L'arnaque parfaite

Peu de temps après que le prince William et Kate Middleton ont échangé leurs vœux le 29 avril, un portrait de mariage de 1981 de la défunte mère du marié, la princesse Diana, est apparu comme l'une des trois meilleures images pour les personnes tapant le terme de recherche le plus populaire sur Google ce matin-là : mariage royal couverture. Mais le lien était un fil-piège. Des fraudeurs avaient trouvé un site Web malveillant grâce à l'algorithme de Google. Le lien a conduit à une page piratée sur une bande dessinée Web appelée Kiwiblitz.com, qui a redirigé le navigateur vers un autre site, un avec un nom de domaine d'un territoire insulaire australien obscur et hébergé en Suède. Ce site affichait un programme d'apparence réaliste appelé XP Anti-Spyware qui émettait de faux avertissements— Votre ordinateur est infecté ! Quelques clics ont conduit à une prétendue solution, pour 59,95 $ : le téléchargement d'un correctif qui n'existait pas réellement.





Douleur royale: Une photo empoisonnée de la princesse Diana a atteint la troisième place dans les recherches d'images Google pour la couverture du mariage royal le jour du printemps où son fils, le prince William, s'est marié.

Craie un autre succès pour ce qui est généralement connu comme l'arnaque des faux antivirus. Les enquêteurs fédéraux et les experts en sécurité estiment que ses diverses itérations ont extrait au moins 1 milliard de dollars des victimes au cours des dernières années, et c'est devenu la manifestation la plus visible d'une augmentation globale des logiciels malveillants, ou logiciels malveillants, distribués en ligne. (voir tableaux ci-dessous) . Les dommages vont au-delà du vol d'argent : même si vous ne sortez pas votre portefeuille, parfois, un simple clic sur les fausses entrées peut fournir d'autres formes de logiciels malveillants qui peuvent voler vos mots de passe ou enrôler votre ordinateur dans un gang contrôlé à distance appelé un botnet. Parce qu'il consiste généralement à tromper les gens pour qu'ils installent volontairement des logiciels malveillants (une stratégie appelée attaque d'ingénierie sociale), il peut finir par infecter même des machines bien entretenues, à la fois des PC et des Mac. En tant qu'acte de tromperie au niveau humain, c'est juste d'une beauté classique, déclare David Clark, chercheur au Laboratoire d'informatique et d'intelligence artificielle du MIT, qui était l'architecte en chef des protocoles d'Internet dans les années 1980.

La vie mesurée

Cette histoire faisait partie de notre numéro de juillet 2011



  • Voir le reste du numéro
  • S'abonner

Cette menace est le produit d'une technologie agile et d'un modèle commercial qui récompense l'innovation. Les escrocs ont rendu des milliers de variantes du leurre de faux antivirus dans des dizaines de langues, conçu des moyens automatisés d'infecter des sites Web ordinaires et imaginé de nombreux vecteurs ou méthodes de livraison de liens Web portant leur charge utile infâme. Les résultats de recherche par jeu ne sont qu'une méthode. Les publicités en ligne sont un autre vecteur, tout comme les spams, les liens sur les réseaux sociaux et même les appels automatisés via Skype ou par téléphone invitant les gens à visiter les sites Web qui craignent l'attaque. C'est une menace vraiment dominante pour les utilisateurs d'ordinateurs qui a persisté au fil du temps et continue d'évoluer et de croître, déclare Maxim Weinstein, directeur de StopBadware, une organisation à but non lucratif à Cambridge, Massachusetts, qui aide les sites Web à se débarrasser des piratages de logiciels malveillants et pousse à fermer les sites malveillants. . Le succès de l'escroquerie révèle l'apathie de bon nombre des principaux acteurs d'Internet, qui ont été incapables de coordonner une stratégie pour y faire face.

Il y a eu des victimes dans au moins 60 pays. J'ai passé des heures à nettoyer un système qui a été infecté parce qu'un employé a cliqué sur l'un de ces avertissements, explique Brian D'Arcangelo, technicien en informatique au Lynn Community Health Center, à Lynn, Massachusetts. Cela se produit avec une plus grande fréquence ici. Un fabricant de bijoux à Toronto - qui ne voulait que son nom de famille, Moser, a trouvé son PC Windows verrouillé avec des avertissements clignotants l'année dernière après avoir recherché des articles liés à son métier, alors il est allé de l'avant et a acheté la solution pour 79,95 $. Il a dû faire nettoyer l'ordinateur. Les recherches de termes aussi banals que les ballons ont conduit à des sites d'attaque. Les forums Apple se sont illuminés de demandes de clients cherchant à se soustraire aux escroqueries, comme celle qui les exhorte à acheter un logiciel Mac Defender inexistant. La mère de Melissa Hathaway, qui a été conseillère en cybersécurité du président Obama en 2009, a cliqué pour installer un faux produit antivirus en décembre dernier. Les experts en sécurité informatique avertissent que de nombreuses victimes ne réalisent même pas qu'elles ont été victimes d'une arnaque.

