Fałszywe antywirusy realnym zagrożeniem

Przeczytaj także: Coraz więcej scareware w sieci

Najtrudniejszy pierwszy krok...

Jedną z powszechniej stosowanych metod infekowania komputerów poprzez scareware jest używanie do tego celu spreparowanej strony. Całość odbywa się w kilku krokach, które zostały opisane poniżej.

1. Zachęcić użytkownika do odwiedzenia spreparowanej witryny

Wszystko zaczyna się od wizyty na odpowiednio przygotowanej stronie internetowej. Jest ona stworzona w taki sposób, by wzbudzić zaufanie. Należy jednak jakoś przekonać użytkownika do wejścia na witrynę. W tym celu przestępcy wykorzystują ranking popularności stron w Google oraz tematy, które w danym momencie są chętnie czytane. Na przykład, chcąc znaleźć informacje na temat jakiegoś skandalu, po wpisaniu odpowiedniej frazy w wyszukiwarce Google, już na pierwszej stronie można trafić na witrynę, która tylko z opisu wydaje się traktować o interesującej nas tematyce. W rzeczywistości po kliknięciu odnośnika może pojawić się niniejszy komunikat:
informuje on, że komputer zagrożony jest atakami wirusów i zaleca się jak najszybciej rozpocząć skanowanie systemu. Można posłużyć się przykładem będącym bardziej na czasie i ukazującym bezwzględność przestępców oraz to, że każde wydarzenie może przez nich zostać wykorzystane do zwiększenia liczby odwiedzin fałszywych stron. Po katastrofie samolotu prezydenckiego 10 kwietnia 2010 roku bardzo szybko pojawiły się strony mające rzekomo ujawniać nieznane szczegóły tej tragedii. Poniższy obrazek pokazuje taką właśnie witrynę. Niestety po wejściu na nią pojawiała się wcześniej już prezentowana informacja o konieczności przeskanowania komputera.

Istnieją oczywiście także inne metody zachęcania do odwiedzenia spreparowanej witryny. Rozsyłanie linków poprzez pocztę elektroniczną, czaty, komunikatory lub na serwisach społecznościowych także się zdarza. Wystarczy jedynie odpowiednio zachęcić do przejścia pod podany adres np. obiecując ciekawy filmik lub zdjęcie. Chętni znajdą się zawsze.

2. Przekonać użytkownika co powagi zagrożenia

Celem przestępcy jest przestraszenie użytkownika oraz wmówienie mu, że jego system operacyjny to siedlisko wirusów. Do tego celu cyberprzestępcy używają języka skryptowego - javascript. Po wejściu na sfałszowaną witrynę uruchamia się skrypt, który w założeniu ma pokazać postęp skanowania naszego dysku twardego. Jest to oczywiście oszustwo i nie ma nic wspólnego z naszym systemem operacyjnym (często nawet nazwy folderów czy partycji różnią się od tych jakie posiadamy w rzeczywistości, co powinno być pierwszym sygnałem ostrzegawczym). Poniższy obrazek pokazuje skrypt w trakcie działania:

Jak widać cała akcja dzieje się w okienku przeglądarki i niewiele ma wspólnego z dyskiem twardym. Jeżeli jednak użytkownik jest niedoświadczony i nie orientuje się w kwestiach bezpieczeństwa, to gotów jest uwierzyć, że faktycznie jego komputer jest zarażony i musi podjąć odpowiednie kroki, by wyeliminować szkodniki.