Мошенническое программное обеспечение безопасности

Мошенническое программное обеспечение безопасности — это форма вредоносного программного обеспечения и интернет-мошенничества , которая вводит пользователей в заблуждение, заставляя их поверить в наличие вируса на их компьютере, и направлена на то, чтобы убедить их заплатить за поддельный инструмент для удаления вредоносных программ , который фактически устанавливает вредоносное ПО на их компьютер. ^[1] Это разновидность -вымогателя , которая манипулирует пользователями посредством страха программы . ^[2] Мошенническое программное обеспечение безопасности представляет собой серьезную угрозу безопасности настольных компьютеров с 2008 года. ^[3] Первым примером, получившим дурную славу, был SpySheriff и его клоны. ^[а] например, Нава-Щит.

С ростом числа киберпреступников и черного рынка, на котором тысячи организаций и частных лиц торгуют эксплойтами, вредоносным ПО, виртуальными активами и учетными данными, мошенническое программное обеспечение безопасности стало одной из самых прибыльных преступных операций.

Распространение [ править ]

Мошенническое программное обеспечение безопасности в основном опирается на социальную инженерию ( мошенничество ), чтобы обойти защиту, встроенную в современную операционную систему и программное обеспечение браузера , и установить себя на компьютеры жертв. ^[3] Веб-сайт может, например, отображать фиктивное диалоговое окно с предупреждением о том, что чей-то компьютер заражен компьютерным вирусом , и побуждать его посредством манипуляций устанавливать или покупать вредоносное ПО, полагая, что он покупает подлинное антивирусное программное обеспечение .

Большинство из них содержат компонент «троянский конь» , который пользователи вводят в заблуждение при установке. Троянец может маскироваться под:

или расширение браузера Плагин (обычно панель инструментов)
Изображение, заставка или архивный файл, прикрепленный к электронной почты. сообщению
Мультимедийный кодек , необходимый для воспроизведения определенного видеоклипа
Программное обеспечение, распространяемое в одноранговых сетях ^[4]
Бесплатная онлайн-служба сканирования вредоносных программ ^[5]

Однако некоторые мошеннические программы обеспечения безопасности распространяются на компьютеры пользователей в виде попутных загрузок , которые используют уязвимости безопасности в веб-браузерах, программах просмотра PDF-файлов или почтовых клиентах для самостоятельной установки без какого-либо ручного вмешательства. ^[4]^[6]

Совсем недавно распространители вредоносного ПО начали использовать методы SEO-отравления , помещая зараженные URL-адреса в верхние части результатов поисковых систем о последних новостных событиях. Люди, ищущие статьи о таких событиях в поисковой системе, могут столкнуться с результатами, которые при нажатии вместо этого перенаправляются через ряд сайтов. ^[7] прежде чем попасть на целевую страницу, на которой говорится, что их машина заражена, и предлагается загрузить «пробную версию» мошеннической программы. ^[8]^[9] Исследование Google , проведенное в 2010 году , выявило 11 000 доменов, на которых размещено поддельное антивирусное программное обеспечение, что составляет 50% всех вредоносных программ, распространяемых через интернет-рекламу. ^[10]

Холодные звонки также стали вектором распространения этого типа вредоносного ПО: звонящие часто утверждают, что они из «службы поддержки Microsoft» или другой законной организации. ^[11]

инфекции Распространенные векторы

Чёрное SEO [ править ]

Black Hat Поисковая оптимизация (SEO) — это метод, используемый для того, чтобы заставить поисковые системы отображать вредоносные URL-адреса в результатах поиска. Вредоносные веб-страницы заполнены популярными ключевыми словами, чтобы добиться более высокого рейтинга в результатах поиска. Когда конечный пользователь выполняет поиск в Интернете, ему возвращается одна из зараженных веб-страниц. Обычно самые популярные ключевые слова из таких сервисов, как Google Trends, используются для создания веб-страниц с помощью PHP-скриптов, размещенных на взломанном веб-сайте. Эти PHP- скрипты затем будут отслеживать поисковые роботы поисковых систем и предоставлять им специально созданные веб-страницы, которые затем будут отображаться в результатах поиска. Затем, когда пользователь выполняет поиск по ключевому слову или изображениям и нажимает на вредоносную ссылку, он будет перенаправлен на полезную нагрузку программного обеспечения безопасности Rogue. ^[12]^[13]

