211service.com
De perfecte oplichterij
Niet lang nadat prins William en Kate Middleton op 29 april hun geloften hadden uitgewisseld, verscheen een huwelijksportret uit 1981 van de overleden moeder van de bruidegom, prinses Diana, als een van de drie beste afbeeldingen voor mensen die die ochtend de populairste zoekterm op Google typten: koninklijk huwelijk Dekking. Maar de link was een struikeldraad. Oplichters hadden een kwaadaardige website gefinageerd via het algoritme van Google. De link leidde naar een gehackte pagina op een webstripboek genaamd Kiwiblitz.com, die de browser omleidde naar een andere site - een met een domeinnaam van een obscuur Australisch eilandgebied en gehost in Zweden. Die site toonde een realistisch ogend programma genaamd XP Anti-Spyware dat valse waarschuwingen gaf: Uw computer is geïnfecteerd! Een paar klikken leidden naar een vermeende oplossing, voor $ 59,95: een download van een fix die niet echt bestond.

Royale pijn: Op de lentedag dat haar zoon prins William trouwde, kwam een vergiftigde foto van prinses Diana op de derde plaats in Google Image-zoekopdrachten voor berichtgeving over koninklijk huwelijk.
Benoem nog een succes voor wat algemeen bekend staat als de nep-antiviruszwendel. Federale onderzoekers en beveiligingsexperts schatten dat de verschillende iteraties de afgelopen jaren minstens $ 1 miljard aan slachtoffers hebben gewonnen, en het is de meest zichtbare manifestatie geworden van een algemene toename van schadelijke software of malware die online wordt verspreid (zie grafieken hieronder) . De schade gaat verder dan de diefstal van contant geld: zelfs als u uw portemonnee niet tevoorschijn haalt, kan soms alleen klikken op de nep-com-ons andere vormen van malware opleveren die uw wachtwoorden kunnen stelen of uw computer kunnen inlijven bij een op afstand bestuurde bende genaamd een botnet. Omdat het er over het algemeen van afhangt mensen voor de gek te houden om vrijwillig malware te installeren - een strategie die een social-engineering-aanval wordt genoemd - kan het zelfs goed onderhouden machines infecteren, zowel pc's als Macs. Als bedrog op menselijk niveau is het gewoon klassiek mooi, zegt David Clark, een onderzoekswetenschapper aan het Computer Science and Artificial Intelligence Laboratory van het MIT, die in de jaren tachtig de belangrijkste protocolarchitect van internet was.
Dit verhaal maakte deel uit van ons nummer van juli 2011
- Zie de rest van het probleem
- Abonneren
Deze dreiging is een product van wendbare technologie en een bedrijfsmodel dat innovatie beloont. Oplichters hebben duizenden varianten van het nep-antiviruslokmiddel in tientallen talen weergegeven, geautomatiseerde middelen bedacht om gewone websites te infecteren en veel vectoren of methoden bedacht om weblinks te leveren met hun snode lading. Gamed zoekresultaten zijn slechts één methode. Online advertenties zijn een andere vector, net als spam-e-mails, links op sociale netwerken en zelfs robo-oproepen via Skype of telefoon om mensen te adviseren websites te bezoeken die de aanval uitlokken. Het is een echt dominante bedreiging voor computergebruikers die in de loop van de tijd is blijven bestaan en zich blijft ontwikkelen en groeien, zegt Maxim Weinstein, directeur van StopBadware, een non-profitorganisatie in Cambridge, Massachusetts, die websites helpt zich te ontdoen van malware-hacks en pogingen om kwaadaardige sites af te sluiten . Het succes van de zwendel legt de platvoetigheid bloot van veel van de grote spelers op internet, die er niet in zijn geslaagd een strategie te coördineren om ermee om te gaan.
