Лжеантивирус (scareware) — это мошенническая схема или вредоносное программное обеспечение, которое отображает фальшивые предупреждения о вирусах или срочные оповещения, чтобы заставить вас поверить в заражение вашего устройства, а затем заплатить за поддельные инструменты безопасности или предоставить персональные данные.
Содержание
Как работает лжеантивирус?
Лжеантивирус выводит обманные предупреждения о том, что устройство якобы заражено или подвержено риску и действовать нужно немедленно. Испуганный пользователь загружает ненужное программное обеспечение, платит за поддельные услуги или раскрывает чувствительную информацию.
Типичная атака с использованием лжеантивируса происходит следующим образом:
На скомпрометированном сайте или через вредоносную рекламу возникает всплывающее окно.
Оно имитирует настоящие предупреждения о безопасности от Windows, macOS или известных антивирусных программ.Фальшивые сканирования или предупреждения показывают преувеличенные результаты заражения.
Цель — убедить пользователя в том, что устройство взломано и нужно срочно принять меры.Пользователя призывают действовать немедленно.
Ему предлагается установить программное обеспечение, приобрести инструмент для очистки или позвонить на горячую линию поддержки.Жертву заставляют заплатить за программу или предоставить доступ.
Программы обычно бывают бесполезными, а удаленный доступ может привести к установке вредоносных программ или краже данных.
Программы обычно бывают бесполезными, а удаленный доступ может привести к установке вредоносных программ или краже данных.
В отличие от традиционных вредоносных программ, которые стараются остаться незамеченными, лжеантивирус бросается в глаза и вызывает тревогу, полагаясь скорее на психологические манипуляции, чем на технические средства.
Лжеантивирус — это тактика социальной инженерии, с помощью которой злоумышленники манипулируют человеческими эмоциями для достижения своей цели. Они пугают жертв и побуждают их действовать быстро, чтобы она потеряли бдительность и допустили ошибку.
Такой подход эффективен, потому что:
Пользователи по умолчанию доверяют системным уведомлениям.
Спешка (из-за предупреждений с обратным отсчетом) мешает все обдумать.
Жертвы добровольно обходят меры безопасности под давлением.
Типичные примеры лжеантивируса
Поддельные системные оповещения
Всплывающие окна, в которых утверждается, что ваше устройство заражено или подвержено серьезному риску, — это одна из самых распространенных тактик лжеантивирусов. Пугающие формулировки и значки тревоги, похожие на подлинные предупреждения операционной системы, заставляют вас нажать на кнопку, чтобы решить проблему.
Имитация сканирования антивируса
Иногда лжеантивирус имитирует сканирование антивируса и сообщает о нескольких «критических заражениях». Эти оповещения выглядят настоящими и для достоверности даже включают индикаторы прогресса и списки файлов.
Предупреждения в браузере или программе
Лжеантивирус часто имитирует оповещения от браузеров или доверенных программ, утверждая, что ваше приложение устарело или повреждено. Жертвам предлагается загрузить «обновления», которые на самом деле являются ненужными инструментами или вредоносными программами.
Запросы от технической поддержки
Иногда лжеантивирус предлагает пользователю позвонить в службу поддержки. Эти оповещения часто содержат известные логотипы и названия, поэтому жертва уверена, что общается с подлинной службой.
Уведомления по электронной почте
Иногда пользователь получает электронное письмо якобы от поставщика услуг или платформы. В нем говорится о подозрительной активности в учетной записи или о блокировке и предлагается перейти по ссылке, которая ведет на мошеннический сайт.
Реальные примеры лжеантивирусов
Зависание браузера и поддельная техподдержка (2019–2020 гг.)
Trend Micro обнаружила группы мошенников из «техподдержки», которые с помощью HTML iframe блокировали такие браузеры, как Chrome и Edge. Жертвы видели сообщения: «Windows обнаружила подозрительную активность! Позвоните в службу поддержки Microsoft». Звоня в офшорные колл-центры и общаясь якобы с техническими специалистами, пользователи платили от 100 до 500 фунтов стерлингов за поддельные услуги, а иногда на их устройства устанавливалось шпионское ПО.
Всплывающие окна, распространяющие вредоносные программы, ботнеты и криптомайнеры (2018 г.)
В 2018 году Trend Micro отследила волну вредоносных сайтов — более 100 доменов — которые выводили всплывающие окна о критическом заражении в стиле лжеантивирусов. В отличие от традиционных лжеантивирусов, использующихся для выманивания денег, эти атаки применяли гибридный подход: при нажатии на оповещение устанавливались вредоносные загрузчики, которые развертывали ботнеты, криптомайнеры и, в некоторых случаях, программы-вымогатели. Эти кампании показали, как тактика запугивания помогает внедрять в системы вредоносный код.
Схемы с поисковой оптимизацией и социальными сетями (2019 г.)