Économie

L'attrait du faux logiciel antivirus, souvent appelé scareware, est enraciné dans la peur. Cette fraude ne consiste pas à convaincre la victime de quelque chose d'absurde, par exemple, qu'un prince nigérian a besoin d'aide pour déplacer son argent. Au lieu de cela, la livraison est calibrée pour capitaliser sur les vrais avertissements que nous avons tous reçus. Les personnes qui ne savent pas exactement ce qui se passe - et à qui l'on a dit : ' Exécutez votre protection antivirus, brossez-vous les cyber-dents tous les jours ' - seront poussées à essayer de répondre à cela, déclare Vint Cerf, un co-inventeur des protocoles originaux d'Internet, qui est maintenant l'évangéliste en chef d'Internet chez Google. Les attaques proviennent généralement de pays où les lois sur la cybercriminalité sont laxistes (ou non appliquées) et où les traités obligeant la coopération avec d'autres nations ne sont pas en vigueur. De nombreuses bandes criminelles exploitent des réseaux d'Europe de l'Est notamment. (Certains logiciels malveillants vérifient si l'ordinateur d'une victime potentielle est configuré pour les paramètres régionaux d'Europe de l'Est ou dispose d'un clavier en russe, après quoi il se fermera normalement.)



En général : Shaileshkumar Jain (en haut à gauche) et Bjorn Daniel Sundin (à droite) ont été accusés de fraude électronique et condamnés à un jugement de 163 millions de dollars après avoir prétendument trompé les consommateurs en vendant de faux produits antivirus par le biais de leur société aujourd'hui disparue Innovative Marketing, basée à Kiev.

Il est facile de comprendre pourquoi l'escroquerie contre les faux antivirus est si populaire parmi les criminels. Le gain est immédiat et les profits importants. Quelqu'un qui vole d'autres types de butin numérique, comme des numéros de carte de crédit ou des mots de passe, doit prendre des mesures supplémentaires pour encaisser. Mais un faux produit antivirus met de l'argent directement dans la poche de l'escroc. Par exemple, en 2008, la Federal Trade Commission des États-Unis a poursuivi les dirigeants d'Innovative Marketing, qui a été constituée au Belize et avait à l'époque des bureaux près de Kiev, en Ukraine. La FTC a déclaré que la société avait récolté plus de 163 millions de dollars de 2004 à 2008 en incitant les consommateurs à cliquer pour télécharger de faux logiciels avec des titres aussi intelligents que Winfixer, WinAntivirus, Drivecleaner, SystemDoctor et XP Antivirus 2008. L'année dernière, un juge fédéral du Maryland a imposé un jugement de ce montant contre les dirigeants de l'entreprise Shaileshkumar Sam Jain et Bjorn Daniel Sundin, qui ont ensuite été accusés de fraude électronique devant un tribunal fédéral de Chicago. Ils restent en liberté. Un troisième accusé, James Reno d'Amelia, Ohio—qui s'était réglé avec la FTC—a également été inculpé; il est accusé d'avoir dirigé un centre d'appels où les opérateurs ont essayé de repousser les personnes qui se plaignaient, bien que le personnel ait également parfois remboursé des clients en colère afin de rester hors du radar des sociétés de cartes de crédit. Son avocat n'a pas retourné les messages laissés par Examen de la technologie .

Les dommages causés par cette organisation ont peut-être été encore pires que ceux allégués par la FTC. Un chercheur de la société de sécurité McAfee a pu déterminer qu'Innovative Marketing comptait quelque 600 employés et 34 serveurs diffusant des logiciels malveillants, la plupart opérant à partir d'un complexe de bureaux traditionnel à Kiev. L'empire de l'entreprise comprenait des divisions qui géraient les paiements par carte de crédit, le centre d'appels de l'Ohio et plusieurs sites Web pour adultes qui faisaient double office de vecteurs pour le faux logiciel antivirus. McAfee a noté qu'Innovative Marketing avait enregistré 4,5 millions de commandes au cours d'une période de 11 mois en 2008 ; à 35 $ par commande, le chiffre d'affaires annuel approchait apparemment 180 millions de dollars. C'est mieux que les 150 millions de dollars que Twitter rapportera cette année, selon une estimation du cabinet d'études de marché eMarketer.



