Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Naiwność internautów nie zna granic (metoda na fałszywy ekran BSoD i pomoc techniczną)
Zaawansowany malware, botnety, zuchwałe kradzieże danych, skimmery i kryptograficzny szantaż — wszystko to przynosi komputerowym przestępcom ogromne zyski. Jak się jednak okazuje, dzięki temu że ludzka naiwność nie zna granic, grube miliony można również zarobić na atakach niezwykle prostych do wykonania…
BSoD i fałszywa pomoc techniczna
Choć bardziej świadomym internautom będzie trudno w to uwierzyć, to jednak miliony USD zarabiają w Internecie strony symulujące złowróżbny efekt Blue Screen of Death.
Co prawda najnowsze wersje systemów Windows znacznie rzadziej ulegają poważnym awariom zakończonym BSoD, jednak praktycznie wszyscy użytkownicy Windowsa dobrze znają negatywne emocje towarzyszące niesławnemu niebieskiemu komunikatowi.
Na tym właśnie bazują komputerowi przestępcy, którzy za pomocą prostych stron symulujących efekt BSoD zarabiają na ludzkiej naiwności. Przykładami takich witryn są m.in.:
- hxxp://bluescreenalert.com/
- hxxp://bluescreenerrors.net/
Po odwiedzeniu tego typu strony internauci są nachalnymi komunikatami zachęcani do skorzystania z „darmowego” numeru pomocy technicznej. Oczywiście wybranie numeru wiąże się z bardzo wysokimi opłatami. Ale to nie wszystko — operatorzy fałszywych helpdesków próbują dodatkowo wyciągnąć od swych ofiar dane personalne oraz dane kart płatniczych, by ostatecznie móc dokonać jeszcze większej kradzieży…
W jaki sposób oszuści wabią swe ofiary? Najczęściej poprzez zmanipulowane wyniki lub reklamy w wyszukiwarkach, które udając popularne serwisy ostatecznie przekierowują na fałszywe ekrany BSoD…
Nieco bardziej zaawansowaną formę wyłudzenia z wykorzystaniem BSoD i płatnego numeru pomocy technicznej stanowi malware, który działa w podobny sposób do powyższych stron internetowych. W tym wypadku ekran błędu może być jednak nawet jeszcze bardziej wiarygodnie odwzorowany:
Naiwność internautów nie zna granic?
Statystki są przerażające. Jak oszacował Microsoft, tylko w tym roku w USA ponad 3 miliony internautów padną ofiarą tego typu wyłudzeń, a zyski przestępców z tytułu takiej działalności przekroczą miliard USD! Od maja 2014 Microsoft zarejestrował w tego typu sprawach 175 tys. zgłoszeń, skala całego procederu jest więc rzeczywiście ogromna…
— Wojciech Smol
Nie naiwność tylko głupota.
Moim skromnym zdaniem powinniśmy jako społeczeństwo przestać coraz bardziej pochylać się nad losem zwykłych kretynów i debili, którzy się na takie rzeczy łapią. To przecież coś w stylu naturalnej selekcji, a ofiary same są sobie winne. Piszę tak, ponieważ w ostatnich latach coraz częściej widzę ten płaczliwy ton pełen troski (który niczego nie naprawia, nie uczy ani nie ostrzega) w mediach i newsach – i szczerze mówiąc przeraża mnie to. Od myślenia jest mózg, jak ktoś go nie posiada to TRUDNO. Nie da się za kogoś przeżyć jego życia albo przed wszystkim ochronić.
Powinniśmy tych ludzi edukować, a nie ignorować to, że są narażeni na ataki i stwierdzać z wyższością, że kretyni, bo się łapią na takie rzeczy. Sam fakt, że ktoś ma mniejszą świadomość zagrożeń elektronicznych albo ogólnie niezbyt wysoki poziom umiejętności obsługi komputera jeszcze nie czyni z niego idioty. Może być świetnym specjalistą w swoim fachu, niezwiązanym z komputerami. Edukacja, edukacja i jeszcze raz szkolenia.
@Dawid – od lat edukujemy i nic to nie daje, coraz więcej ludzi łapie się na oszustwa, coraz mniej ludzi używa mózgu zanim coś kliknie, zanim coś zrobi. Widocznie nie da się wyedukować kogoś, kto jest odporny na wiedzę. Skoro ktoś nie umie nauczyć się na cudzych błędach (wspomniane szkolenia, edukacja, ostrzeżenia), widocznie musi na własnych i do skutku. Osobiście nie jest mi żal takich osób i stwierdzam, że skoro na 100 osób edukacja działa pozytywnie na raptem 2-3, to widocznie nie tędy droga. Jak ktoś czuje się tym urażony, to sorry, ale skoro po szkoleniach na pilota czy zwykłe prawo jazdy niekumatych się odsiewa i uniemożliwia im jeżdżenie lub latanie, to nie rozumiem dlaczego to samo nie miałoby dotyczyć używania komputera i internetu.
@Monter,
Nie możemy przestać edukować tych ludzi z wielu powodów ale jeden z nich jest najważniejszy (z egoistycznego punktu widzenia): Ci sami ludzi pełnią nie rzadko ważną rolę w firmach, przez co stają się podatną częścią infrastruktury firmowej. Nie edukując ich sprawiamy że biznes jest bardziej podatny na ataki bardzo łatwe w przeprowadzeniu. W końcu jaki atak jest łatwiejszy niż phishing?
W teorii poprzez nie wydawanie „opornej” osoby prawa jazdy możesz ją zmusić do nie prowadzenia samochodu (pomijam przypadki że są ludzie którzy to olewają, ich sprawa). Natomiast nie możesz zmusić „opornych” ludzi do zaprzestania korzystania z komputera.
Poza tym nie edukując ludzi ułatwiamy ataki i to dość proste. A przecież trzeba za wszelką cenę zapobiegać generowaniu zysków z działalności przestępczej.
edukacja polega na GUPKOWATYCH programach TV, zakonczonych zazwyczaj:
„antywirus i automatyczny update”=super inteligentny user.
Ah, i nie wchodzic na niezaufane strony.
Słyszałem już gdzieś te teksty o naturalnej selekcji, gdzie to było, pamiętam, historia sie powtarza, 1939, słaba polska, robotnicy dobrzy, solidni, i Ci co chcieli być Panami!
To nie Onet i zapomniałeś też nawiązać do Bitwy pod Grunwaldem ;o)
Zgadzam się, jeżeli ktoś się nie zna to po to są sprzedawane antywirusy i aktualizowane żeby zapobiegać takim rzeczom, a jeśli ktoś nieznający się chce zaoszczędzić to płaci podwójnie
To może być twoja matka!
Ale numer! :-)
Nie ma to jak znać się na programowaniu wystarczy utworzyć proces który będzie procesem krytycznym uruchomiony z prawami administratora przy próbie zamknięcia go wyrzuci bluescreen
A nie zabawa w udawanie bluescreenów i wirusów za razem
I na pewno zmanipulowanie windowsowego bluescreena by wyświetlić numer helpdesku będzie prostsze niż zakodowanie swojego bluescreena. Takie ataki to SK robią, nikt z nich nie będzie dekompilował bibliotek windowsowych i wstrzykiwał kodu by było to bardziej realne. Czujesz zależność?
Fajny example jak zrobić prawdziwy BSOD z własnymi napisami hehe
http://rev3rsed.blogspot.com/2011/05/zrobmy-sobie-bsoda.html