Преступная группировка из Южной Азии путем злоупотребления поисковой оптимизацией и фальшивой рекламы на Facebook направляла пользователей на сайты, где отображались поддельные информационные панели и бесплатные номера «службы поддержки», операторы которой исполняли мошеннические скрипты и устанавливали шпионское ПО.
Почему лжеантивирусы по-прежнему так эффективны?
Лжеантивирусы представляют угрозу для организаций из-за применяемых методов работы и растущей поверхности атаки. Даже при наличии политик безопасности сотрудники и ИТ-среды часто представляют собой уязвимости, которыми пользуются злоумышленники.
Ключевые факторы:
Модели удаленной и гибридной работы.
Сотрудники часто используют личные устройства или небезопасные сети, плохо защищенные от вредоносной рекламы и скомпрометированных сайтов.Многообразие программ и несвоевременные исправления.
Множество приложений и расширений браузеров в системах создают больше возможностей для лжеантивирусов.Усталость от оповещений.
Сотрудники, привыкшие к всплывающим окнам или уведомлениям о безопасности, могут игнорировать или неправильно интерпретировать настоящие и вредоносные предупреждения.Отсутствие обучения по кибербезопасности.
Без регулярных программ повышения осведомленности персонал может не распознавать тактику запугивания или неправильно на нее среагировать.Слишком много разрешений.
В некоторых средах пользователи имеют права локального администратора, что упрощает установку несанкционированного программного обеспечения при появлении поддельных оповещений.
Сравнение лжеантивируса с другими типами вредоносных программ
Тип
Основная тактика
Цель
Лжеантивирус
Поддельные оповещения, срочные предупреждения
Платежи за фиктивные услуги
Законы против лжеантивирусов
Лжеантивирусы обычно относятся к категории обмана потребителей, но также могут подпадать под действие более широкого законодательства о мошенничестве и киберпреступности. В Великобритании они могут нарушать Закон о мошенничестве 2006 года и торговые стандарты в связи с вводящими в заблуждение заявлениями и недобросовестными коммерческими практиками. По всему миру действуют законы о борьбе с мошенничеством с использованием электронных средств.
Как защититься от лжеантивирусов
Рекомендации для пользователей
Игнорируйте всплывающие окна с сообщениями о заражениях или проблемах в системе.
Обновляйте браузеры и плагины, чтобы блокировать вредоносные скрипты.
Загружайте инструменты безопасности только от надежных поставщиков.
Защита бизнеса
Проводите обучение о социальной инженерии и лжеантивирусах.
Используйте фильтры для электронной почты и веб-трафика для блокировки подозрительных сайтов.
Разверните решение для безопасности конечных точек с контролем приложений для предотвращения несанкционированного программного обеспечения.
Где найти помощь с лжеантивирусами?
TrendAI Vision One™ помогает обнаруживать, блокировать и устранять угрозы до того, как они повлияют на работу, используя следующие возможности:
Безопасность электронной почты для остановки фишинга и вредоносных ссылок.
Безопасность конечных точек с контролем приложений и изолированной средой.
XDR для корреляции угроз в электронной почте, конечных точках, сетях и облачных системах.
Защитите свой бизнес с помощью современных средств предотвращения атак с применением социальной инженерии.
Часто задаваемые вопросы
Что такое лжеантивирус простыми словами?
Лжеантивирус — это поддельное программное обеспечение безопасности или всплывающие окна, которые пытаются запугать вас, чтобы заставить купить ненужные инструменты или раскрыть личную информацию. Жертве кажется, что компьютер заражен, хотя на самом деле это не так.
Как лжеантивирус обманывает людей?
Лжеантивирус использует срочные предупреждения, фальшивые сканирования вирусов и официальные логотипы, чтобы убедить жертву в опасности. Тактика запугивания заставляет людей переходить по ссылкам, устанавливать вредоносные программы или платить за фиктивные исправления.
Может ли лжеантивирус навредить моему компьютеру?
Да. Некоторые лжеантивирусы пытаются выманить у вас деньги, а другие устанавливают шпионские программы, программы нежелательного показа рекламы или даже программы-вымогатели.
В чем разница между лжеантивирусами и программами-вымогателями?
Лжеантивирус запугивает вас, вынуждая платить за поддельные услуги. Программы-вымогатели фактически блокируют или шифруют файлы и требуют выкуп для восстановления доступа.
Как защитить свой бизнес от лжеантивирусов?
Учите сотрудников распознавать подозрительные всплывающие окна и электронные письма, обновляйте системы и используйте инструменты безопасности конечных точек, которые блокируют несанкционированное программное обеспечение и обнаруживают вредоносную активность.
Являются ли лжеантивирусы незаконными?
Во многих странах лжеантивирусы запрещены законами о мошенничестве или обмане потребителей. Например, в Великобритании действует Закон о мошенничестве 2006 года.
Лжеантивирус и социальная инженерия