Le marketing innovant n'existe plus. Mais cela n'a pas ralenti le commerce mondial des faux antivirus. Au cours des cinq dernières années, plusieurs gangs de logiciels malveillants ont systématiquement commis des escroqueries antivirus malveillantes, a déclaré Eric Howes, analyste de recherche chez GFI Software, à Clearwater, en Floride. Pour maintenir le rythme des opérations, les fournisseurs de cette forme de malware et d'autres adaptent une technique commerciale utilisée par des entreprises comme Amazon : le modèle d'affiliation. Tout comme n'importe quel site Web peut inclure un lien vers un formulaire d'achat Amazon et percevoir des frais pour toute vente, les escrocs antivirus font appel à des tiers appelés affiliés, qui peuvent percevoir des frais pour chaque installation, c'est-à-dire chaque fois que quelqu'un ouvre la porte à un logiciel malveillant. en cliquant sur le faux avertissement, plus une commission sur chaque vente résultante du faux produit. Un distributeur, Avprofit.com, a promis sur son site Web qu'il paierait entre 300 $ et 750 $ pour 1 000 installations aux États-Unis, au Canada, en Grande-Bretagne ou en Australie, où le risque est plus élevé de rencontrer des victimes qui peuvent se permettre de payer ce que la demande de faux avertissements. Expérience requise : Avprofit recherchait des pirates informatiques avec au moins 250 installations par jour en moyenne.

De nombreux affiliés s'en sortent extrêmement bien. SecureWorks, une unité de Dell, a analysé la distribution d'un faux programme antivirus appelé Antivirus XP 2008 via une entreprise appelée Bakasoftware, basée en Russie. Selon les documents fournis par le pirate informatique derrière Bakasoftware, qui s'appelait Krab, l'un de ses principaux affiliés a réussi à tromper 154 825 personnes en leur faisant installer des copies de logiciels malveillants sur leurs ordinateurs en 10 jours, avec 2 772 victimes entrant leur carte de crédit. Nombres. Si les documents sont exacts, l'affilié de Krab s'enfuit avec 146 524 $ au cours de cette brève période.

Innovation

Les affiliés ont engendré un nombre impressionnant d'innovations obscures pour créer de nouvelles façons d'infecter les ordinateurs sur le Web. Un outil clé est un site Web légitime qui a été subrepticement compromis. Si vous visitez un tel site, vous êtes souvent automatiquement redirigé vers un site qui affiche les avertissements clignotants, essayant de vous tromper en cliquant sur l'approbation pour télécharger le faux programme antivirus. Souvent, d'autres logiciels malveillants recherchent des trous non corrigés dans des logiciels courants tels que Java et Adobe Flash, des trous à travers lesquels ils peuvent installer d'autres charges utiles nuisibles, comme des logiciels malveillants qui volent les mots de passe stockés sur votre ordinateur. C'est ce qu'on appelle un téléchargement intempestif.



Des avertissements bidons similaires à celui ci-dessus, dans des dizaines de langues, sont familiers à des millions d'utilisateurs d'ordinateurs dans le monde.

Une technologie remarquable sous-tend l'ensemble du processus. Pour maintenir un approvisionnement constant de sites Web infectés, les criminels écrivent du code qui parcourt le Web à la recherche de vulnérabilités connues dans les plates-formes de publication courantes telles que Wordpress ou dans les logiciels d'hébergement Web tels que cPanel, explique Weinstein. (Chaque mois, son organisation StopBadware aide à nettoyer 1 200 sites Web, une infime fraction des centaines de milliers qui seraient infectés à tout moment.) Alternativement, les criminels peuvent utiliser des mots de passe volés pour se connecter aux sites Web et ajouter du code malveillant. Pour faciliter ce travail, les botnets effectuent une grande partie du travail automatiquement.

Les sites Web de piégeage ne sont qu'une étape. Le code malveillant doit éviter d'être détecté pour que ces sites restent utiles aux criminels. Pour déjouer les vrais programmes antivirus qui sont mis à jour quotidiennement, les criminels apportent des modifications cosmétiques au code, souvent avec des astuces de cryptage simples et largement disponibles. (Le code malveillant derrière l'image Princess Di, par exemple, était à peu près le même que celui utilisé dans d'autres escroqueries contre les faux antivirus, mais a été manqué par 38 des 42 vrais scanners antivirus.) Et pour garder une longueur d'avance sur les listes noires que les sociétés de sécurité et Les sociétés Web maintiennent pour bloquer les adresses Web connues pour abriter des logiciels malveillants, elles exploitent des techniques pour enregistrer et modifier rapidement des milliers d'adresses.

Un coup d'œil à un registre de domaine montre à quel point c'est facile. Une entreprise sud-coréenne est spécialisée dans la vente de millions d'adresses dans le domaine national .cc, celui des îles Cocos (Keeling), un territoire australien. La boutique coréenne a enregistré co.cc. À cela, il peut ajouter un nombre incalculable de noms. Pour 1 000 $, en fait, cela vous en donnera 15 000. Il se vante d'avoir 57 millions de sites co.cc indexés par Google, montrant à quel point il peut être facile d'atteindre un large éventail de victimes. Et les services d'hébergement Web gratuits dans le monde entier facilitent la mise en service de ces sites.

Vecteurs

Pour présenter leurs liens aux victimes susceptibles de les voir et de cliquer dessus, les canulars antivirus ont besoin de vecteurs, et ils en ont utilisé de nombreux : sites pornographiques, publicités en ligne, résultats de recherche, logiciels échangés sur des sites de partage de fichiers et liens sur Facebook et Twitter. De plus en plus, des sites Web malveillants utilisant ces vecteurs sont créés quotidiennement ou même toutes les heures pour garder une longueur d'avance sur les efforts visant à les bloquer et à les fermer.

Infecter la publicité en ligne est assez simple : les méchants achètent des publicités et les truquent avec du code ou des liens malveillants. Selon la FTC, des représentants d'Innovative Marketing se sont fait passer pour des représentants d'entreprises et d'organisations réelles, notamment Travelocity, Priceline et Oxfam International, et ont acheté des publicités soi-disant en leur nom. Ces publicités en ligne utilisaient une variante ingénieuse du ciblage géographique. Ils semblaient légitimes lorsqu'ils étaient consultés à partir des adresses IP des employés du réseau publicitaire, mais les téléspectateurs à d'autres adresses étaient redirigés vers des sites frauduleux. Plus récemment, selon un rapport de la société de sécurité Websense, des publicités infectées - placées par des réseaux publicitaires qui n'avaient pas soigneusement vérifié les clients - se sont affichées sur Gizmodo, TechCrunch et le site Web du New York Times .

Agrandir les graphiques.

Mais les moteurs de recherche pourraient être le vecteur prédominant maintenant, explique Stefan Savage, informaticien à l'Université de Californie à San Diego. Les escrocs jouent diverses astuces d'optimisation de recherche pour tromper les algorithmes que Google, Bing et d'autres moteurs utilisent pour déterminer les liens Web à afficher en réponse aux demandes de recherche. Généralement, une page sur un site infecté (comme Kiwiblitz.com) est discrètement remplie de termes de recherche à la mode et de liens vers des images. Ensuite, les joueurs malveillants relient les pages - des centaines ou des milliers d'entre eux - de sorte que les programmes d'exploration du Web des moteurs de recherche classent la page infectée près du sommet pour sa popularité et sa pertinence apparentes. Denis Sinegubko, un chercheur de logiciels malveillants en Russie, estime que les criminels ont réussi à détourner les résultats de recherche sur les premières pages de la recherche Google Image pour des millions de mots-clés. En conséquence, estime-t-il, les gens ont cliqué sur des résultats de recherche d'images empoisonnées 15 millions de fois par mois au printemps dernier. Google affirme qu'il a depuis réduit le nombre de liens malveillants dans les recherches d'images de 90 % par rapport aux niveaux maximaux, et un porte-parole a souligné qu'il continue de boucher les failles de ses algorithmes pour parer à de nouvelles méthodes d'attaque. Google dit que 0,5% des recherches rapportent des retours qui incluent au moins un site Web malveillant connu. Cela peut sembler faible, mais étant donné que Google traite plus d'un milliard de recherches par jour, cela signifie que cinq millions de retours de recherche chaque jour contiennent un lien malveillant.

