211service.com
Den perfekta bluffen
Inte långt efter att prins William och Kate Middleton utbytte löften den 29 april, dök ett bröllopsporträtt från 1981 av brudgummens bortgångna mor, prinsessan Diana, upp som en av de tre bästa bilderna för personer som skrev den mest populära söktermen på Google den morgonen: kungligt bröllop rapportering. Men länken var en snubbeltråd. Bedrägerikonstnärer hade hittat en skadlig webbplats genom Googles algoritm. Länken ledde till en hackad sida på en serietidning på webben som heter Kiwiblitz.com, som omdirigerade webbläsaren till en annan sida – en med ett domännamn från ett obskyrt australiensiskt ö-territorium och som är värd i Sverige. Den webbplatsen visade ett realistiskt program som heter XP Anti-Spyware som utfärdade falska varningar— Din dator är infekterad! Några klick ledde till en påstådd lösning, för $59,95: en nedladdning av en fix som faktiskt inte existerade.

Kunglig smärta: En förgiftad bild på prinsessan Diana kom upp så högt som trea i Googles bildsökningar för kungligt bröllopsbevakning den vårdag som hennes son prins William gifte sig.
Skaffa ytterligare en framgång för vad som allmänt kallas den falska antivirusbluffen. Federala utredare och säkerhetsexperter uppskattar att dess olika iterationer har extraherat minst 1 miljard dollar från offer under de senaste åren, och det har blivit den mest synliga manifestationen av en övergripande ökning av skadlig programvara eller skadlig programvara som distribueras online (se diagram nedan) . Skadan sträcker sig mer än stöld av kontanter: även om du inte tar fram din plånbok, ibland bara genom att klicka på de falska komonerna kan det leverera andra former av skadlig programvara som kan stjäla dina lösenord eller värna din dator till ett fjärrstyrt gäng som heter ett botnät. Eftersom det i allmänhet förlitar sig på att lura människor att frivilligt installera skadlig programvara – en strategi som kallas en social ingenjörsattack – kan den sluta infektera även välskötta maskiner, både PC och Mac. Som ett bedrägeri på mänsklig nivå är det bara klassiskt vackert, säger David Clark, en forskare vid MIT:s datavetenskap och artificiell intelligens Laboratory, som var Internets främsta protokollarkitekt på 1980-talet.
Den här historien var en del av vårt julinummer 2011
- Se resten av frågan
- Prenumerera
Detta hot är en produkt av smidig teknik och en affärsmodell som belönar innovation. Bedragare har återgett tusentals varianter av falska antivirus-lurar på dussintals språk, utarbetat automatiserade sätt att infektera vanliga webbplatser och hittat på många vektorer, eller metoder för att leverera webblänkar som bär deras skändliga nyttolast. Spelade sökresultat är bara en metod. Onlineannonser är en annan vektor, liksom spam-e-post, länkar på sociala nätverk och till och med robosamtal via Skype eller telefon som råder folk att besöka webbplatser som rapar upp attacken. Det är ett riktigt dominerande hot mot datoranvändare som har bestått över tid och som fortsätter att utvecklas och växa, säger Maxim Weinstein, chef för StopBadware, en ideell organisation i Cambridge, Massachusetts, som hjälper webbplatser att bli av med skadlig programvara och pushar för att stänga ned skadliga webbplatser . Framgången med bluffen avslöjar plattfoten hos många av Internets stora aktörer, som inte har kunnat koordinera en strategi för att hantera det.
Det har funnits offer i minst 60 länder. Jag tillbringade timmar med att städa upp ett system som blev infekterat eftersom en anställd klickade på en av dessa varningar, säger Brian D’Arcangelo, informationstekniker vid Lynn Community Health Center i Lynn, Massachusetts. Det händer med högre frekvens här. En smyckestillverkare i Toronto – som bara ville ha sitt efternamn, Moser, använt – hittade sin Windows-dator låst med blinkande varningar förra året efter att han sökt efter föremål relaterade till hans yrke, så han gick vidare och köpte lösningen för 79,95 USD. Han var tvungen att städa datorn. Sökningar på termer som är så vardagliga som ballonger har lett till attackwebbplatser. Apples forum har börjat lysa upp med vädjanden från kunder som vill komma ur bedrägeri som en som uppmanar dem att köpa obefintlig Mac Defender-programvara. Mamman till Melissa Hathaway, som fungerade som president Obamas rådgivare för cybersäkerhet 2009, klickade för att installera en falsk antivirusprodukt i december förra året. Datasäkerhetsexperter varnar för att många offer inte ens inser att de har blivit lurade.