Вредоносная реклама [ править ]

Большинство веб-сайтов обычно используют сторонние сервисы для рекламы на своих веб-страницах. Если одна из этих рекламных служб будет скомпрометирована, они могут непреднамеренно заразить все веб-сайты, использующие их услуги, рекламируя мошенническое программное обеспечение безопасности. ^[13]

Спам-кампании [ править ]

Спам- сообщения, содержащие вредоносные вложения, ссылки на двоичные файлы и сайты попутной загрузки, являются еще одним распространенным механизмом распространения мошеннического защитного программного обеспечения. Спам-сообщения часто рассылаются с контентом, связанным с типичными повседневными действиями, такими как доставка посылок или налоговые документы, и призваны побудить пользователей нажимать на ссылки или запускать вложения. Когда пользователи поддаются таким уловкам социальной инженерии, они быстро заражаются либо напрямую через вложение, либо косвенно через вредоносный веб-сайт. Это называется попутной загрузкой. Обычно при атаках с попутной загрузкой вредоносное ПО устанавливается на компьютер жертвы без какого-либо взаимодействия или ведома и происходит просто при посещении веб-сайта. ^[13]

Операция [ править ]

После установки мошенническое программное обеспечение безопасности может попытаться побудить пользователя приобрести услугу или дополнительное программное обеспечение путем:

Оповещение пользователя при ложном или симулированном обнаружении вредоносного ПО или порнографии . ^[14]
Отображение анимации, имитирующей сбой системы и перезагрузку. ^[3]
Выборочное отключение частей системы, чтобы пользователь не смог удалить вредоносное ПО. Некоторые из них также могут блокировать запуск антивирусных программ, отключать автоматические обновления системного программного обеспечения и блокировать доступ к веб-сайтам поставщиков антивирусных программ.
Установка настоящего вредоносного ПО на компьютер, а затем предупреждение пользователя после его «обнаружения». Этот метод менее распространен, поскольку вредоносное ПО может быть обнаружено законными антивирусными программами .
Изменение системных реестров и настроек безопасности с последующим «предупреждением» пользователя.

Разработчики мошеннического программного обеспечения безопасности также могут склонять людей к покупке их продуктов, заявляя, что они отдают часть своих продаж на благотворительные цели. Например, мошеннический антивирус Green утверждает, что с каждой продажи он жертвует 2 доллара на программу защиты окружающей среды.

Некоторые мошеннические программы безопасности совпадают по функциям с программами-пугающими частично :

Представление предложений по устранению неотложных проблем с производительностью или выполнению необходимого обслуживания компьютера. ^[14]
Пугание пользователя путем показа реалистичных всплывающих окон и предупреждений безопасности, которые могут имитировать реальные системные уведомления. ^[15] Они предназначены для использования доверия пользователя к поставщикам законного программного обеспечения безопасности. ^[3]

Санкции Федеральной торговой комиссии и растущая эффективность инструментов защиты от вредоносного ПО с 2006 года усложнили работу сетей распространения шпионского и рекламного ПО , которые и без того сложны с самого начала. ^[16]— работать с прибылью. ^[17] Вместо этого поставщики вредоносного ПО обратились к более простой и прибыльной бизнес-модели мошеннического программного обеспечения безопасности, которое ориентировано непосредственно на пользователей настольных компьютеров . ^[18]

