У вас обновлен браузер и все дополнения. Но на каком-то сайте вы увидели уведомление о заражении своего компьютера и установили рекомендуемую защитную программу. После чего та предложила вылечиться за деньги, причем в системе стало невозможно работать.
Нет, конечно, с вами такого произойти не могло! Ведь вы опытный пользователь, который никогда не попадется на такие примитивные уловки мошенников. А как насчет ваших близких, друзей и знакомых — они тоже такие опытные? А может быть, вы считаете, что достаточно просто установить им антивирус, чтобы застраховаться от таких угроз?
Кстати, вы сможете отличить поддельный антивирус Microsoft Security Essentials от настоящего?
На прошлой неделе моему брату разные знакомые привезли по компьютеру с фальшивыми защитными программами. Имевшиеся в системе бесплатные антивирусы от известных производителей оказались повержены более могучими поддельными собратьями.
Не секрет, что пользователи зачастую сами создают себе проблемы, устанавливая вредоносные программы, прячущиеся под маской легитимных приложений. Ситуация усугубляется тем, что во время установки фальшивки ведут себя прилично, не давая особого повода к ним придраться. И лишь потом они проявляют себя во всей дьявольской красе.
Почувствуйте себя… рыбой!
Фишинг (рыбалка, в буквальном переводе) – это сочетание приемов, с помощью которых злоумышленники стараются:
- завлечь вас на мошеннический сайт с целью выудить личную и финансовую информацию
- побудить вас к посещению зараженного ресурса, где эксплуатируются уязвимости браузеров и дополнений
- подсунуть вам замаскированную вредоносную программу, которая будет вымогать деньги или возьмет систему под свой контроль
Приведенный выше пример с фальшивым антивирусом – это классический фишинг. В качестве другого распространенного случая можно привести надстройки для просмотра видео. Помните огромную долю сайтов с порнографией и потоковым видео среди всех зараженных ресурсов? Там очень логично предлагать к загрузке какой-нибудь плеер. Хочешь бесплатной «клубнички»? Установи надстройку! И ставят :)
Да, оперативное обновление браузеров и дополнений помогает защититься от угроз типа drive-by download — скрытого выполнения вредоносного кода при посещении сайтов, но этого недостаточно.
Сочетая анти-фишинговый фильтр браузера с антивирусной или комплексной защитой, вы не только укрепляете оборону от выполнения вредоносных программ без вашего ведома, но и получаете дополнительную страховку от загрузки «зловредов» по недосмотру или непониманию.
Идеальная защитная тактика в Интернете – это никуда не ходить и ничего не запускать. Но это неимоверно скучно, поэтому создатели браузеров и защитных программ делят для вас сайты и файлы на хорошие и плохие. Противодействие фишингу в браузерах заключается в предупреждениях о:
- посещении неблагонадежных сайтов
- загрузке и запуску подозрительных файлов
Давайте посмотрим, как они реализованы в популярных браузерах.
Что скрывается за анти-фишинговой защитой Opera
Защита от фишинга в Opera с 2008 года строилась в сотрудничестве с компанией Haute Security. Сейчас в предложении сообщить о вредоносном сайте (ALT+ENTER) отображаются логотипы сервисов PhishTank и Netcraft (любопытно, что это окно не полностью локализовано). Эти сервисы защищают вас от посещения неблагонадежных сайтов.
В июле 2010 года, при выходе версии 10.60, компания объявила устами пресс-секретаря о сотрудничестве с AVG, и эту информацию распространили многие онлайн-издания. Но почему-то ни в описании защиты от фишинга, ни в блоге разработчиков, ни в списках изменения версий эти сведения не отражены (10.61 лишь скромно упоминает о переименовании элемента интерфейса). Компания AVG тоже никак не отметилась, хотя это событие достойно пресс-релиза.
При таком раскладе трудно понять, как работает защита, поэтому предположу, что каким-то образом интегрирован сервис LinkScanner, на который возложена блокировка загрузок вредоносных файлов.
Что же касается подхода, который используется в браузере Opera для сверки посещаемых вами сайтов с черным списком, то он имеет общие черты с реализацией в Chrome, Firefox и Safari, о которых и пойдет речь дальше.
Как Chrome, Firefox и Safari определяют зараженные сайты
Эти три браузера используют Safe Browsing API, открытый механизм получения информации о вредоносных сайтах, и вот как это работает на примере Google Chrome.
Поисковый движок Google служит источником для списков зараженных сайтов, которые компания хранит и обновляет у себя на серверах. По информации разработчиков, Chrome загружает и локально сохраняет обновленные списки в течение пяти минут после запуска, а затем с получасовыми интервалами. Это ускоряет проверку, т.к. не требуется посылать каждую посещаемую ссылку на сервер и ждать ответа.