Ekonomi
Attraktionskraften hos den falska antivirusprogramvaran – ofta kallad scareware – bottnar i rädsla. Detta bedrägeri förlitar sig inte på att övertyga offret om något absurt – till exempel att en nigeriansk prins behöver hjälp med att flytta sina pengar. Istället är leveransen kalibrerad för att dra nytta av de verkliga varningarna vi alla har fått. Människor som inte vet exakt vad som händer – och som har blivit [tillsagda], 'Kör ditt antivirusskydd, borsta dina cybertänder varje dag' – kommer att drivas att försöka svara på det, säger Vint Cerf, en meduppfinnare av Internets ursprungliga protokoll, som nu är chefsinternetevangelist på Google. Attackerna kommer i allmänhet från länder där lagarna om cyberbrott är slappa (eller inte tillämpas) och fördrag som förpliktar samarbete med andra nationer inte är i kraft. Många kriminella gäng driver nätverk från framför allt Östeuropa. (Vissa skadlig programvara kontrollerar om ett potentiellt offers dator är inställd för östeuropeiska lokaler eller har ett ryskspråkigt tangentbord, varpå den avslutas på ett elegant sätt.)

I stora drag: Shaileshkumar Jain (över till vänster) och Bjorn Daniel Sundin (höger) har åtalats för bedrägeri och dömts till 163 miljoner dollar efter att de påstås ha råkat ut för konsumenter genom att sälja falska antivirusprodukter genom deras numera nedlagda företag Innovative Marketing, som var baserat i Kiev.
Det är lätt att se varför den falska antivirusbluffen är så populär bland kriminella. Utdelningen är omedelbar och vinsten stora. Någon som stjäl andra typer av digitalt byte, som kreditkortsnummer eller lösenord, måste ta extra steg för att tjäna pengar. Men en falsk antivirusprodukt stoppar pengar direkt i skurkens ficka. Till exempel, 2008 stämde U.S. Federal Trade Commission huvudmän för Innovative Marketing, som bildades i Belize och vid den tiden hade kontor nära Kiev, Ukraina. FTC sa att företaget drog in mer än 163 miljoner dollar från 2004 till 2008 genom att lura konsumenter att klicka för att ladda ner falsk programvara med så smarta titlar som Winfixer, WinAntivirus, Drivecleaner, SystemDoctor och XP Antivirus 2008. Förra året tog en federal domare i Maryland ut en dom på det beloppet mot företagets huvudmän Shaileshkumar Sam Jain och Björn Daniel Sundin, som senare drabbades av åtal för bedrägeri i federal domstol i Chicago. De förblir på fri fot. En tredje åtalad, James Reno från Amelia, Ohio – som hade gjort upp med FTC – åtalades också; han anklagas för att ha drivit ett callcenter där operatörer försökte avvärja personer som klagade, även om personalen ibland även gav återbetalningar till upprörda kunder för att hålla sig borta från kreditkortsföretagens radar. Hans advokat returnerade inte meddelanden som lämnats av Teknikgranskning .
Skadan som den här organisationen åsamkade kan ha varit ännu värre än FTC påstod. En forskare för säkerhetsföretaget McAfee kunde fastställa att Innovative Marketing hade cirka 600 anställda och 34 servrar som spred skadlig programvara, de flesta från ett traditionellt kontorskomplex i Kiev. Företagsimperiet inkluderade divisioner som hanterade kreditkortsbetalningar, callcenter i Ohio och flera vuxenwebbplatser som fungerade dubbelt som vektorer för det falska antivirusprogrammet. McAfee noterade att Innovative Marketing loggade 4,5 miljoner beställningar under en 11-månadersperiod 2008; med $35 per order, den årliga omsättningen närmade sig tydligen $180 miljoner. Det är bättre än de 150 miljoner dollar som Twitter kommer att dra in i år, enligt en uppskattning från marknadsundersökningsföretaget eMarketer.
