Nazaj na Siol.net

TELEKOM SLOVENIJE

Matic Tomšič

Sobota,
21. 10. 2023,
22.26

Osveženo pred

1 leto

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue Green 4,77

Natisni članek

Natisni članek

Varnost na spletu Varen splet Google

Sobota, 21. 10. 2023, 22.26

1 leto

Pozor: nevarna goljufija, ki je ukanila celo Google

Matic Tomšič

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue Green 4,77
Google, Google Iskanje | Strokovnjaki za informacijsko varnost opozarjajo, da je opisan tip goljufije izredno težko prepoznati, hekerji pa v svojih prizadevanjih postajajo vse bolj sofisticirani. | Foto Shutterstock

Strokovnjaki za informacijsko varnost opozarjajo, da je opisan tip goljufije izredno težko prepoznati, hekerji pa v svojih prizadevanjih postajajo vse bolj sofisticirani.

Foto: Shutterstock

V rezultatih iskanja na Googlu se je pojavil oglas, ki je bil v resnici kanal za prenos računalniškega virusa, a tako dobro zamaskiran, da ga Googlov algoritem za zaznavanje groženj ni zaznal. Nad premetenostjo tistih, ki so ga vrinili na Google, so se čudili celo strokovnjaki za informacijsko varnost, ki so ga odkrili.

Uporabniki, ki so v preteklih dneh na Googlu iskali KeePass, zelo priljubljen odprtokodni upravitelj gesel, so lahko na vrhu seznama rezultatov iskanja občasno videli sponzorirano vsebino – oglas za KeePass. Povezava in opis sta bila na las podobna resničnemu zadetku iskanja za KeePass.

Zgoraj zlonamerna sponzorirana vsebina, spodaj prava povezava. | Foto: malwarebytes.com Zgoraj zlonamerna sponzorirana vsebina, spodaj prava povezava. Foto: malwarebytes.com

Klik na sponzorirano povezavo je uporabnika preusmeril na spletno stran keepass.info, ki je bila na las podobna resnični. Kdor jo je kdaj že obiskal, bi morda opazil razliko, kdor je še ni, pa na tej točki skoraj zagotovo ne bi slutil, da je kaj narobe. 

Če bi s te spletne strani prenesli namestitveno datoteko za upravitelja gesel KeePass in jo pognali, bi na računalnik gratis dobili še zlonamerno kodo iz družine zlonamernih programov FakeBat. S tem bi akterjem v ozadju na široko odprli vrata do nadaljnjih zlorab, saj bi lahko na naš računalnik na daljavo nameščali druge viruse, trojanske konje in druge zlonamerne programe, prestrezali naš internetni program in podobno.

Prebrisan trik

Kot so izpostavili v podjetju Malwarebytes, ki je razkrinkalo nevarno sponzorirano povezavo na Googlu, je bila lažna domena keepass.info v brskalniku videti enako kot prava, a je bila zapisana drugače – z uporabo t. i. Punycode, različice vsesplošno sprejetega standarda za kodiranje znakov Unicode.

Primerjava: pretvorba besedila iz Punycode v Unicode oziroma običajno besedilo. | Foto: malwarebytes.com Primerjava: pretvorba besedila iz Punycode v Unicode oziroma običajno besedilo. Foto: malwarebytes.com

Internetni naslov keepass.info, ki so ga tako uporabniki kot Google videli zapisanega v spletnem brskalniku, je bil torej zapisan v formatu Punycode, v resnici pa je šlo za domeno xn--eepass-vbb.info, so pojasnili pri Malwarebytes (vir).

Izpostavili so še, da gre za tako rekoč nezaznavno metodo prepričevanja potencialnih žrtev kibernetskih napadov, da so na legitimni spletni strani. Vse, kar je na lažni domeni razkrivalo, da je nekaj narobe, je bila neobičajna pika pod črko k v imenu domene, a gre za podrobnost, ki jo je zelo težko opaziti.

K, ki razkriva, da ne gre za pravo domeno. | Foto: malwarebytes.com K, ki razkriva, da ne gre za pravo domeno. Foto: malwarebytes.com Pri Malwarebytes so še opozorili, da internetni goljufi in hekerji Punycode uporabljajo že leta, a njihove tehnike postajajo vse bolj sofisticirane, še posebej v kombinaciji s prepoznavnimi znamkami.

Uporabnike so pozvali, naj bodo resnično izjemno pozorni, s katerih spletnih strani nameščajo računalniške programe. Vselej jih je najvarneje poiskati tako, da spletni naslov razvijalca programa ali pa gonilnika za strojno opremo vpišemo neposredno v naslovno vrstico brskalnika.

Ne spreglejte