Понятно, что ссылок в списках очень много, поэтому для ускорения загрузки и экономии трафика применяется хэширование ссылок по алгоритму SHA-256. При этом в список, загружаемый браузером, заносятся только первые 32 бита из 256. Все посещаемые вами ссылки хэшируются и сравниваются с данными в списке. Если обнаруживается совпадение по 32 битам, браузер отправляет запрос на сервер и получает в ответ все 256-битные хэши с этим совпадением. Получив список, Chrome сравнивает с ним полный хэш ссылки, и в случае полного совпадения выводит предупреждение.
В Firefox и Safari получение данных работает примерно также, но оно может отличаться объемами и частотой обновления. Обратите внимание, что этот механизм не дает Google возможности узнать, какие сайты вы посещаете. Компания не получает полный URL, а лишь первые 32-бита его хэша, при этом сравнение выполняется только на вашем компьютере.
Кстати, с 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же Safe Browsing API.
Вероятно, Firefox и Safari скоро последуют этому примеру.
Как работает репутация файлов в SmartScreen
Примечание об актуальности сведений в этом разделе. На момент публикации статьи нововведения появились в IE9, однако браузер в любом случае опирался на сервис SmartScreen. В Windows 10 сервис интегрирован в ОС, а логика его работы не претерпела глобальных изменений. Поэтому сведения в целом актуальны. Демо-страницы сервиса доступны по ссылке demo.smartscreen.msft.net.
Проверка ссылок появилась в фильтре SmartScreen с выходом IE7, а блокировку подозрительных файлов Microsoft внедрила в фильтр еще в IE8, так что в этом отношении остальные браузеры находятся в роли догоняющих.
Эта инфографика появилась в англоязычном блоге разработчиков IE9, когда я уже почти опубликовал материал.
Когда вредоносная натура файла известна фильтру, он будет заблокирован в IE9 точно так же, как это происходило в IE8 (за исключением различий в интерфейсе браузеров).
Я уже рассказывал о работе SmartScreen в IE8, поэтому сейчас речь пойдет только о новой возможности фильтра в IE9 – репутации файлов.
Раннее оповещение и актуальное предупреждение
Задача механизма репутации файлов в том, чтобы предупредить нас о потенциально опасных исполняемых файлах, которые только что появились в сети. Другими словами, это система раннего оповещения о вредоносных и мошеннических файлах, которые могут быть еще неизвестны защитным программам.
Чтобы уведомления эффективно работали, важен не только технический, но и психологический аспект. Internet Explorer 8 при загрузке любого исполняемого файла выдавал одинаковое предупреждение.
Понятно, что когда видишь одно и то же сообщение каждый раз, на него уже не обращаешь внимания. Да и нет в предупреждении особого смысла, когда подавляющее большинство исполняемых файлов в Интернете все-таки вполне безопасны. Ведь легитимных программ для Windows больше, чем вредоносных.
Для Internet Explorer 9 создана репутационная модель загружаемых файлов, которая принимает во внимание различные критерии (например, результаты антивирусной проверки, количество и историю закачек, репутацию ссылки).
Репутация загружаемого файла устанавливается на основе:
- хэша, который уникален для каждого файла
- цифрового сертификата, которым подписан файл (один сертификат обеспечивает репутацию всем файлам, которые им подписаны)
Теперь сообщение о потенциальной опасности появляется только для исполняемых файлов без репутации, и по оценкам разработчиков увидеть его можно будет не чаще 2-3 раз в год.
Репутация работает только для исполняемых файлов программ (EXE), но не для архивов или мультимедиа файлов.
В ссылках на файлы у Microsoft нет недостатка — ведь данные стекаются не только от пользователей IE, но также из почты Hotmail и Windows Live Messenger.
Загрузка файлов с репутацией и без нее
Когда исполняемый файл обладает репутацией, все происходит стандартно. Попробуйте скачать бесплатное видео – после проверки безопасности вы увидите обычное диалоговое окно.
А вот такой же файл, но уже без репутации. Загрузите это бесплатное видео, и вы увидите предупреждение фильтра SmartScreen.
Обратите внимание, что программу без репутации невозможно сразу запустить из браузера, хотя она уже сохранена на диске. Кнопку Выполнить заменяют кнопки Удалить и Действия. Последняя открывает диалоговое окно с подробным объяснением причины блокировки (то же самое происходит и в менеджере закачек IE9) .
Чтобы добраться до возможности запуска файла, здесь придется еще нажать кнопку со стрелкой Дополнительно. Особо настойчивые пользователи все равно его запустят, но по оценкам разработчиков в этом случае риск нарваться на что-то нехорошее составляет от 25 до 70%.