Innovativ marknadsföring finns inte längre. Men det har inte bromsat den världsomspännande falska antivirusverksamheten. Det har funnits flera skadliga gäng som konsekvent arbetat med falska antivirusbedrägerier under de senaste fem åren, säger Eric Howes, forskningsanalytiker på GFI Software, i Clearwater, Florida. För att hålla verksamheten brummande anpassar leverantörer av denna och andra former av skadlig programvara en affärsteknik som används av företag som Amazon: affiliate-modellen. Precis som allas webbplatser kan innehålla en länk till ett Amazon-köpformulär och ta ut en avgift för eventuell försäljning, anlitar antivirusbedragare tredje parter som kallas affiliates, som kan få en avgift för varje installation – det vill säga varje gång någon öppnar dörren för skadlig programvara genom att klicka på den falska varningen – plus en provision på varje resulterande försäljning av den falska produkten. En distributör, Avprofit.com, lovade på sin hemsida att de skulle betala mellan $300 och $750 för varje 1 000 installationer i USA, Kanada, Storbritannien eller Australien, där chansen är större att stöta på offer som har råd att betala vad de falska varningarna kräver. Erfarenhet krävs: Avprofit sökte hackare med minsta genomsnitt 250 installationer per dag.
Många av affiliates gör det extremt bra. SecureWorks, en enhet inom Dell, analyserade distributionen av ett falskt antivirusprogram som heter Antivirus XP 2008 via en outfit som heter Bakasoftware, som var baserad i Ryssland. Enligt dokument från hackaren bakom Bakasoftware, som gick under smeknamnet Krab, lyckades en av hans främsta dotterbolag lura 154 825 personer att installera kopior av skadlig programvara på sina datorer på 10 dagar, med 2 772 offer som fortsatte att ange sitt kreditkort tal. Om dokumenten är korrekta, krånglade Krabs affiliate undan med $146 524 under den korta perioden.
Innovation
Affiliates har skapat en imponerande mängd mörk innovation för att skapa nya sätt att infektera datorer över webben. Ett nyckelverktyg är en legitim webbplats som i smyg har äventyrats. Om du besöker en sådan sida omdirigeras du ofta automatiskt till en sida som visar de blinkande varningarna och försöker lura dig att klicka på godkännande för att ladda ner det falska antivirusprogrammet. Ofta söker annan skadlig programvara olappade hål i vanliga program som Java och Adobe Flash – hål genom vilka den kan installera andra skadliga nyttolaster, som skadlig programvara som stjäl lösenord som lagras på din dator. Detta är känt som en drive-by-nedladdning.

Falska varningar som liknar den ovan – på dussintals språk – är en välbekant syn för miljontals datoranvändare över hela världen.
Anmärkningsvärd teknik ligger bakom hela processen. För att upprätthålla ett konstant utbud av infekterade webbplatser skriver kriminella kod som genomsöker webben och letar efter kända sårbarheter i vanliga publiceringsplattformar som Wordpress eller i webbhotellprogram som cPanel, säger Weinstein. (Varje månad hjälper hans StopBadware-organisation till med att städa upp 1 200 webbplatser, en liten bråkdel av de hundratusentals som tros vara infekterade när som helst.) Alternativt kan brottslingarna använda borttappade lösenord för att logga in på webbplatser och lägga till skadlig kod. För att göra det här jobbet enklare gör botnät mycket av jobbet automatiskt.