Lorsque Google identifie un résultat de recherche potentiellement malveillant après des rapports d'utilisateurs ou de sociétés de sécurité, il le signale avec des messages d'avertissement. Et si un site a joué avec le moteur de recherche et n'aurait pas dû être livré en premier lieu, Google le supprimera des retours de recherche. Google révèle également sa liste de sites malveillants aux sociétés de sécurité Internet et aux sociétés de navigateur Web, qui peuvent émettre leurs propres avertissements si vous essayez de saisir les adresses. Notre temps de réponse est passé de semaines ou de jours à des heures et même des minutes, explique Panayiotis Mavrommatis, chercheur en logiciels malveillants chez Google.

Mais l'industrie du Web n'a toujours pas été en mesure de faire face au problème. Facebook, par exemple, empêche ses utilisateurs d'accéder aux sites Web de la liste noire de Google et à ceux identifiés en interne et à partir d'autres sources comme malveillants. Pourtant, lui et d'autres sites de réseaux sociaux, comme Twitter, restent des vecteurs majeurs, en partie parce que les criminels créent de faux comptes ou piratent des comptes légitimes. Environ 40 pour cent des mises à jour de statut Facebook contiennent des liens ; parmi ceux-ci, 10 pour cent conduisent à du spam ou à des sites Web malveillants, selon un rapport de novembre de Websense. Mavrommatis, comme d'autres chercheurs en sécurité, admet que le défi est de taille. Avec la rotation des domaines, les filtres basés sur les URL deviennent moins puissants. Et avec les filtres basés sur le contenu, encore une fois, le cryptage les casse, dit-il. C'est pourquoi c'est si difficile.

Voler à l'aveugle

Les chercheurs affirment qu'il sera presque impossible de mettre fin au fléau des faux logiciels malveillants antivirus - ou des logiciels malveillants de tout autre type - à moins que les sociétés Web et de sécurité ne collectent et partagent plus d'informations sur tout, des vecteurs qui prédominent au cours d'une semaine donnée aux banques que les fraudeurs sont. utiliser pour accepter les paiements. Les entreprises privées ne révèlent que des données limitées sur les violations sur leurs sites ou les liens malveillants dans leurs réseaux. Il y a étonnamment moins d'informations dans l'industrie que vous ne le pensez, déclare Michael Barrett, responsable de la sécurité du service de paiement en ligne PayPal.

C'est en partie parce que le fait de disposer d'informations exclusives sur les logiciels malveillants offre un avantage concurrentiel aux sociétés de sécurité Internet. Il doit y avoir plus d'effort de partage communautaire, ce à quoi l'industrie de la sécurité n'est pas habituée, explique Philippe Courtot, PDG de Qualys, une société de sécurité. Étant donné qu'aucune entreprise ne peut avoir une vue complète des attaques et des vulnérabilités, seul un effort plus large et mené par la communauté peut résoudre le problème.

StopBadware travaille sur une solution partielle : un système de signalement auquel il espère qu'une masse critique d'entreprises Internet contribuera aux signalements de sites Web infectés. Il vérifiera l'exactitude des rapports, transmettra les informations aux sociétés d'hébergement Web afin qu'elles puissent supprimer les sites et fera connaître les sociétés d'hébergement qui ne répriment pas. Une pression accrue sur ces entreprises pourrait forcer les criminels à changer de tactique, ce qui leur coûterait cher.

Une autre façon d'embêter les criminels pourrait être d'examiner de plus près les banques qui traitent leurs paiements par carte de crédit. Savage suggère que les sociétés émettrices de cartes de crédit et les forces de l'ordre n'ont pas besoin de cibler de nombreuses banques pour avoir un impact important. Lui et ses collègues ont récemment étudié un échantillon aléatoire de 120 produits annoncés via le spam et ont déterminé que 95 % de leurs ventes étaient passées par trois banques seulement, en Azerbaïdjan, en Lettonie et à Saint-Kitts-et-Nevis, aux Antilles. Savage pense qu'une étude des paiements pour de faux logiciels antivirus donnerait des résultats comparables.

Pendant ce temps, à tout moment, au moins plusieurs centaines de milliers de sites Web— connu ceux-ci distribuent des logiciels malveillants par le biais de faux antivirus et d'autres escroqueries. Les criminels coordonnent mieux leur attaque que les bons coordonnent notre défense, dit Weinstein. Cela signifie que les faux avertissements clignotants— Votre ordinateur est infecté ! - reflètent de plus en plus la vérité.

David Talbot est Examen de la technologie correspondant en chef.

cacher