La estafa perfecta

Poco después de que el príncipe William y Kate Middleton intercambiaran votos el 29 de abril, un retrato de boda de 1981 de la difunta madre del novio, la princesa Diana, apareció como una de las tres imágenes principales para las personas que escribieron el término de búsqueda más popular en Google esa mañana: boda real. cobertura. Pero el vínculo era un cable trampa. Los estafadores habían conseguido un sitio web malicioso a través del algoritmo de Google. El enlace conducía a una página pirateada en un cómic web llamada Kiwiblitz.com, que redirigía el navegador a otro sitio, uno con un nombre de dominio de un territorio insular australiano desconocido y alojado en Suecia. Ese sitio mostraba un programa de apariencia realista llamado XP Anti-Spyware que emitía advertencias falsas: ¡Su computadora está infectada! Unos pocos clics llevaron a una supuesta solución, por $ 59.95: una descarga de una solución que en realidad no existía.

Dolor real: Una imagen envenenada de la princesa Diana llegó hasta el tercer lugar en las búsquedas de imágenes de Google para la cobertura de la boda real el día de primavera en que se casó su hijo, el príncipe William.

Consiga otro éxito para lo que generalmente se conoce como la estafa de antivirus falsos. Los investigadores federales y los expertos en seguridad estiman que sus diversas iteraciones han extraído al menos mil millones de dólares de las víctimas en los últimos años, y se ha convertido en la manifestación más visible de un aumento general de software malicioso, o malware, distribuido en línea. (vea los cuadros a continuación) . El daño va más allá del robo de efectivo: incluso si no saca su billetera, a veces, simplemente hacer clic en los anuncios falsos puede generar otras formas de malware que pueden robar sus contraseñas o reclutar su computadora en una banda controlada remotamente llamada una botnet. Debido a que generalmente se basa en engañar a las personas para que instalen malware de manera voluntaria, una estrategia llamada ataque de ingeniería social, puede terminar infectando incluso máquinas con buen mantenimiento, tanto PC como Mac. Como acto de engaño a nivel humano, es clásicamente hermoso, dice David Clark, científico investigador del Laboratorio de Inteligencia Artificial y Ciencias de la Computación del MIT, quien fue el arquitecto principal de protocolos de Internet en la década de 1980.



La vida medida

Esta historia fue parte de nuestro número de julio de 2011

  • Ver el resto del número
  • Suscribir

Esta amenaza es producto de una tecnología ágil y un modelo de negocio que premia la innovación. Los estafadores han representado miles de variantes del señuelo de los antivirus falsos en docenas de idiomas, han ideado medios automatizados para infectar sitios web comunes y han ideado muchos vectores o métodos para entregar enlaces web con su infame carga útil. Los resultados de búsqueda con juegos son solo un método. Los anuncios en línea son otro vector, al igual que los correos electrónicos no deseados, los enlaces en las redes sociales e incluso las llamadas automáticas a través de Skype o el teléfono que aconsejan a las personas que visiten sitios web que eructan el ataque. Es una amenaza realmente dominante para los usuarios de computadoras que ha persistido en el tiempo y continúa evolucionando y creciendo, dice Maxim Weinstein, director de StopBadware, una organización sin fines de lucro en Cambridge, Massachusetts, que ayuda a los sitios web a deshacerse de los ataques de malware y presiona para cerrar sitios maliciosos. . El éxito de la estafa pone de manifiesto la despreocupación de muchos de los principales actores de Internet, que no han podido coordinar una estrategia para afrontarla.

Ha habido víctimas en al menos 60 países. Pasé horas limpiando un sistema que se infectó porque un empleado hizo clic en una de estas advertencias, dice Brian D'Arcangelo, técnico de tecnología de la información en Lynn Community Health Center, en Lynn, Massachusetts. Está sucediendo con mayor frecuencia aquí. Un fabricante de joyas en Toronto, que solo quería que se usara su apellido, Moser, encontró su PC con Windows bloqueada con advertencias parpadeantes el año pasado después de buscar artículos relacionados con su oficio, así que siguió adelante y compró la solución por $ 79.95. Tenía que limpiar la computadora. Las búsquedas de términos tan mundanos como globos han llevado a sitios de ataque. Los foros de Apple se han iluminado con súplicas de clientes que buscan librarse de estafas como una que los insta a comprar un software Mac Defender inexistente. La madre de Melissa Hathaway, quien se desempeñó como asesora de ciberseguridad del presidente Obama en 2009, hizo clic para instalar un producto antivirus falso en diciembre pasado. Los expertos en seguridad informática advierten que muchas víctimas ni siquiera se dan cuenta de que han sido estafados.

