeśli korzystasz ze Skype, dostosuj ustawienia prywatności tak, by tylko osoby z Twojej listy kontaktów mogły się z tobą kontaktować.

W preferencjach systemu Mac OS X przejdź do sekcji „Bezpieczeństwo i Prywatność”, a następnie upewnij się, że na karcie „Ogólne” zaznaczona jest opcja zezwolenia na uruchamianie tylko aplikacji pobranych z App Store oraz od zaufanych deweloperów.

Wyłącz w przeglądarce opcję „Otwórz bezpieczne pliki po pobraniu”. Dzięki temu, jeśli przypadkowo klikniesz w link do pobrania fałszywego antywirusa, scareware nie zainstaluje się automatycznie w Twoim systemie.

Kieruj się zasadą ograniczonego zaufania

Sprawdzaj, czy adres strony, na którą trafiłeś jest poprawny. Większość podstawionych, fałszywych stron wygląda bardzo podobnie lub identycznie jak prawdziwe, ale różni się adresem. Bądź ostrożny, ponieważ czasem może to być niewielka różnica, np. literka “l” zastąpiona cyferką “1”.

Nie wierz we wszystkie ostrzeżenia, które wyświetlą się na odwiedzanych stronach. Lepiej zaufaj swojemu prawdziwemu antywirusowi.

Nie klikaj we wszystkie odnośniki, które otrzymasz w e-mailach, przez komunikatory, w mediach społecznościowych czy na odwiedzanych stronach.

Przykłady fałszywych antywirusów

W ostatnim biuletynie „Bezpieczny Internet” informowaliśmy o fałszywym antywirusie Fix-PC, który oferuje skanowanie komputera w poszukiwaniu zagrożeń i optymalizację jego działania.

Podobnym szkodnikiem jest Antivirus Security Pro, wykryty przez firmę Bitdefender. Program ten dostarczany jest z cyfrowo podpisanym instalatorem umożliwiającym obejście wybranych mechanizmów bezpieczeństwa systemu operacyjnego i niektórych programów antywirusowych.

Z kolei scareware o nazwie OpenCloud pozwala zarobić nie tylko jego twórcom, ale także dystrybutorom. Cyberprzestępcy przygotowali kompletny program partnerski – „Money Racing AV” – dla osób, które chcą zarobić pieniądze na dystrybucji fałszywych aplikacji.

Fałszywe antywirusy dotyczą nie tylko systemu Windows, ale coraz częściej także systemu Mac OS X, wykorzystywanego na komputerach firmy Apple. Jedne z bardziej znanych szkodników na ten system to MacProtector, MacDetector, MacSecurity czy Apple Security Center.

Zadaniem innego fałszywego antywirusa o nazwie Morcut, który był rzekomo podpisany certyfikatem Verisign, jest całkowite monitorowanie systemu OS X: ruchów myszki, wykorzystania komunikatorów, kamer i mikrofonu, zawartości schowka, wciśniętych klawiszy, uruchomionych aplikacji, odwiedzonych adresów stron, zrzutów ekranu, kalendarzy, a także metadanych systemu plików.