Bezpieczeństwo w sieci

Instalowaliście ostatnio AdBlocka Plus? Możecie mieć naprawdę spory problem...

Jakub Szczęsny
Instalowaliście ostatnio AdBlocka Plus? Możecie mieć naprawdę spory problem...
13

Jak wielka jest pomysłowość cyberprzestępców wiadomo od dawna. Nie trzeba mnożyć przykładów, aby tę tezę potwierdzić - wystarczy wspomnieć ostatnią aferę ze złośliwymi reklamami rozsiewanymi przez platformy ich dystrybucji, które... kopały kryptowaluty na komputerach czytelników. Wektor ataku Petya również był niezwykle ciekawy - zaatakowano serwer dystrybucji aktualizacji pakietu biurowego M.E. Doc. Co tym razem się stało? W zręczny sposób zainfekowano prawie 40000 maszyn na całym świecie.

Fałszywym rozszerzeniem dla Google Chrome o nazwie... AdBlock Plus

Tak właśnie. W Chrome Web Store pojawiła się łudząco podobna wtyczka dla najpopularniejszej obecnie przeglądarki internetowej, która w założeniach jej twórców miała nie wspomagać internautów w tworzeniu reklam, ale zwyczajnie wykonywać złośliwe operacje. W przypadku niebezpiecznej wersji "AdBlocka", oprogramowanie skupiało się na nagłym otwieraniu nowych zakładek z treścią niewywoływaną przez użytkownika. Nie wiadomo dokładnie, jakie jeszcze mechanizmy zaszyto w tym rozszerzeniu, ale z pewnością nie były one przyjazne dla jego posiadaczy. Ze względu na ogromne podobieństwo do niezwykle popularnego, oryginalnego programu AdBlock Plus, cyberprzestępcom udało się zainfekować prawie 40 000 maszyn na całym świecie. Sporo, prawda?

Jak to się stało, że Google nie zauważyło nieprawidłowości w tym rozszerzeniu?!

To bardzo ważne pytanie z punktu widzenia tej sytuacji. Zbierzmy fakty: dodatek był łudząco podobny do oryginalnego AdBlocka Plus. Korzystał z takiej samej identyfikacji wizualnej. Użytkownicy po opublikowaniu programu zgłaszali pewne nieprawidłowości. Co poszło nie tak? Otóż to, że do Chrome Web Store wrzuca się naprawdę masę treści i nad tym nie ślęczy człowiek, który skrupulatnie sprawdza każdą wtyczkę. W większości przypadków bowiem wystarczy "automat", który jest w stanie wyłapać pewne nieprawidłowości. Jeżeli takowe zostaną odkryte, do gry wkracza człowiek i podejmuje ostateczną decyzję, co dalej.

Cyberprzestępcy musieli być świetnie zorientowani w owych mechanizmach. Jak doszło do tego, że udało się opublikować rozszerzenie o takiej samej nazwie? Otóż, bardzo możliwe, że w ID umieszczono łudząco podobne do tych "naszych", znaki z cyrylicy, które są traktowane przez maszyny jak odrębne symbole. A zatem, udało się ominąć typowe zabezpieczenia zapobiegające publikowaniu dwóch różnych wtyczek z takimi samymi nazwami. Umieszczenie takowego znaku ponadto oszukało automaty, które nie wykryły podobieństw i pozwoliły przejść twórcom dalej.

Problem również w tym, że użytkownicy bardzo słabo weryfikują instalowane przez siebie programy

Niektórzy bardzo mylnie wychodzą z założenia, że skoro poruszamy się po certyfikowanym sklepie, raczej nic nam nie grozi. A przecież tak niewiele trzeba, aby zweryfikować, czy rzeczywiście instalujemy godny zaufania kawałek kodu. Właściwie zawsze, gdy instalujemy nową rzecz powinniśmy sprawdzać opinie na jej temat. Podejrzane działanie programu jest z reguły szybko zauważane przez użytkowników, którzy chętnie dzielą się takimi spostrzeżeniami. W niektórych przypadkach możemy dzięki temu uniknąć kradzieży naszych danych, albo stania się częścią infrastruktury kopiącej kryptowaluty. Uważajcie!

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu