Sobota, 21. 10. 2023, 22.26
1 leto, 1 mesec
Pozor: nevarna goljufija, ki je ukanila celo Google
V rezultatih iskanja na Googlu se je pojavil oglas, ki je bil v resnici kanal za prenos računalniškega virusa, a tako dobro zamaskiran, da ga Googlov algoritem za zaznavanje groženj ni zaznal. Nad premetenostjo tistih, ki so ga vrinili na Google, so se čudili celo strokovnjaki za informacijsko varnost, ki so ga odkrili.
Uporabniki, ki so v preteklih dneh na Googlu iskali KeePass, zelo priljubljen odprtokodni upravitelj gesel, so lahko na vrhu seznama rezultatov iskanja občasno videli sponzorirano vsebino – oglas za KeePass. Povezava in opis sta bila na las podobna resničnemu zadetku iskanja za KeePass.
Zgoraj zlonamerna sponzorirana vsebina, spodaj prava povezava.
Klik na sponzorirano povezavo je uporabnika preusmeril na spletno stran keepass.info, ki je bila na las podobna resnični. Kdor jo je kdaj že obiskal, bi morda opazil razliko, kdor je še ni, pa na tej točki skoraj zagotovo ne bi slutil, da je kaj narobe.
Če bi s te spletne strani prenesli namestitveno datoteko za upravitelja gesel KeePass in jo pognali, bi na računalnik gratis dobili še zlonamerno kodo iz družine zlonamernih programov FakeBat. S tem bi akterjem v ozadju na široko odprli vrata do nadaljnjih zlorab, saj bi lahko na naš računalnik na daljavo nameščali druge viruse, trojanske konje in druge zlonamerne programe, prestrezali naš internetni program in podobno.
Prebrisan trik
Kot so izpostavili v podjetju Malwarebytes, ki je razkrinkalo nevarno sponzorirano povezavo na Googlu, je bila lažna domena keepass.info v brskalniku videti enako kot prava, a je bila zapisana drugače – z uporabo t. i. Punycode, različice vsesplošno sprejetega standarda za kodiranje znakov Unicode.
Primerjava: pretvorba besedila iz Punycode v Unicode oziroma običajno besedilo.
Internetni naslov keepass.info, ki so ga tako uporabniki kot Google videli zapisanega v spletnem brskalniku, je bil torej zapisan v formatu Punycode, v resnici pa je šlo za domeno xn--eepass-vbb.info, so pojasnili pri Malwarebytes (vir).
Izpostavili so še, da gre za tako rekoč nezaznavno metodo prepričevanja potencialnih žrtev kibernetskih napadov, da so na legitimni spletni strani. Vse, kar je na lažni domeni razkrivalo, da je nekaj narobe, je bila neobičajna pika pod črko k v imenu domene, a gre za podrobnost, ki jo je zelo težko opaziti.
K, ki razkriva, da ne gre za pravo domeno. Pri Malwarebytes so še opozorili, da internetni goljufi in hekerji Punycode uporabljajo že leta, a njihove tehnike postajajo vse bolj sofisticirane, še posebej v kombinaciji s prepoznavnimi znamkami.
Uporabnike so pozvali, naj bodo resnično izjemno pozorni, s katerih spletnih strani nameščajo računalniške programe. Vselej jih je najvarneje poiskati tako, da spletni naslov razvijalca programa ali pa gonilnika za strojno opremo vpišemo neposredno v naslovno vrstico brskalnika.