Корпорация Symantec обнародовала результаты проведенного ею исследования проблемы фальшивых антивирусов (Report on Rogue Security Software). Полученные за 12 месяцев (с июля 2008 г. по июнь 2009 г.) данные показывают, что злоумышленники все чаще применяют тактику запугивания, используя поддельные оповещения системы безопасности (Rogue Security Software). Вредоносные программы этого типа, известные также под названием scareware, отображают ложные предупреждения о заражении вирусом в надежде испугать пользователя и вынудить его скачать поддельный антивирус. Как минимум поддельные антивирусы бесполезны, а как максимум могут установить на компьютер вредоносный код или снизить общий уровень безопасности системы. Пятерка самых известных поддельных антивирусов, по данным Symantec, такова: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure и XP AntiVirus.

Мошенники размещают на сайтах рекламу, играющую на страхе пользователя перед компьютерными угрозами, вынуждая людей загрузить фальшивые программы. Как правило, тексты таких реклам гласят: «Если вы видите эту надпись, значит ваш компьютер подвергается угрозе заражения вирусом». Далее пользователю предлагается перейти по ссылке, чтобы проверить компьютер или загрузить программу для удаления «вируса». Согласно исследованию, 93% установленных фальшивых антивирусов 50 самых распространенных наименований были сознательно загружены самими пользователями под воздействием мошеннической рекламы. А всего с июня 2009 г. специалисты Symantec обнаружили 250 различных поддельных программ, якобы предназначенных для обеспечения безопасности.

Чтобы побудить пользователей к загрузке поддельных антивирусов, применяются тактика запугивания и методы социотехники. Фальшивые средства антивирусной защиты рекламируются различными способами, в том числе через вредоносные и даже легальные сайты: блоги, форумы, социальные сети, сайты «только для взрослых». Даже легальные сайты, не имеющие никакой связи с мошенниками, иногда демонстрируют информацию об их ПО в качестве рекламы. Ссылки на Интернет-ресурсы, где предлагаются для загрузки поддельные антивирусы, могут (при определенных усилиях со стороны их распространителей) появляться среди наиболее релевантных результатов в поисковых системах.

Стараясь исключить подозрения со стороны пользователей, разработчики фальшивых антивирусных средств придают своим программам заслуживающий доверия интерфейс. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через сайты, которые внешне не вызывают никаких опасений. Некоторые мошеннические сайты содержат вполне реальные системы онлайн-оплаты кредитными карточками, а жертвам направляются электронные сообщения о поступлении платежа, в которых также содержится информация о серийном номере продукта и коде сервисного обслуживания.

Первоначальные финансовые потери тех, кто загружает фальшивые программы, колеблются от 30 до 100 долл. Однако сопровождающая мошенническую операцию кража данных может привести к куда более значительным потерям. Злоумышленники могут не только обманом выманить деньги за бесполезные программы, но и похитить персональные данные пользователя, в том числе информацию о его кредитной карте, с тем чтобы продать эти данные на черном рынке.

Некоторые поддельные программы устанавливают в системе вредоносный код, который делает ее уязвимой для других угроз. Например, некоторые из этих программ требуют от пользователя понизить действующий уровень безопасности, после чего регистрируют в системе поддельное ПО или блокируют доступ к сайтам производителей настоящих антивирусов.

Киберпреступники организовали систему оплаты по достигнутым результатам, поэтому агенты, которые предлагают поддельные средства антивирусной защиты, напрямую заинтересованы в обмане как можно большего числа людей. Согласно исследованию, десять наиболее успешных распространителей фальшивых антивирусов с сайта TrafficConverter.biz за 12 месяцев наблюдения за ними в среднем зарабатывали на ничего не подозревающих пользователях 23 тыс. долларов в неделю.

Широко практикуется система оплаты распространителям «за клик». Деньги отчисляются за каждый переход пользователя с маркетинговой страницы партнера на сайт с фальшивым ПО. В рамках такой модели партнеры-распространители получают от 1 до 55 центов за каждую установку продукта пользователями. Наибольшая сумма переводится владельцу маркетинговой страницы, если обманутый пользователь находится в США, далее следуют Великобритания, Канада и Австралия.

Для защиты от фальшивых антивирусов компания Symantec, помимо использования новых версий решений для компьютерной безопасности, рекомендует следующее:

  • старайтесь не переходить по ссылкам, которые содержатся в электронных письмах, они могут вести на мошеннические веб-сайты. Вместо этого вручную набирайте адреса известных, уважаемых сайтов;
  • никогда не просматривайте и не открывайте содержимое вложений к подозрительным электронным письмам. Относитесь с осторожностью ко всем электронным письмам, в которых вы не являетесь непосредственным адресатом;
  • остерегайтесь всплывающих окон и рекламных баннеров, которые имитируют системные сообщения. Это первый признак того, что вас пытаются заманить на сайты с вредоносными программами.