Tohle je spíš na populárně naučný článek.
Aneb jak vtipně oblbnout uživatele tak, že sám povolí podvodnému webu, aby mu zasílal odkazy na pochybné stránky formou podvodných a nebezpečných oznámení v systémové oblasti (přes Centrum oznámení). Pro znalé tohle asi nebude překvapivé čtení, ale dnes jsem se setkal se zajímavým způsobem servírování podvodu. Vlastně podvodů - otevřel se kanál pro zásobování uživatele důrazně prezentovanými pochybnými odkazy.
Pro ostřílené borce na první pohled jasná věc a "nic nového pod sluncem".
Ale zaujalo mne, jak je do hry v konstrukci podvodu šikovně zapojeno několik "vrstev", a jak je výsledek působivý a přesvědčivý, jak šikovně uživatele manipuluje a vodí za nos... aby i lehce zkušený uživatel sám otevřel zadní vrátka pro podvodná oznámení. Neškodilo by o tomto způsobu "nabourání PC" informovat méně zkušené lidi v okolí (co ale dovedou pochopit, oč jde).
Story - půjdeme od konce k začátku podvodu:
Dostal jsem z od sestřenice žádost o pomoc se zavirovaným PC (PC bylo ve skutečnosti čisté). Ale po obrazovce plula výrazná okna s varovnými animovanými hláškami, že Norton při scanu PC našel x závažných virů a trojanů, a že licence Nortona vypršela. Trochu podezřelé bylo, že sestřenice nikdy licenci Norton Security neměla. Okna nešla zavřít, při kliknutí na ně došlo k přesměrování a otevření nového okna na nákup či prodloužení licence Nortona.
Při pozornějším pohledu jsem zjistil, že celé to divadlo s varovnými okny se odehrává v prohlížeči (na první pohled to nebylo zřejmé - falešná varovná okna budila dojem, že jsou samostatná a plavou nad prohlížečem).
Divadlo servírovala adresa https://www.yourdesktopguardian.com - podle WhoIs nová doména, existující jeden den. Samozřejmě registrovaná přes prostředníka. Pro větší důvěryhodnost patrně běžící na serverech Amazonu (AWS).
Doména sama o sobě nic zajímavého neukáže (jen hlášku "Site is under construction, please visit later" - celkem dobrá ochrana proti vyhledávačům podvodných webů). Pokud ale za adresu přidáte "dlouhý ocásek":
nolink://www.yourdesktopguardian.com/c/ ... &s4=235315
...web zázračně "ožije".
Zajímavé je, že po kliknutí na cokoli to divadlo přesměrovává na https://cz.norton.com/products/norton-360-standard (+ nějaký affil ocásek za adresou)- což se zdá být legální web Nortonu. Patrně tu jde o provize při prodeji antivirového balíku, že.
Ale pojďme dál!
Jak se ten podezřelý dlouhý odkaz z yourdesktopguardian otevřel v prohlížeči? Měl jsem podezření na propašování do reklamního systému Novinek nebo Seznamu (stránky, které před tím sestřenice navštívila). Ale pak na mne začalo vyskakovat další oznámení o virech z Windows Centra oznámení (konverzační bublina a vyskakovací plovoucí okénka vpravo dole). A mezi tím i jedno "klasické" oznámení průlomové "novinky", kde Jágr jako že na ČT oznamuje, jak vydělal investicí miliony. U některých těchto oznámení bylo vidět, že pocházejí z webu captcha-smart.top (u některých byl původce šikovně skryt). Mimopchodem, i tento web je podle WhoIs velmi čerstvý - registrace domény na konci září, tedy doména funguje asi půl měsíce.
Fajn. Zakázat oznámení z captcha-smart.top a je hotovo. Ale jak se tenhle web dostal k tomu, že mu sestřenice povolila zasílání oznámení? Návštěva domény zase ukáže prakticky prázdný web, nic, co by člověka přesvědčilo k povolení zasílání oznámení. Hlubší ponor do historie procházení ukázal, že tento web také reaguje na ocásek v URL... a žádá si povolení zasílání oznámení velmi rafinovaným způsobem: tváří se, že je potřeba ověřit, zda je uživatel člověk a ne robot (captcha) - a to tím, že člověk pochopí výzvu webové stránky a klikne na tlačítko "Povolit"... v systémovém dialogu povolujícím oznámení z tohoto webu!
nolink://captcha-smart.top/robot4/index ... 8&a=l99875
Zbývá poslední otázka - jak se sestřenice dostala na výzvu k povolení oznámení na captcha-smart.top? Historie prohlížeče ukazuje, že před tím hledala něco na Googlu. A patrně na její hledání někdo nastražil "Google bombu" - reklamním systémem protlačený odkaz, který jako souzní a reaguje na hledaná slova, ale ve skutečnosti přináší něco úplně jiného.
Takže si to shrňme, jaké vrstvy obnáší tento případ:
1. Google bomba přesměruje uživatele na podvržený web - agregátor podvodů
2. Agregátor podvodu předstírá "neotřelou metodu" captcha ověření - ve skutečnosti si vyloudí povolení zasílání oznámení. Uživatel to povolí - je zvyklý na to, že každou chvíli musí potvrzovat captcha.
3. Agregátor "zásobuje" uživatele nebezpečnými a podvodnými odkazy v oznámeních, která se zobrazují v prominentní "systémové" oblasti a jsou velmi výrazná a přitom zastírají svůj původ
4. Podvodné odkazy už mohou udělat cokoliv - zkusit phishing, sběr osobních údajů, vydírání (nabízí se i přesměrování na "Microsoft techniky" z Indie provozující Tech Support scamy), vnucený prodej pod tlakem a s vyvoláním strachu (jako zde), nabízet podvodné investice, zázračné pilulky na hubnutí, padání vlasů, prdloužení ptáka, nabízet stažení už opravdového viru nebo ransomware... cokoliv.
Chcete jít na nějaký web a vybafne na vás takovéto "captcha" ověření, že nejste robot... kliknete na "Povolit"? Přiznávám, že já bych na to (bez většího přemýšlení) skočil. Jen bych si řekl - "To je mi ale novinka!"
Po čase se Centrum oznámení začne plnit takovýmto svinstvem (a samozřejmě tato oznámení začnou vyskakovat v systémové oblasti):
Všimněte si, že první červené oznámení vtipně skrývá svůj zdroj - resp. jde o jedno oznámení složené ze dvou rozdílně vypadajících, kde je uvedení zdroje až na konci toho druhého. Ale kdo by v takovém oznámení řešil nějakou URL adresu psanou malým písmem, že.
Když kliknete na oznámení o viru, můžete být přesměrováni na mydesktopguardian.com, kde se v okně prohlížeče spustí animace - "antivirová kontrola". Ta vypadá docela přesvědčivě...
...uvěříte pak výsledku?
Na něco kliknete a jste přesměrováni přes mydealprotection.com na legální https://cz.norton.com/. Tady doufám, že toto je skutečný, pravý Norton a není v tom nějaký háček... a že zde nakoupený soft bude skutečně dodán a bude správně fungovat.
Koupíte si pravý antivir, když jste dostali tak působivé varování? I když vlastně zavirováni nejste?
P.S. Doménu captcha-smart.top jsem nahlásil na abuse kontakt uváděný v její registraci, ale moc si od toho neslibuji.
