Кибер-преступники умело используют Интернет для продажи поддельных антивирусных продуктов

16 Марта 2009
PandaLabs обнаружила веб-страницы, которые используют технологии оптимизации сайтов для поисковых систем (SEO) или Google Trends для продвижения через поисковые системы поддельных антивирусных продуктов, способных заражать пользователей

PandaLabs обнаружила веб-страницы, которые используют технологии оптимизации сайтов для поисковых систем (SEO) или Google Trends для продвижения через поисковые системы поддельных антивирусных продуктов, способных заражать пользователей.

Кибер-преступники умело используют поисковики для распространения вредоносного ПО, в частности, поддельных антивирусных продуктов: для инфицирования пользователей преступникам необходимо привлечь их внимание к вредоносным сайтам.

Раньше пользователей завлекали на вредоносные сайты при помощи массово рассылаемого спама. В этом случае потенциальная жертва читает электронное письмо, заходит по представленным в письме ссылкам, после чего перенаправляется на вредоносные веб-страницы. В настоящие дни пользователи стали более осторожными при чтении спама или писем, полученных от незнакомых отправителей, а потому эффективность традиционного способа стала снижаться.

В результате этого преступники стали использовать новые, более эффективные способы. Они используют инструмент Google Trends (http://www.google.com/trends), который, между прочим, содержит список самых популярных поисковых запросов в течение дня (все, что угодно: от вступления Обамы на должность Президента США до победителей в различных номинациях Оскар).

После того, как преступники узнают самые популярные поисковые запросы, они создают блог, содержание которого наполнено словами и словосочетаниями из популярных поисковых запросов (например, Обама, Пенелопа Круз и т.д.), а также видеоматериалами, относящимся к этим тематикам. В результате этого, используя технологии оптимизации сайта под поисковые запросы, преступники значительно увеличивают шансы блога оказаться в числе первых в результатах поиска по данным популярным запросам.

Луис Корронс, Технический директор PandaLabs: “Пользователи, которые доверяют полученным результатам поиска, попадут на веб-страницу, где им будет предложено загрузить кодек или дополнительный программный модуль для просмотра видео. Если они соглашаются загрузить, то на их компьютеры будет загружена вредоносная программа, как правило, ложный антивирус”.

Ложные антивирусы позиционируют себя как настоящие продукты и пытаются убедить пользователей в том, что их компьютеры заражены вредоносным ПО. Впоследствии жертвам предлагается купить ложный антивирус, который будет способен уничтожить ложные инфекции. Кибер-преступники в основном получают выгоду с этого типа  мошенничества.

Технологии оптимизации сайтов для поисковых систем (SEO)

Описываемый тип вредоносных атак основывается на усовершенствованных технологиях оптимизации сайтов для поисковых систем (SEO, Search Engine Optimization). Данные законные технологии веб-программирования предназначены для того, чтобы сделать позиции веб-сайта более привлекательными в результатах поиска в поисковых системах, что позволяет увеличить объем и качество трафика. Описываемый случай как раз и рассказывает о том, как преступники, используя технологии оптимизации, добиваются высоких позиций веб-сайта в результатах поиска и, как следствие, огромного количества переходов.

Кроме технологий SEO преступники используют также технологии, известные как "Black Hat SEO", которые можно отнести к нелегальным техникам позиционирования поисковых систем, использующие "обходные" политики поисковых систем, представляющие альтернативный контент или влияющие на историю работы пользователя в Сети. Правда, иногда бывает трудно определить, какие из технологий законные, а какие нет, так как это может зависеть от конкретного поискового движка.

Запутывание пользователей

Злоумышленники стараются сделать так, чтобы обнаружение вредоносного сайта было как можно более сложным для разработчиков решений безопасности. Для этого они начали использовать усовершенствованные способы запуска атак. Некоторые из создаваемых преступниками вредоносных страниц ведут себя по-разному и отображают разное содержание в зависимости от происхождения пользователя, который их посещает.

Для скрытия атаки на веб-странице вставляется сценарий, который определяет происхождение пользователя. Если пользователь набирает URL-адрес в адресной строке браузера, то отображается настоящий контент. Но в том случае, если пользователь воспользовался поисковиком (например, Google), ему вместо настоящего сайта открывается вредоносная веб-страница.

Другой пример: MSAntispyware 3000

Недавно лаборатория PandaLabs обнаружила веб-страницу, которая использует совершенно другую модель. Как правило, страницы, предлагающие приобрести ложный антивирус, либо не содержат специальные теги, либо содержат те, которые предназначены для улучшения индексирования страницы в поисковых системах. Однако страница с предложением приобрести MSAntispyware 3000 была построена совершенно иначе: все теги и процессы были разработаны таким образом, чтобы предотвратить индексирование страницы в поисковых движках.

Причина подобного подхода заключается в том, чтобы доступ к этому веб-сайту нельзя было блокировать при помощи таких технологий, как блокировка URL-адресов через запросы поисковиков с помощью специальных параметров..

Короткая ссылка на новость: http://un-ltd.ru/~MrTxv