Webbplatser som skrämmer sönder är bara ett steg. Den skadliga koden måste undvika upptäckt om dessa webbplatser ska förbli användbara för brottslingarna. För att överlista riktiga antivirusprogram som uppdateras dagligen, gör brottslingarna kosmetiska ändringar i koden – ofta med enkla och allmänt tillgängliga krypteringstrick. (Den skadliga koden bakom Princess Di-bilden var till exempel ungefär densamma som den som används i andra falska antivirusbedrägerier men missades av 38 av 42 riktiga antivirusskannrar.) Och för att ligga före de svarta listorna som säkerhetsföretag och Webbföretag fortsätter att blockera webbadresser som är kända för att innehålla skadlig programvara, de utnyttjar tekniker för att snabbt registrera och ändra tusentals adresser.
En titt på ett domänregister visar hur enkelt detta är. Ett företag i Sydkorea är specialiserat på att sälja miljontals adresser på den nationella domänen .cc – den för Cocos (Keeling) Islands, ett australiensiskt territorium. Den koreanska butiken har registrerat co.cc. Till detta kan den lägga till otaliga antal namn. För 1 000 $ ger det dig faktiskt 15 000 av dem. Den skryter med att ha 57 miljoner co.cc-webbplatser indexerade av Google, vilket visar hur lätt det kan vara att nå ett brett spektrum av offer. Och gratis webbhotell över hela världen gör det enkelt att använda dessa webbplatser.
Vektorer
För att visa sina länkar inför offer som sannolikt kommer att se och klicka på dem, behöver antivirushoaxers vektorer, och de har använt många: porrsajter, onlineannonser, sökresultat, programvara som handlas på fildelningssajter och länkar på Facebook och Twitter. I allt högre grad skapas skadliga webbplatser som använder dessa vektorer dagligen eller till och med varje timme för att ligga steget före ansträngningarna att blockera dem och stänga av dem.
Att infektera onlineannonsering är ganska enkelt: skurkarna köper annonser och riggar dem med skadlig kod eller länkar. Enligt FTC utgav sig representanter för Innovative Marketing som representanter för riktiga företag och organisationer – inklusive Travelocity, Priceline och Oxfam International – och köpte annonser för deras räkning. Dessa onlineannonser använde en genialisk variant av platsbaserad inriktning. De verkade legitima när de sågs från IP-adresserna för annonsnätverkets anställda, men tittare på andra adresser omdirigerades till bedrägeriwebbplatser. På senare tid, enligt en rapport från säkerhetsföretaget Websense, har infekterade annonser – placerade av annonsnätverk som inte noggrant hade kollat upp klienterna – dykt upp på Gizmodo, TechCrunch och webbplatsen för New York Times .

Förstora diagram.
Men sökmotorer kan vara den dominerande vektorn nu, säger Stefan Savage, datavetare vid University of California, San Diego. Bedrägerierna spelar en mängd olika sökoptimeringsknep för att lura de algoritmer som Google, Bing och andra motorer använder för att avgöra vilka webblänkar som ska visas som svar på sökförfrågningar. I allmänhet är en sida på en infekterad webbplats (som Kiwiblitz.com) tyst fylld med trendiga söktermer och länkar till bilder. Sedan länkar de skadliga spelarna samman sidor – hundratals eller tusentals av dem – så att sökmotorernas webbgenomsökningsprogram rankar den infekterade sidan högst upp för uppenbar popularitet och relevans. Denis Sinegubko, en malware-forskare i Ryssland, tror att brottslingar har lyckats kapa sökresultat på de första sidorna av Googles bildsökning efter miljontals sökord. Som ett resultat, uppskattar han, klickade människor på förgiftade bildsökningsresultat 15 miljoner gånger i månaden i våras. Google säger att de sedan dess har minskat antalet skadliga länkar i bildsökningar med 90 procent från toppnivåer, och en talesman betonade att de fortsätter att täppa till hål i sina algoritmer för att avvärja nya attackmetoder. Google säger att 0,5 procent av sökningarna ger avkastning som inkluderar minst en känd skadlig webbplats. Detta kan låta lågt, men med tanke på att Google hanterar mer än en miljard sökningar dagligen, betyder det att fem miljoner sökresultat varje dag har en skadlig länk.