Мошенническое программное обеспечение безопасности часто распространяется через высокодоходные партнерские сети , в которых филиалы, поставляющие троянские комплекты для этого программного обеспечения, получают вознаграждение за каждую успешную установку, а также комиссию за любые последующие покупки. Затем филиалы становятся ответственными за создание векторов заражения и инфраструктуры распространения программного обеспечения. ^[19] Расследование мошеннического защитного программного обеспечения Antivirus XP 2008, проведенное исследователями безопасности, выявило именно такую партнерскую сеть, участники которой получали комиссионные более 150 000 долларов США за 10 дней от десятков тысяч успешных установок. ^[20]

Несмотря на использование старомодных и несколько примитивных методов, мошенническое программное обеспечение безопасности стало серьезной угрозой безопасности из-за размера затронутого населения, количества различных вариантов, которые были выпущены на свободу (более 250), и прибылей, которые для киберпреступников (более 300 000 долларов в месяц). ^[21]

Контрмеры [ править ]

Частные усилия [ править ]

Правоохранительные органы и законодательство во всех странах медленно реагируют на появление мошеннического программного обеспечения безопасности. Напротив, несколько частных инициатив, предоставляющих дискуссионные форумы и списки опасных продуктов, были основаны вскоре после появления первого мошеннического программного обеспечения безопасности. Некоторые авторитетные поставщики, такие как Касперский, ^[22] также начал предоставлять списки мошеннического программного обеспечения безопасности. В 2005 году была основана Антишпионская коалиция — коалиция компаний, занимающихся разработкой программного обеспечения для борьбы со шпионским ПО, ученых и групп потребителей.

Многие частные инициативы изначально представляли собой неформальные обсуждения на общих интернет-форумах , но некоторые были начаты или даже полностью осуществлены отдельными людьми. Пожалуй, самым известным и обширным из них является список мошеннических/подозрительных антишпионских программ и веб-сайтов Spyware Warrior, составленный Эриком Хоузом. ^[23] который, однако, не обновлялся с мая 2007 года. Веб-сайт рекомендует проверить следующие веб-сайты на наличие новых мошеннических антишпионских программ, большинство из которых на самом деле не новы и представляют собой «просто переименованные клоны и подделки тех же мошеннических приложений, которые были вокруг в течение многих лет». ^[24]

правительства Усилия

В декабре 2008 года Окружной суд штата Мэриленд по запросу Федеральной торговой комиссии издал запретительный судебный приказ против Innovative Marketing Inc, киевской фирмы, производящей и продающей мошеннические программные продукты безопасности WinFixer , WinAntivirus , DriveCleaner , ErrorSafe и XP. Антивирус . ^[25] Активы компании и ее американского веб-хостинга ByteHosting Internet Hosting Services LLC были заморожены, им было запрещено использовать доменные имена, связанные с этими продуктами, а также любую дальнейшую рекламу или ложные представления. ^[26]

Правоохранительные органы также оказывают давление на банки, чтобы они закрыли торговые шлюзы, участвующие в обработке мошеннических покупок программного обеспечения безопасности. В некоторых случаях большой объем по кредитным картам возвратных платежей , вызванных такими покупками, также побудил процессоры принять меры против мошеннических поставщиков программного обеспечения безопасности. ^[27]

См. также [ править ]

Примечания [ править ]

^ Клоны SpySheriff: BraveSentry, Pest Trap, SpyTrooper, Adware Sheriff, SpywareNo, SpyLocked, SpywareQuake, SpyDawn, AntiVirGear, SpyDemolisher, System Security, SpywareStrike, SpyShredder, Alpha Cleaner, SpyMarshal, Adware Alert, Malware Stopper, Mr. Antispy, Spycrush, SpyAxe, MalwareAlarm, VirusBurst, VirusBursters, DIARemover, AntiVirus Gold, Antivirus Golden, SpyFalcon и TheSpyBot/SpywareBot.