Анти-фишинговый фильтр браузера предоставляет дополнительный уровень защиты системы, поскольку проверка выполняется до запуска файла, т.е. перед тем, как он попадает в сферу наблюдения антивируса.
Те, кто отключает защиту от фишинга в браузере, считая достаточным лишь антивирусный щит, демонстрируют поверхностный подход к укреплению безопасности системы.
Кстати, не путайте эти сообщения с предупреждением о загрузке неподписанного файла (я сделал такой для примера). Оно появляется всегда при отсутствии цифровой подписи, и не является частью фильтра SmartScreen.
Ситуация для разработчиков бесплатных программ
Добавление репутации файлов к фильтру SmartScreen безусловно укрепляет защиту от фишинга в IE9. Однако репутацией могут не обладать не только новые вредоносные программы, но и вполне легитимные, но не массовые приложения. И, условно говоря, пока их не скачает достаточное количество человек, репутация не появится. А раз ее нет, IE9 будет затруднять запуск исполняемого файла.
Одно из решений проблемы – цифровая подпись кода. Между тем, сертификат на один год от VeriSign стоит $500, а от Thawte — $300. Можно найти и дешевле, но порядок суммы понятен. Далеко не каждый автор бесплатной утилиты для Windows, не извлекающий прибыли из своего проекта, готов потратить такие деньги.
Можно пойти дальше и включиться в программу Windows 7 Logo, подтвердив совместимость приложения, что обеспечит ему репутацию. Думаю, что в Microsoft вполне сознательно пошли на такой шаг, чтобы подтолкнуть разработчиков к написанию программ, полностью совместимых с Windows 7. Любопытно, что дополнения для IE, которые так нужны браузеру для борьбы за место под солнцем, в эту программу не принимаются.
Разработчики, которым не подходят эти варианты обеспечения репутации своей программы, могут упаковывать исполняемый файл в ZIP-архив. Это тоже затрудняет запуск установщика, но не отпугивает пользователей предупреждениями.
Рассказ о защитных функциях браузеров еще не закончен. Не все фильтры одинаково полезны, и об их сравнении мы поговорим через пару дней.
Один из моих читателей в обсуждении предыдущей статьи только что привел пример фишинга. А вы встречались с фишингом или его последствиями? Приходилось восстанавливать систему после фальшивого антивируса? Кстати, вы определили, какой из двух MSE фальшивый? Расскажите о своем опыте и системах, в которых наблюдалась проблема.
Поддельный MSE тот что на переднем плане на скриншоте. Во-первых, у него офрмление Windows XP, что наводит на такие мысли. Во-вторых, кнопка он-лайн сканирования, что так же указывает на подделку. Да и как он-лайн сканирование может УДАЛИТЬ угрозу? И в-третьих, я помню как выглядит окно журнала MSE, т.к. какое-то время им пользовался))
Роман, оформление Windows XP ни о чем не говорит, потому что MSE работает в XP SP3, просто скриншот сделан в ней. А вот онлайн-сканирование — более точное замечание.
По долгу службы сталкивался с СМС блокерами и не раз. Как люди их себе заполучают, даже не знаю(точнее знаю, поражаюсь человеческой глупости). Сам никогда такого на компьютер не получал. Ещё очень помагает настройка KIS2011, там в мониторинг добавляются несколько объектов, в итоге СМС блокер не может заблокировать explorer.exe и другие важные компоненты системы, в основном помогает, даже если зловред новый и в базах не присутствует.
Защиту от фишинга в браузерах отключаю, т.к. имеется установленный Касперский. Вообще очень хорошо, что все браузеры следят за безопасностью пользователя. Мне эта тенденция нравится, главное что всё опционально и отключается в случае ненадобности.
Vadim Sterkin,
О оформлении Windows XP. Я не совсем точно выразил мысль. Я имел ввиду то что на скриншотах 2 разных оформления: оригинальный MSE имеет оформление Windows 7, а подделка — Windows XP. Так же склонен думать что подделка запущеная в ОС Win7 будет все равно иметь стиль окна как в Win XP.
Вы ошибаетесь. Стиль окна зависит от системы, а не от программы.
Очень просто — я описал пару примеров в статье, если говорить о фишинге. Альтернативные варианты — это уязвимости браузеров и дополнений.
Т.е. вы не считаете нужным совмещать эти функции? В общем, в KIS весьма мощный анти-фишинговый фильтр. Предположу, что он актуальнее Safe Browsing API, если говорить об угрозах в Рунете.