Er zijn slachtoffers gevallen in minstens 60 landen. Ik heb uren besteed aan het opschonen van een systeem dat geïnfecteerd raakte omdat een medewerker op een van deze waarschuwingen klikte, zegt Brian D'Arcangelo, informatietechnologietechnicus bij Lynn Community Health Center in Lynn, Massachusetts. Het gebeurt hier met grotere frequentie. Een sieradenmaker in Toronto - die alleen zijn achternaam, Moser, wilde gebruiken - ontdekte vorig jaar dat zijn Windows-pc was vergrendeld met knipperende waarschuwingen nadat hij had gezocht naar items die verband hielden met zijn vak, dus ging hij door en kocht de oplossing voor $ 79,95. Hij moest de computer schoonmaken. Zoekopdrachten naar zo alledaags als ballonnen hebben geleid tot aanvalssites. Apple-forums zijn verlicht met smeekbeden van klanten die zichzelf willen bevrijden van oplichting, zoals een die hen aanspoort om niet-bestaande Mac Defender-software te kopen. De moeder van Melissa Hathaway, die in 2009 de cyberbeveiligingsadviseur van president Obama was, klikte afgelopen december om een nep-antivirusproduct te installeren. Computerbeveiligingsexperts waarschuwen dat veel slachtoffers niet eens beseffen dat ze zijn opgelicht.
Economie
De aantrekkingskracht van de nep-antivirussoftware - vaak scareware genoemd - is geworteld in angst. Deze fraude is niet afhankelijk van het overtuigen van het slachtoffer van iets belachelijks, bijvoorbeeld dat een Nigeriaanse prins hulp nodig heeft bij het verplaatsen van zijn geld. In plaats daarvan is de levering gekalibreerd om te profiteren van de echte waarschuwingen die we allemaal hebben gekregen. Mensen die niet precies weten wat er aan de hand is - en tegen wie is gezegd: 'Doe je antivirusbescherming, poets je cybertanden elke dag' - zullen gedreven worden om daarop te reageren, zegt Vint Cerf, een mede-uitvinder van de originele internetprotocollen, die nu hoofd internetevangelist is bij Google. De aanvallen komen over het algemeen uit landen waar de wetten op het gebied van cybercriminaliteit laks (of niet-afdwingbaar) zijn en verdragen die samenwerking met andere landen verplichten, niet van kracht zijn. Veel criminele bendes exploiteren netwerken vanuit met name Oost-Europa. (Sommige malware controleert of de computer van een potentieel slachtoffer is ingesteld voor Oost-Europese locaties of een Russisch toetsenbord heeft, waarna het netjes wordt afgesloten.)

in het algemeen: Shaileshkumar Jain (linksboven) en Bjorn Daniel Sundin (rechts) zijn beschuldigd van overboekingsfraude en hebben een vonnis van $ 163 miljoen gekregen nadat ze consumenten zouden hebben belazerd door nep-antivirusproducten te verkopen via hun inmiddels ter ziele gegane bedrijf Innovative Marketing, dat was gevestigd in Kiev.
Het is gemakkelijk in te zien waarom de nep-antiviruszwendel zo populair is onder criminelen. De uitbetaling is onmiddellijk en de winst groot. Iemand die andere soorten digitale buit steelt, zoals creditcardnummers of wachtwoorden, moet extra stappen ondernemen om geld binnen te halen. Maar een nep-antivirusproduct steekt geld in de zak van de boef. In 2008 heeft de Amerikaanse Federal Trade Commission bijvoorbeeld de opdrachtgevers van Innovative Marketing aangeklaagd, dat in Belize was opgericht en destijds kantoren had in de buurt van Kiev, Oekraïne. De FTC zei dat het bedrijf van 2004 tot 2008 meer dan 163 miljoen dollar binnenhaalde door consumenten te misleiden om te klikken om nepsoftware te downloaden met slimme titels als Winfixer, WinAntivirus, Drivecleaner, SystemDoctor en XP Antivirus 2008. Vorig jaar legde een federale rechter in Maryland een vonnis in dat bedrag tegen de bedrijfsleiders Shaileshkumar Sam Jain en Bjorn Daniel Sundin, die later werden aangeklaagd voor draadfraude in de federale rechtbank in Chicago. Ze blijven op vrije voeten. Een derde beklaagde, James Reno uit Amelia, Ohio - die een schikking had getroffen met de FTC - werd ook aangeklaagd; hij wordt beschuldigd van het runnen van een callcenter waar operators probeerden mensen af te weren die klaagden, hoewel het personeel soms ook restituties gaf aan woedende klanten om uit de radar van creditcardmaatschappijen te blijven. Zijn advocaat heeft geen berichten teruggestuurd die zijn achtergelaten door Technologie beoordeling .
De schade die deze organisatie aanrichtte, was mogelijk nog groter dan de FTC beweerde. Een onderzoeker van het beveiligingsbedrijf McAfee kon vaststellen dat Innovative Marketing zo'n 600 medewerkers en 34 servers had die malware verspreidden, waarvan de meeste opereren vanuit een traditioneel kantorencomplex in Kiev. Het bedrijfsimperium omvatte afdelingen die creditcardbetalingen afhandelden, het callcenter in Ohio en verschillende volwassen websites die dubbel dienst deden als vectoren voor de nep-antivirussoftware. McAfee merkte op dat Innovative Marketing in 2008 4,5 miljoen bestellingen heeft geregistreerd gedurende een periode van 11 maanden; met $ 35 per bestelling, naderde de jaarlijkse omzet blijkbaar $ 180 miljoen. Dat is beter dan de 150 miljoen dollar die Twitter dit jaar binnenhaalt, volgens een schatting van het marktonderzoeksbureau eMarketer.
Innovatieve Marketing bestaat niet meer. Maar dat heeft de wereldwijde nep-antivirusactiviteiten niet vertraagd. Volgens Eric Howes, onderzoeksanalist bij GFI Software in Clearwater, Florida, hebben meerdere malwarebendes de afgelopen vijf jaar consequent frauduleuze antiviruszwendel gebruikt. Om de operaties levendig te houden, passen leveranciers van deze en andere vormen van malware een bedrijfstechniek toe die wordt gebruikt door bedrijven als Amazon: het affiliate-model. Net zoals de website van iedereen een link naar een Amazon-aankoopformulier kan bevatten en een vergoeding kan innen voor elke verkoop, schakelen antivirus-oplichters derde partijen in die bekend staan als gelieerde ondernemingen, die een vergoeding kunnen krijgen voor elke installatie, dat wil zeggen, elke keer dat iemand de deur opent voor malware door op de valse waarschuwing te klikken, plus een commissie op elke resulterende verkoop van het nepproduct. Een distributeur, Avprofit.com, beloofde op zijn website dat het tussen de $ 300 en $ 750 zou betalen voor elke 1.000 installaties in de Verenigde Staten, Canada, Groot-Brittannië of Australië, waar de kans groter is om slachtoffers te ontmoeten die het zich kunnen veroorloven om te betalen wat de valse waarschuwingen eisen. Ervaring vereist: Avprofit zocht hackers met minimaal gemiddeld 250 installaties per dag.
Veel van de filialen doen het buitengewoon goed. SecureWorks, een onderdeel van Dell, analyseerde de distributie van een nep-antivirusprogramma genaamd Antivirus XP 2008 via een bedrijf genaamd Bakasoftware, dat in Rusland was gevestigd. Volgens documenten van de hacker achter Bakasoftware, die de bijnaam Krab droeg, was een van zijn topfilialen in staat om 154.825 mensen voor de gek te houden om binnen 10 dagen kopieën van malware op hun computers te installeren, waarbij 2.772 slachtoffers hun creditcard invoerden. nummers. Als de documenten kloppen, ging Krabs gelieerde onderneming in die korte periode weg met $ 146.524.