Ссылки [ править ]

^ «Мошенническое программное обеспечение безопасности» Информационные технологии BUMC | Бостонский университет» . www.bumc.bu.edu . Проверено 13 ноября 2021 г.
^ «Отчет Symantec о мошенническом программном обеспечении безопасности» (PDF) . Симантек. 28 октября 2009 г. Архивировано из оригинала (PDF) 15 мая 2012 г. Проверено 15 апреля 2010 г.
↑ Перейти обратно: Перейти обратно: ^а ^б ^с ^д «Отчет Microsoft Security Intelligence, том 6 (июль – декабрь 2008 г.)» . Майкрософт . 8 апреля 2009 г. п. 92 . Проверено 2 мая 2009 г.
↑ Перейти обратно: Перейти обратно: ^а ^б Доши, Нишант (19 января 2009 г.), Вводящие в заблуждение приложения – покажите мне деньги! , Symantec , получено 22 марта 2016 г.
^ Доши, Нишант (21 января 2009 г.), Вводящие в заблуждение приложения – покажите мне деньги! (Часть 2) , Symantec , получено 22 марта 2016 г.
^ «Новости об уязвимостях Adobe Reader и Acrobat» . блоги.adobe.com . Проверено 25 ноября 2010 г.
^ Чу, Киан; Хонг, Чун (30 сентября 2009 г.), Новости о землетрясении в Самоа привели к мошенническому AV , F-Secure , получено 16 января 2010 г.
^ Хайнс, Мэтью (08 октября 2009 г.), Распространители вредоносного ПО осваивают новости SEO , eWeek , заархивировано из оригинала 21 декабря 2009 г. , получено 16 января 2010 г.
^ Рэйвуд, Дэн (15 января 2010 г.), Незаконный антивирус распространен на ссылках, связанных с землетрясением на Гаити, поскольку донорам рекомендуется внимательно искать подлинные сайты , SC Magazine , получено 16 января 2010 г.
^ Мохиб Абу Раджаб и Лука Баллард (13 апреля 2010 г.). «Эффект Ноцебо в Интернете: анализ распространения поддельных антивирусов» (PDF) . Проверено 18 ноября 2010 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «Предупреждение об антивирусных холодных звонках интернет-пользователям Великобритании» . Новости Би-би-си . 15 ноября 2010 г. Проверено 7 марта 2012 г.
^ «Технические документы Sophos — SEO-информация Sophos» . sophos.com .
↑ Перейти обратно: Перейти обратно: ^а ^б ^с «Путешествие Sophos Fake Antivirus от трояна tpna» (PDF) .
↑ Перейти обратно: Перейти обратно: ^а ^б «Бесплатное сканирование безопасности» может стоить времени и денег , Федеральная торговая комиссия , 10 декабря 2008 г. , получено 2 мая 2009 г.
^ «SAP на перепутье после вердикта о потере 1,3 миллиарда долларов» . Yahoo! Новости . 24 ноября 2010 года . Проверено 25 ноября 2010 г.
^ Свидетельства Ари Шварца о «шпионском ПО» (PDF) , Комитет Сената по торговле, науке и транспорту , 11 мая 2005 г.
^ Лейден, Джон (11 апреля 2009 г.). «Zango уходит: конец рынка рекламного ПО для настольных компьютеров» . Регистр . Проверено 5 мая 2009 г.
^ Коул, Дэйв (3 июля 2006 г.), Десептономика: взгляд на вводящую в заблуждение бизнес-модель приложений , Symantec , получено 22 марта 2016 г.
^ Доши, Нишант (27 января 2009 г.), Вводящие в заблуждение приложения – покажите мне деньги! (Часть 3) , Symantec , получено 22 марта 2016 г.
^ Стюарт, Джо. «Разоблачение мошеннического антивируса. Часть 2» . Secureworks.com . SecureWorks . Проверено 9 марта 2016 г.
^ Кова, Марко; Лейта, Коррадо; Тоннар, Оливье; Керомитис, Ангелос; Дасье, Марк (2009). Gone Rogue: анализ кампаний по мошенническому обеспечению безопасности . стр. 1–3. дои : 10.1109/EC2ND.2009.8 . ISBN 978-1-4244-6049-6 . Проверено 9 февраля 2024 г.
^ «Безопасность 101» . support.kaspersky.com . Проверено 11 ноября 2018 г.
^ «Spyware Warrior: мошеннические/подозрительные антишпионские продукты и веб-сайты» . spywarewarrior.com .
^ «Руководства по удалению вирусов, шпионских и вредоносных программ» . Мигающий компьютер .
^ Временный запретительный ордер Ex Parte RDB08CV3233 (PDF) , Окружной суд США по округу Мэриленд , 3 декабря 2008 г. , получено 2 мая 2009 г.
^ Лордан, Бетси (10 декабря 2008 г.), Суд останавливает фиктивные компьютерные сканирования , Федеральная торговая комиссия , получено 2 мая 2009 г.
^ Кребс, Брайан (20 марта 2009 г.), «Демонтаж мошеннической сети распространения антивирусов» , Washington Post , получено 2 мая 2009 г.