När Google identifierar ett potentiellt skadligt sökresultat efter rapporter från användare eller säkerhetsföretag, flaggar det med varningsmeddelanden. Och om en webbplats har spelat sökmotorn och inte borde ha levererats i första hand, kommer Google att ta bort den från sökresultaten. Google avslöjar också sin lista över skadliga webbplatser för Internetsäkerhetsföretag och webbläsarföretag, som kan utfärda sina egna varningar om du försöker skriva in adresserna. Vår svarstid har gått från veckor eller dagar till timmar och till och med minuter, säger Panayiotis Mavrommatis, en malware-forskare på Google.
Men webbindustrin har fortfarande inte kunnat hänga med problemet. Facebook blockerar till exempel sina användare från att komma åt webbplatser på Googles svarta lista och de som identifieras internt och från andra källor som skadliga. Ändå är det och andra sociala nätverkssajter, som Twitter, fortfarande viktiga vektorer, delvis för att brottslingar skapar falska konton eller hackar legitima. Cirka 40 procent av Facebooks statusuppdateringar innehåller länkar; av dessa leder 10 procent till spam eller skadliga webbplatser, enligt en novemberrapport från Websense. Mavrommatis, liksom andra säkerhetsforskare, medger att utmaningen är lång. Med rotationen av domäner blir de URL-baserade filtren mindre kraftfulla. Och med innehållsbaserade filter – återigen bryter kryptering dem, säger han. Det är därför det är så svårt.
Flygande Blind
Forskare säger att det kommer att bli nästan omöjligt att få ett slut på plåget av falsk antivirusprogramvara – eller skadlig kod av något annat slag – om inte webb- och säkerhetsföretag samlar in och delar mer information om allt från de vektorer som dominerar under en viss vecka till bankerna som bedragare är. använder för att acceptera betalningar. Privata företag avslöjar endast begränsad information om intrång på deras webbplatser eller skadliga länkar i deras nätverk. Det finns förvånansvärt mindre information i branschen än man kan tro, säger Michael Barrett, säkerhetschef på nätbetaltjänsten PayPal.
Det beror delvis på att att ha proprietär information om skadlig programvara ger en konkurrensfördel för Internetsäkerhetsföretag. Det måste bli mer av en gemenskapsdelning, vilket säkerhetsbranschen inte är van vid att göra, säger Philippe Courtot, vd för Qualys, ett säkerhetsföretag. Eftersom inget företag kan ha en fullständig bild av attackerna och sårbarheterna, kan bara en bredare och samhällsdriven insats lösa problemet.
StopBadware arbetar på en dellösning: ett rapporteringssystem till vilket man hoppas att en kritisk massa av internetföretag ska bidra med rapporter om infekterade webbplatser. Det kommer att kontrollera rapporter för noggrannhet, skicka informationen till webbhotellföretag så att de kan ta ner sajterna och publicera vilka webbhotell som inte slår ner. Ökat tryck på dessa företag skulle kunna tvinga brottslingarna att ändra taktik och lägga till kostnader för dem.
Ett annat sätt att krångla till brottslingarna kan vara att närmare granska de banker som hanterar deras kreditkortsbetalningar. Savage menar att kreditkortsföretag och brottsbekämpande myndigheter inte behöver rikta in sig på många banker för att få stor inverkan. Han och kollegor studerade nyligen ett slumpmässigt urval av 120 produkter som annonserades via spam och fastställde att 95 procent av deras försäljning gick via bara tre banker, i Azerbajdzjan, Lettland och St. Kitts och Nevis, Västindien. Savage tror att en studie av betalningar för falska antivirusprogram skulle ge jämförbara resultat.
Samtidigt, när som helst, åtminstone flera hundra tusen webbplatser— känd sådana – distribuerar skadlig programvara genom falska antivirus och andra bedrägerier. Brottslingarna gör ett bättre jobb med att koordinera sitt brott än de bra killarna gör med att koordinera vårt försvar, säger Weinstein. Det betyder de falska blinkande varningarna— Din dator är infekterad! — i allt högre grad återspegla sanningen.
David Talbot är Teknikgranskning ’s chefskorrespondent.