Innovatie
Partners hebben een indrukwekkende hoeveelheid duistere innovatie voortgebracht om nieuwe manieren te creëren om computers via het web te infecteren. Een belangrijk hulpmiddel is een legitieme website die heimelijk is gecompromitteerd. Als u een dergelijke site bezoekt, wordt u vaak automatisch doorgestuurd naar een site die knipperende waarschuwingen geeft, in een poging u voor de gek te houden door op goedkeuring te klikken om het nep-antivirusprogramma te downloaden. Vaak is andere malware op zoek naar niet-gepatchte gaten in gangbare software zoals Java en Adobe Flash - gaten waardoor het andere schadelijke payloads kan installeren, zoals malware die wachtwoorden steelt die op uw computer zijn opgeslagen. Dit staat bekend als een drive-by download.

Nepwaarschuwingen vergelijkbaar met de bovenstaande - in tientallen talen - zijn een bekend gezicht voor miljoenen computergebruikers over de hele wereld.
Opmerkelijke technologie ligt ten grondslag aan het hele proces. Om een constante aanvoer van geïnfecteerde websites te behouden, schrijven criminelen code die het web doorzoekt op zoek naar bekende kwetsbaarheden in veelgebruikte publicatieplatforms zoals Wordpress of in webhostingsoftware zoals cPanel, zegt Weinstein. (Elke maand helpt zijn StopBadware-organisatie 1.200 websites op te ruimen, een klein deel van de honderdduizenden waarvan wordt aangenomen dat ze ooit geïnfecteerd zijn.) Als alternatief kunnen de criminelen gestolen wachtwoorden gebruiken om in te loggen op websites en kwaadaardige code toe te voegen. Om dit werk gemakkelijker te maken, doen botnets veel van het werk automatisch.
Boobytrapping-websites is slechts één stap. De kwaadaardige code moet detectie vermijden als die sites nuttig willen blijven voor de criminelen. Om echte antivirusprogramma's te slim af te zijn die dagelijks worden bijgewerkt, brengen de criminelen cosmetische wijzigingen aan in de code, vaak met eenvoudige en algemeen beschikbare versleutelingstrucs. (De kwaadaardige code achter de afbeelding van Princess Di was bijvoorbeeld vrijwel dezelfde als die werd gebruikt in andere nep-antiviruszwendel, maar werd gemist door 38 van de 42 echte antivirusscanners.) En om de zwarte lijsten voor te blijven die beveiligingsbedrijven en Webbedrijven houden vast aan het blokkeren van webadressen waarvan bekend is dat ze schadelijke software bevatten. Ze maken gebruik van technieken om snel duizenden adressen te registreren en te wijzigen.
Een blik op één domeinregistratie laat zien hoe eenvoudig dit is. Een bedrijf in Zuid-Korea is gespecialiseerd in de verkoop van miljoenen adressen in het nationale domein .cc, dat van de Cocos (Keeling) Islands, een Australisch gebied. De Koreaanse winkel heeft co.cc geregistreerd. Hieraan kan het talloze namen toevoegen. Voor $ 1.000 krijg je er zelfs 15.000 van. Het kan bogen op 57 miljoen co.cc-sites die zijn geïndexeerd door Google, wat laat zien hoe gemakkelijk het kan zijn om een groot aantal slachtoffers te bereiken. En gratis webhostingservices over de hele wereld maken het gemakkelijk om deze sites in gebruik te nemen.
Vectoren
Om hun links onder de aandacht te brengen van slachtoffers die ze waarschijnlijk zullen zien en erop klikken, hebben antivirushoaxers vectoren nodig, en ze hebben er veel gebruikt: pornosites, online advertenties, zoekresultaten, software die wordt verhandeld op sites voor het delen van bestanden en links op Facebook en Twitter. Steeds vaker worden er dagelijks of zelfs elk uur schadelijke websites gemaakt die deze vectoren gebruiken om pogingen om ze te blokkeren en af te sluiten, voor te blijven.