Внешние ссылки [ править ]

СМИ, связанные с мошенническим программным обеспечением, на Викискладе?

[4] Клоны SpySheriff: BraveSentry, Pest Trap, SpyTrooper, Adware Sheriff, SpywareNo, SpyLocked, SpywareQuake, SpyDawn, AntiVirGear, SpyDemolisher, System Security, SpywareStrike, SpyShredder, Alpha Cleaner, SpyMarshal, Adware Alert, Malware Stopper, Mr. Antispy, Spycrush, SpyAxe, MalwareAlarm, VirusBurst, VirusBursters, DIARemover, AntiVirus Gold, Antivirus Golden, SpyFalcon и TheSpyBot/SpywareBot.

[1] «Мошенническое программное обеспечение безопасности» Информационные технологии BUMC | Бостонский университет» . www.bumc.bu.edu . Проверено 13 ноября 2021 г.

[2] «Отчет Symantec о мошенническом программном обеспечении безопасности» (PDF) . Симантек. 28 октября 2009 г. Архивировано из оригинала (PDF) 15 мая 2012 г. Проверено 15 апреля 2010 г.

[microsoft-1-3] Перейти обратно: Перейти обратно: ^а ^б ^с ^д «Отчет Microsoft Security Intelligence, том 6 (июль – декабрь 2008 г.)» . Майкрософт . 8 апреля 2009 г. п. 92 . Проверено 2 мая 2009 г.

[symantec-2-5] Перейти обратно: Перейти обратно: ^а ^б Доши, Нишант (19 января 2009 г.), Вводящие в заблуждение приложения – покажите мне деньги! , Symantec , получено 22 марта 2016 г.

[symantec-3-6] Доши, Нишант (21 января 2009 г.), Вводящие в заблуждение приложения – покажите мне деньги! (Часть 2) , Symantec , получено 22 марта 2016 г.

[blog_adobe-7] «Новости об уязвимостях Adobe Reader и Acrobat» . блоги.adobe.com . Проверено 25 ноября 2010 г.

[fsecure-8] Чу, Киан; Хонг, Чун (30 сентября 2009 г.), Новости о землетрясении в Самоа привели к мошенническому AV , F-Secure , получено 16 января 2010 г.

[eweek-9] Хайнс, Мэтью (08 октября 2009 г.), Распространители вредоносного ПО осваивают новости SEO , eWeek , заархивировано из оригинала 21 декабря 2009 г. , получено 16 января 2010 г.

[sc-magazine-10] Рэйвуд, Дэн (15 января 2010 г.), Незаконный антивирус распространен на ссылках, связанных с землетрясением на Гаити, поскольку донорам рекомендуется внимательно искать подлинные сайты , SC Magazine , получено 16 января 2010 г.

[11] Мохиб Абу Раджаб и Лука Баллард (13 апреля 2010 г.). «Эффект Ноцебо в Интернете: анализ распространения поддельных антивирусов» (PDF) . Проверено 18 ноября 2010 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[coldcallscam-12] «Предупреждение об антивирусных холодных звонках интернет-пользователям Великобритании» . Новости Би-би-си . 15 ноября 2010 г. Проверено 7 марта 2012 г.

[13] «Технические документы Sophos — SEO-информация Sophos» . sophos.com .

