Scareware, czyli fałszywe alerty bezpieczeństwa

Inżynieria społeczna to nieodłączny element wielu rodzajów cyberataków. Bazuje na ludzkiej emocjonalności i schematach zachowań, których znajomość umożliwia skuteczną manipulację potencjalnymi ofiarami. Ataki typu scareware są tego doskonałym przykładem – użytkownik w stanie paniki jest bardziej skłonny do podejmowania nieprzemyślanych i ryzykownych decyzji, takich jak instalacja nieznanej mu aplikacji.

Narzędzia typu scareware umożliwiają generowanie fałszywych alertów bezpieczeństwa, które zazwyczaj zawierają link do oprogramowania, którego instalacja ma rozwiązać rzekomy problem. W rzeczywistości jednak to właśnie ono jest źródłem zagrożenia, a jego pobranie zapoczątkuje faktyczną infekcję urządzenia złośliwym kodem.

Sukces ataku typu scareware zależy od tego, jak bardzo przestraszy się ofiara. Z tego powodu jednym z najważniejszych jego elementów jest presja czasu. Atakujący będzie próbował przekonać ofiarę, że wykryte na jej urządzeniu zagrożenie jest niezwykle poważne i wymaga natychmiastowej reakcji w postaci instalacji wskazanego programu.

Inną metodą presji na użytkownika jest przedstawienie mu wyników fikcyjnego skanowania systemu, o których jest on informowany za pośrednictwem wyskakujących okien. Komunikaty te charakteryzują się szczególnie niepokojącym i dramatycznym tonem – mogą zawiadamiać o wykryciu nawet do kilkuset wariantów złośliwego oprogramowania. Informacja ta nie jest jednak prawdziwa.

Użytkownicy muszą zdawać sobie sprawę, że ich lęk jest narzędziem w rękach cyberprzestępcy. W związku z tym każdy komunikat, który kładzie nacisk na tempo, w jakim mieliby wykonać jakieś działanie lub alert o niezwykle poważnym, niemalże nieprawdopodobnym zagrożeniu, powinny wzbudzać ich czujność, a nie panikę – wyjaśnia Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

Źródeł infekcji scareware jest wiele – użytkownik może pobrać to oprogramowanie samodzielnie, nie wiedząc, że jest ono częścią np. interesującego go pakietu plików. Może ono także zostać mu wysłane w załączniku wiadomości mailowej lub zainstalowane samoistnie po wizycie na złośliwej stronie internetowej.

W sytuacji natknięcia się na charakterystyczne dla ataku scareware wyskakujące okna, należy zachować świadomość, że samo ich zamknięcie nie jest wystarczające (nigdy też nie należy klikać w znajdujący się w takim oknie przycisk „pobierz”). Ponadto, usuwanie tego typu treści z ekranu nierzadko bywa utrudniane. Zdarza się, że przycisk służący do zamknięcia okna celowo zostaje umieszczony w takim miejscu, aby użytkownik nie mógł go znaleźć. Możliwa jest również sytuacja, w której zamknięcie jednego fałszywego alertu skutkuje wygenerowaniem kolejnych.

Jeśli twórca złośliwej aplikacji utrudnia albo blokuje możliwość zamknięcia okna (lub całej przeglądarki), wówczas należy zamknąć proces odpowiedzialny za wyświetlanie się takiego okna w menedżerze zadań, do którego wejść można za pomocą skrótu Ctrl + Alt + Delete w systemie Windows oraz Command + Option + Escape na urządzeniach z systemem macOS.

Warto rozważyć stosowanie narzędzi blokujących wyskakujące okienka „pop-up blocker” oraz filtrów URL, aby uniknąć wiadomości zawierających fałszywe lub złośliwe oprogramowanie. Rozprzestrzenianie ataków typu scareware można też powstrzymać przez klasyczne zaktualizowane oprogramowanie antywirusowe i zapory sieciowe.

 
(źr. Fortinet)