Het infecteren van online advertenties is vrij eenvoudig: de slechteriken kopen advertenties en manipuleren ze met kwaadaardige code of links. Volgens de FTC deden vertegenwoordigers van Innovative Marketing zich voor als vertegenwoordigers van echte bedrijven en organisaties - waaronder Travelocity, Priceline en Oxfam International - en kochten ze zogenaamd namens hen advertenties. Die online advertenties maakten gebruik van een ingenieuze variant op location-based targeting. Ze leken legitiem wanneer ze werden bekeken vanaf de IP-adressen van de werknemers van het advertentienetwerk, maar kijkers op andere adressen werden doorgestuurd naar fraudesites. Meer recentelijk zijn volgens een rapport van het beveiligingsbedrijf Websense geïnfecteerde advertenties – geplaatst door advertentienetwerken die de klanten niet grondig hadden gecontroleerd – verschenen op Gizmodo, TechCrunch en de website van de New York Times .

Vergroot grafieken.
Maar zoekmachines kunnen nu de overheersende vector zijn, zegt Stefan Savage, een computerwetenschapper aan de Universiteit van Californië, San Diego. De oplichters spelen verschillende trucs voor zoekoptimalisatie om de algoritmen voor de gek te houden die Google, Bing en andere motoren gebruiken om te bepalen welke weblinks moeten worden weergegeven als reactie op zoekopdrachten. Over het algemeen wordt een pagina op een geïnfecteerde site (zoals Kiwiblitz.com) stilletjes volgepropt met trendy zoektermen en links naar afbeeldingen. Vervolgens koppelen de kwaadwillende spelers pagina's - honderden of duizenden - zodat de webcrawlprogramma's van de zoekmachines de geïnfecteerde pagina bovenaan rangschikken voor schijnbare populariteit en relevantie. Denis Sinegubko, een malware-onderzoeker in Rusland, is van mening dat criminelen erin zijn geslaagd om zoekresultaten op de eerste pagina's van Google Image Search te kapen voor miljoenen zoekwoorden. Als gevolg daarvan, schat hij, hebben mensen de afgelopen lente 15 miljoen keer per maand op vergiftigde zoekresultaten voor afbeeldingen geklikt. Google zegt dat het sindsdien het aantal kwaadaardige links bij het zoeken naar afbeeldingen met 90 procent heeft verminderd ten opzichte van de piekniveaus, en een woordvoerder benadrukte dat het gaten in zijn algoritmen blijft dichten om nieuwe aanvalsmethoden af te weren. Google zegt dat 0,5 procent van de zoekopdrachten resultaten oplevert die ten minste één bekende kwaadaardige website bevatten. Dit klinkt misschien laag, maar aangezien Google dagelijks meer dan een miljard zoekopdrachten verwerkt, betekent dit dat elke dag vijf miljoen zoekopdrachten een kwaadaardige link bevatten.
Wanneer Google een potentieel kwaadaardig zoekresultaat identificeert na meldingen door gebruikers of beveiligingsbedrijven, markeert het dit met waarschuwingsberichten. En als een site de zoekmachine heeft gespeeld en in de eerste plaats niet had moeten worden afgeleverd, verwijdert Google deze uit de zoekresultaten. Google onthult ook zijn lijst met kwaadaardige sites aan internetbeveiligingsbedrijven en webbrowserbedrijven, die hun eigen waarschuwingen kunnen geven als u de adressen probeert in te voeren. Onze reactietijd is van weken of dagen naar uren en zelfs minuten gegaan, zegt Panayiotis Mavrommatis, malware-onderzoeker bij Google.