[auto-14] Перейти обратно: Перейти обратно: ^а ^б ^с «Путешествие Sophos Fake Antivirus от трояна tpna» (PDF) .

[ftc-1-15] Перейти обратно: Перейти обратно: ^а ^б «Бесплатное сканирование безопасности» может стоить времени и денег , Федеральная торговая комиссия , 10 декабря 2008 г. , получено 2 мая 2009 г.

[microsoft-3-16] «SAP на перепутье после вердикта о потере 1,3 миллиарда долларов» . Yahoo! Новости . 24 ноября 2010 года . Проверено 25 ноября 2010 г.

[17] Свидетельства Ари Шварца о «шпионском ПО» (PDF) , Комитет Сената по торговле, науке и транспорту , 11 мая 2005 г.

[18] Лейден, Джон (11 апреля 2009 г.). «Zango уходит: конец рынка рекламного ПО для настольных компьютеров» . Регистр . Проверено 5 мая 2009 г.

[symantec-1-19] Коул, Дэйв (3 июля 2006 г.), Десептономика: взгляд на вводящую в заблуждение бизнес-модель приложений , Symantec , получено 22 марта 2016 г.

[symantec-4-20] Доши, Нишант (27 января 2009 г.), Вводящие в заблуждение приложения – покажите мне деньги! (Часть 3) , Symantec , получено 22 марта 2016 г.

[21] Стюарт, Джо. «Разоблачение мошеннического антивируса. Часть 2» . Secureworks.com . SecureWorks . Проверено 9 марта 2016 г.

[22] Кова, Марко; Лейта, Коррадо; Тоннар, Оливье; Керомитис, Ангелос; Дасье, Марк (2009). Gone Rogue: анализ кампаний по мошенническому обеспечению безопасности . стр. 1–3. дои : 10.1109/EC2ND.2009.8 . ISBN 978-1-4244-6049-6 . Проверено 9 февраля 2024 г.

[23] «Безопасность 101» . support.kaspersky.com . Проверено 11 ноября 2018 г.

[24] «Spyware Warrior: мошеннические/подозрительные антишпионские продукты и веб-сайты» . spywarewarrior.com .

[25] «Руководства по удалению вирусов, шпионских и вредоносных программ» . Мигающий компьютер .

[26] Временный запретительный ордер Ex Parte RDB08CV3233 (PDF) , Окружной суд США по округу Мэриленд , 3 декабря 2008 г. , получено 2 мая 2009 г.

[27] Лордан, Бетси (10 декабря 2008 г.), Суд останавливает фиктивные компьютерные сканирования , Федеральная торговая комиссия , получено 2 мая 2009 г.

[28] Кребс, Брайан (20 марта 2009 г.), «Демонтаж мошеннической сети распространения антивирусов» , Washington Post , получено 2 мая 2009 г.

[1]

[2]

[3]

[а]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

v т и вредоносного ПО Темы
Infectious malware	Comparison of computer viruses Computer virus Computer worm List of computer worms Timeline of computer viruses and worms
Concealment	Backdoor Clickjacking Man-in-the-browser Man-in-the-middle Rootkit Trojan horse Zombie computer
Malware for profit	Adware Botnet Crimeware Fleeceware Form grabbing Fraudulent dialer Malbot Keystroke logging Privacy-invasive software Ransomware Rogue security software Scareware Spyware Web threats
By operating system	Android malware Classic Mac OS viruses iOS malware Linux malware MacOS malware Macro virus Mobile malware Palm OS viruses HyperCard viruses
Protection	Anti-keylogger Antivirus software Browser security Data loss prevention software Defensive computing Firewall Internet security Intrusion detection system Mobile security Network security
Countermeasures	Computer and network surveillance Honeypot Operation: Bot Roast

v т и Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Hacktivism Insecure direct object reference Keystroke loggers Logic bombs Time bombs Fork bombs Zip bombs Fraudulent dialers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Security information and event management (SIEM) Mobile secure gateway Runtime application self-protection Site isolation