Мне кажется, что если бы не вопросы приватности (передача данных на сервер), такую защиту уже встроили бы на внутреннем уровне :)
Раньше просто не задумывался, сейчас стараюсь не иметь программ дублирующих друг друга (либо отключаю дублирующие функции).
Вадим, а вы пользуетесь фишинговыми списками браузера или антивируса (возможно обеих программ)?
У меня установлен и дома, и на работе MSE, потому я сразу отличил фальшивку от оригинала — по кнопке «Онлайн сканирование».
Насчет Оперы и ее антифишинговой системы — согласен, не припомню ни одного случая, чтоб она срабатывала.
ProFFeSSoR, у моего антивируса (MSE) нет анти-фишинговой защиты, потому что она есть в IE. Т.е. продукты Microsoft лучше всего работают в связке.
Анти-фишинговую защиту не отключаю.
equinox, да, наверное, онлайн-сканирирование небесплатно :)
Раньше постоянно видел подобные предупреждения в хроме, на некоторых сайтах. Если проигнорировать предупреждение и перейти, там вылезали рекламы поддельных антивирусов. Для некоторых страниц с такой рекламой предупреждение не выводилось. Так что эта штука реально работает, но не всегда хорошо.
Потом владельцы сайтов под давлением пользователей с головой подружились и всё это безобразие поубирали, даже несмотря на то, что это приносило неплохой доход.
Я видел несколько разновидностей этой гадости, первая начинала установку, только если начать жать на кнопки в этой рекламе. В этом случае вопрос решался закрытием вкладки. Вторая разновидность начинала установку сразу после появления рекламы сама. От неё помогает кнопка «нет» в запросе UAC и завершение процесса браузера в диспетчере задач. И отлично, если ваш браузер не восстанавливает последние открытые вкладки, иначе при следующем открытии всё заново и так до бесконечности (только в каком-то одном браузере я встречал сообщение типа «в последнем сеансе возникли проблемы, открыть вкладки заново или начать с нуля?», только не помню точно, где это было). Разумеется, пользователи XP никакого запроса UAC не увидят и получат всё «великолепие» в полном объёме.
О последствиях нечего рассказывать, все о них знают. Гениталии на полэкрана, блокировка всего, включая диспетчер задач и безопасный режим, и заманчивое предложение отправить SMS на номер…
Morpheus, спасибо за отклик :) Перечисленные тобой разновидности гадости — это как раз и есть drive-by download (устанавливается сама) и фишинг (устанавливается по желанию пользователя).
P.S. Я слегка дополнил раздел статьи про Opera, но вопросы по ней остаются — все крайне туманно.
Vadim Sterkin, аа, не знал таких разделений в терминологии. Спасибо!
Сегодня Владимир Безмалый опубликовал статью, в которой подробно рассматривает и сравнивает антифишинговые механизмы в различных браузерах. http://bit.ly/lqGhB1
vadymg, спасибо за информацию. Мы как раз с Владимиром это обсуждали сегодня. А почему вы не оставили аналогичный коммент у него в блоге? :))
Morpheus, с drive-by начиналась предыдущая статья :)
В Вашем нелюбимом FF :)
Вадим, так в рамках чего Майкрософт внедрила блокировку подозрительных файлов в IE8? А то из текста не совсем понятно. ;-) Вы, видимо, забыли закончить мысль. :)
За статью Спасибо!
Саня, да, я уже исправил это, еще не видя вашего сообщения :) В рамках все того же фильтра SmartScreen.
Спасибо, что внимательно читаете мои статьи!
Ага, я помню. Просто терминология для меня новая и не думал, что есть отличия между спросили пользователя или нет.
Ну хоть что-то он могёт :)
Google Chrome в таком случае пишет восстановить вкладки или начать новую сессию.
Точно не помню как получилось, искал одну программу в интернете, и вроде как нашел на каком-то сайте, нажал скачать, и не произвольно после загрузки она себя сама установила, и у меня внезапно перезагрузился комп. Сначала не понял что случилось, а потом как начал выходить в интернет, во всех браузерах начал выводиться некий исходный код вместо страниц, не выпускал в интернет, и иногда даже выдавал сообщение чтобы разблокировать интернет, отправьте смс-с текстом и т.д. Помогло только восстановление Windows с точки восстановления т.к. антивирус не видел в упор эту программу. В автозапуске также не стояла. Будьте осторожны и посещайте только проверенные сайты!
Не знал, что фальшивые антивирусы тоже относятся к фишингу. Думал, фишингом называются только использование поддельных сайтов, ворующих пароли, кредитки и т.д.
Вот с таким экземпляром. http://hostingkartinok.com/show-image.php?id=89fc804005f7045bbe1a6b8050104200 Центр безопасности Windows теперь ищет вирусы, даже под Linux. :-)