Maar de webindustrie heeft het probleem nog steeds niet bij kunnen houden. Facebook blokkeert bijvoorbeeld zijn gebruikers de toegang tot websites op de zwarte lijst van Google en websites die intern en vanuit andere bronnen als kwaadaardig zijn geïdentificeerd. Toch zijn het en andere sociale netwerksites, zoals Twitter, nog steeds belangrijke vectoren, deels omdat criminelen nepaccounts opzetten of legitieme accounts hacken. Ongeveer 40 procent van de Facebook-statusupdates bevat links; daarvan leidt 10 procent naar spam of kwaadaardige websites, volgens een rapport van november van Websense. Mavrommatis geeft, net als andere beveiligingsonderzoekers, toe dat de uitdaging groot is. Met de rotatie van domeinen worden de op URL gebaseerde filters minder krachtig. En met op inhoud gebaseerde filters - nogmaals, versleuteling verbreekt ze, zegt hij. Daarom is het zo moeilijk.
Blind vliegen
Onderzoekers zeggen dat het beëindigen van de plaag van nep-antivirusmalware - of malware van een andere soort - bijna onmogelijk zal zijn tenzij web- en beveiligingsbedrijven meer informatie verzamelen en delen over alles, van de vectoren die in een bepaalde week de overhand hebben tot de banken die fraudeurs zijn gebruiken om betalingen te accepteren. Particuliere bedrijven onthullen slechts beperkte gegevens over inbreuken op hun sites of kwaadaardige links in hun netwerken. Er is verrassend minder informatie in de branche dan je zou denken, zegt Michael Barrett, hoofd beveiliging bij de online betalingsdienst PayPal.
Dat komt deels omdat het hebben van bedrijfseigen informatie over malware een concurrentievoordeel biedt voor internetbeveiligingsbedrijven. Er moet meer worden gedaan om de gemeenschap te delen, wat de beveiligingsindustrie niet gewend is, zegt Philippe Courtot, CEO van Qualys, een beveiligingsbedrijf. Aangezien geen enkel bedrijf een volledig beeld kan hebben van de aanvallen en de kwetsbaarheden, kan alleen een bredere en door de gemeenschap aangestuurde inspanning het probleem oplossen.
StopBadware werkt aan een gedeeltelijke oplossing: een rapportagesysteem waarvan het hoopt dat een kritieke massa internetbedrijven rapporten van geïnfecteerde websites zal aanleveren. Het controleert rapporten op juistheid, geeft de informatie door aan webhostingbedrijven zodat ze de sites kunnen verwijderen en maakt bekend welke hostingbedrijven niet hard optreden. Verhoogde druk op die bedrijven zou de criminelen kunnen dwingen om van tactiek te veranderen, wat voor hen extra kosten met zich meebrengt.
Een andere manier om de criminelen lastig te vallen, zou kunnen zijn om de banken die hun creditcardbetalingen verwerken, nauwkeuriger te controleren. Savage suggereert dat creditcardmaatschappijen en wetshandhavers zich niet op veel banken hoeven te richten om een grote impact te hebben. Hij en zijn collega's bestudeerden onlangs een willekeurige steekproef van 120 producten die via spam werden geadverteerd en stelden vast dat 95 procent van hun verkoop via slechts drie banken ging, in Azerbeidzjan, Letland, en St. Kitts en Nevis, West-Indië. Savage is van mening dat een onderzoek naar betalingen voor nep-antivirussoftware vergelijkbare resultaten zou opleveren.
Ondertussen, op elk willekeurig moment, minstens enkele honderdduizenden websites— bekend degenen — verspreiden malware via nep-antivirussen en andere vormen van oplichting. De criminelen zijn beter bezig met het coördineren van hun overtreding dan de goeden met het coördineren van onze verdediging, zegt Weinstein. Dat betekent dat de nep knipperende waarschuwingen- Uw computer is geïnfecteerd! - weerspiegelen steeds meer de waarheid.
David Talbot is Technologie beoordeling ’s hoofdcorrespondent.