Ciencias económicas

El atractivo del falso software antivirus, a menudo llamado scareware, tiene sus raíces en el miedo. Este fraude no se basa en convencer a la víctima de algo absurdo, por ejemplo, que un príncipe nigeriano necesita ayuda para reubicar su dinero. En cambio, la entrega está calibrada para capitalizar las advertencias reales que todos hemos recibido. Las personas que no saben exactamente lo que está sucediendo, y se les ha [dicho], 'Ejecute su protección antivirus, cepille sus dientes cibernéticos todos los días', se verán impulsadas a tratar de responder a eso, dice Vint Cerf, un coinventor de los protocolos originales de Internet, que ahora es el principal evangelista de Internet en Google. Los ataques generalmente provienen de países donde las leyes sobre delitos cibernéticos son laxas (o no se aplican) y los tratados que obligan a cooperar con otras naciones no están en vigor. Muchas bandas criminales operan redes desde Europa del Este en particular. (Algunos programas maliciosos comprueban si la computadora de una víctima potencial está configurada para configuraciones regionales de Europa del Este o tiene un teclado en ruso, por lo que se cerrará con elegancia).

En general: Shaileshkumar Jain (arriba a la izquierda) y Bjorn Daniel Sundin (derecha) han sido acusados ​​de fraude electrónico y con una sentencia de 163 millones de dólares después de supuestamente estafar a los consumidores vendiendo productos antivirus falsos a través de su ahora desaparecida empresa Innovative Marketing, con sede en Kiev.

Es fácil ver por qué la estafa de antivirus falsos es tan popular entre los delincuentes. La recompensa es inmediata y las ganancias grandes. Alguien que roba otros tipos de botín digital, como números de tarjetas de crédito o contraseñas, debe tomar medidas adicionales para cobrar. Pero un producto antivirus falso pone dinero directamente en el bolsillo del estafador. Por ejemplo, en 2008, la Comisión Federal de Comercio de EE. UU. Demandó a los directores de marketing innovador, que se incorporó en Belice y en ese momento tenía oficinas cerca de Kiev, Ucrania. La FTC dijo que la compañía recaudó más de $ 163 millones entre 2004 y 2008 engañando a los consumidores para que hicieran clic para descargar software falso con títulos tan inteligentes como Winfixer, WinAntivirus, Drivecleaner, SystemDoctor y XP Antivirus 2008. El año pasado, un juez federal de Maryland impuso una sentencia por ese monto contra los directores de la compañía Shaileshkumar Sam Jain y Bjorn Daniel Sundin, quienes luego fueron acusados ​​de fraude electrónico en un tribunal federal de Chicago. Permanecen en libertad. Un tercer acusado, James Reno de Amelia, Ohio, que había llegado a un acuerdo con la FTC, también fue acusado formalmente; se le acusa de dirigir un centro de llamadas donde los operadores intentaban ahuyentar a las personas que se quejaban, aunque el personal a veces también proporcionaba reembolsos a los clientes furiosos para mantenerse fuera del radar de las empresas de tarjetas de crédito. Su abogado no devolvió los mensajes dejados por Revisión de tecnología .

