大多数(如果不是全部)计算机用户在浏览网页时都遇到过假冒安全软件,其形式通常是弹出一个紧急窗口,警告用户“病毒扫描”发现了恶意软件。最早的假冒安全软件攻击造成的损害很小,只是骗取受害者用几美元购买无用的膨胀软件。如今,假冒安全软件已成为勒索软件等更严重网络威胁的载体。
假冒安全软件诈骗始于一条消息:欺骗性文本、网络钓鱼电子邮件,或者(最常见的是)浏览器弹出窗口。假冒安全软件消息的特点是使用恐吓策略,例如病毒威胁或法律诉讼,让受害者立即采取行动。
假冒安全软件弹出窗口可能会使用 Google 等真实公司的徽标,以显得真实合法。诈骗者还可能使用看似合法的 URL 和产品名称,例如“Mac Virus Defense”或“Windows Fixer”。一些诈骗者将弹出窗口伪装成来自设备操作系统的通知,闪烁诸如“安卓系统检测到问题!”之类的警告。其他诈骗者使他们的消息看起来像是来自真正的防病毒程序的报告,例如,“最近一次扫描在您的设备上发现了五个病毒。”
在恐吓受害者之后,假冒安全软件消息会为他们的“问题”提供“解决方案”。通常,骗子会指示受害者下载假冒的安全软件或支付费用。如果用户照做,可能会发生一些事情:
用户按照该消息访问诈骗网站,在那里输入信用卡信息来购买该软件。但不会向受害者提供软件,骗子意在窃取受害者的数据来实施身份盗窃。
一些骗子不是窃取数据,而是向用户收取软件费用,这个软件除了可能会减慢设备速度以外什么也做不了。
在最糟糕的情况下,假冒安全软件程序是携带恶意软件的特洛伊木马,例如秘密收集个人数据的间谍软件。
即使受害者不照诈骗者的指示操作,假冒安全软件也可能会进入他们的设备。一些黑客设计了弹出窗口,以便单击“关闭”按钮,即会启动隐蔽的偷渡式下载。
黑客可能会使用假冒安全软件策略来传播勒索软件,这是一种劫持设备或文件并索要赎金的恶意软件。说服受害者下载假冒的防病毒软件比闯入网络更容易。
一些假冒安全软件冒充勒索软件来勒索金钱。一种名为“ALC Ransomware”(ibm.com 外部链接)的假冒安全软件告诉受害者,他们的文件已被加密并要求其付款。实际上,没有任何东西是加密的。黑客寄希望于用户会因为害怕而无论如何都要汇款。
其他假冒安全软件程序本身也可能是一种勒索软件,因为它们可以使设备无法使用,直到它们的要求得到满足。假冒的防病毒程序可能会在设备中充斥着无休无止的弹出“警告”,除非用户付费“升级”软件,否则这些警告不会消失。
假冒安全软件诈骗有多种形式。一些最常见的策略包括:
伪造病毒诈骗:最常见的假冒安全软件借口欺诈使用弹出消息,警告用户他们的设备感染了恶意软件。这些弹出窗口可能看起来像来自防病毒软件的真实扫描报告。然后,骗子引导用户下载虚假安全软件,窃取他们的钱财或诱骗他们安装恶意软件。例如,假冒防病毒程序 SpySheriff 背后的诈骗者强迫用户付费删除不存在的恶意软件。
虚假技术支持:诈骗者冒充来自 Apple 或 Microsoft 等公司的支持人员。这些骗局通常以弹出窗口开始,指示受害者拨打电话号码寻求帮助,但有些骗子可能会突然给受害者打电话。一旦诈骗者接通电话,他们就会说服用户卸载真正的安全软件并授予诈骗者对其设备的远程访问权限。诈骗者从而窃取受害者的数据或安装恶意软件。
一些技术支持诈骗只是向受害者收取欺诈服务费用。2019 年 Office Depot 丑闻就是这种情况。Office Depot 员工对客户的计算机进行虚假扫描,并利用结果来销售客户不需要的维修服务。丑闻曝光后,FTC 责令 Office Depot 及其合作伙伴 Support.com 支付 3500 万美元的和解金。
恶意广告:恶意广告是一种网络攻击,黑客劫持合法广告(或合法广告空间,例如 Facebook 或 Google 搜索结果中的广告空间)以传播病毒。对于假冒安全软件,用户可能会在提供免费防病毒软件的网页上看到广告。因为它是广告而不是简略的弹出式窗口,用户可能更愿意点击它。
执法部门诈骗:网络罪犯冒充警察或联邦调查局。弹出窗口警告受害者,在他们的设备上发现了“非法材料”。如果受害者缴纳罚款,“问题”就会消失。为了施加额外的压力,这些弹出窗口可能会锁定屏幕,直到受害者付款。
一旦假冒安全软件感染了设备,删除它可能很困难。假冒安全软件程序可以禁用其他安全软件并隐藏程序文件,使它们更难以被检测出来。一些假冒的防病毒软件在被删除后会自行重新安装。
为防止假冒安全软件扎根,组织和用户可以考虑使用以下工具和方法:
网络安全意识培训:与其他社会工程策略一样,假冒安全软件对于觉察出攻击迹象的用户效果较差,例如洞察真正的防病毒通知和诈骗弹出广告之间的区别。
反恶意软件工具:合法的反恶意软件和杀毒软件可以阻止用户安装假冒安全软件。它们还可以帮助删除进入设备的假冒安全软件。由于某些诈骗会说服用户禁用防病毒软件,因此安全团队可能会限制用户对这些工具的权限。
网络安全工具:防火墙可以防止恶意流量到达用户的网络浏览器,而网址过滤器可以阻止用户访问诈骗网站。广告拦截器、弹出窗口阻止程序和垃圾邮件过滤器也可以阻止假冒安全软件消息的出现。
软件更新和补丁:与大多数网络威胁一样,假冒安全软件程序利用系统漏洞来感染设备。保持安全工具、网络浏览器和其他应用程序及时更新可以帮助防范恶意广告和偷渡式下载等策略。
捕捉其他软件无法捕捉的高级威胁。QRadar SIEM 利用分析和人工智能监控威胁情报、网络和用户行为异常,并优先处理需要立即关注和修复的问题。
如果没有强大、值得信赖的情报,您就无法获得所需的洞察力,从而对威胁采取迅速行动。相信 IBM 的全球安全情报专家和行业领先的分析,能够简化您的网络威胁平台并使其自动化。
检测出被恶意软件感染的设备,确定威胁的性质和潜在风险,在被恶意软件感染的设备访问您的网站时收到警报,并采取措施防止潜在的欺诈。