El daño causado por esta organización puede haber sido incluso peor de lo que alegaba la FTC. Un investigador de la empresa de seguridad McAfee pudo determinar que Innovative Marketing tenía unos 600 empleados y 34 servidores diseminando malware, la mayoría de ellos operando desde un complejo de oficinas tradicional en Kiev. El imperio corporativo incluía divisiones que manejaban pagos con tarjeta de crédito, el centro de llamadas en Ohio y varios sitios web para adultos que cumplían una doble función como vectores para el software antivirus falso. McAfee señaló que Innovative Marketing registró 4,5 millones de pedidos durante un período de 11 meses en 2008; a 35 dólares por pedido, los ingresos anuales aparentemente se acercaban a los 180 millones de dólares. Eso es mejor que los $ 150 millones que Twitter recaudará este año, según una estimación de la firma de investigación de mercado eMarketer.

El marketing innovador ya no existe. Pero eso no ha frenado el negocio mundial de los falsos antivirus. Ha habido varias bandas de malware que han trabajado consistentemente en estafas de antivirus fraudulentas durante los últimos cinco años, dice Eric Howes, analista de investigación de GFI Software, en Clearwater, Florida. Para que las operaciones sigan funcionando, los proveedores de esta y otras formas de malware adaptan una técnica comercial utilizada por empresas como Amazon: el modelo de afiliados. Así como el sitio web de cualquier persona puede incluir un enlace a un formulario de compra de Amazon y cobrar una tarifa por las ventas, los estafadores de antivirus reclutan a terceros conocidos como afiliados, que pueden obtener una tarifa por cada instalación, es decir, cada vez que alguien abre la puerta al malware. haciendo clic en la advertencia falsa, más una comisión por cada venta resultante del producto falso. Un distribuidor, Avprofit.com, prometió en su sitio web que pagaría entre $ 300 y $ 750 por cada 1,000 instalaciones en los Estados Unidos, Canadá, Gran Bretaña o Australia, donde es mayor la posibilidad de encontrar víctimas que puedan pagar lo que sea. las falsas advertencias exigen. Experiencia requerida: Avprofit buscó piratas informáticos con un promedio mínimo de 250 instalaciones por día.

A muchos de los afiliados les va muy bien. SecureWorks, una unidad de Dell, analizó la distribución de un programa antivirus falso llamado Antivirus XP 2008 a través de un equipo llamado Bakasoftware, que tenía su sede en Rusia. Según los documentos proporcionados por el pirata informático detrás de Bakasoftware, que se hacía llamar Krab, uno de sus principales afiliados pudo engañar a 154.825 personas para que instalaran copias de malware en sus computadoras en 10 días, y 2.772 víctimas ingresaron en su tarjeta de crédito. números. Si los documentos son precisos, la filial de Krab se escapó con 146.524 dólares en ese breve período.

Innovación

Los afiliados han generado un impresionante cuerpo de innovación oscura para crear nuevas formas de infectar computadoras a través de la Web. Una herramienta clave es un sitio web legítimo que ha sido comprometido subrepticiamente. Si visita un sitio de este tipo, a menudo es redirigido automáticamente a un sitio que muestra las advertencias parpadeantes, intentando engañarlo para que haga clic en aprobación para descargar el programa antivirus falso. A menudo, otro malware busca agujeros sin parchear en software común como Java y Adobe Flash, agujeros a través de los cuales puede instalar otras cargas útiles dañinas, como el malware que roba contraseñas almacenadas en su computadora. Esto se conoce como descarga automática.

Las advertencias falsas similares a la anterior, en docenas de idiomas, son una visión familiar para millones de usuarios de computadoras en todo el mundo.

Una tecnología notable es la base de todo el proceso. Para mantener un suministro constante de sitios web infectados, los delincuentes escriben código que rastrea la Web en busca de vulnerabilidades conocidas en plataformas de publicación comunes como Wordpress o en software de alojamiento web como cPanel, dice Weinstein. (Cada mes, su organización StopBadware ayuda a limpiar 1.200 sitios web, una pequeña fracción de los cientos de miles que se cree que están infectados en cualquier momento). Alternativamente, los delincuentes pueden usar contraseñas robadas para iniciar sesión en sitios web y agregar código malicioso. Para facilitar este trabajo, las redes de bots hacen gran parte del trabajo de forma automática.

Los sitios web de trampas explosivas son solo un paso. El código malintencionado debe evitar la detección para que esos sitios sigan siendo útiles para los delincuentes. Para burlar a los programas antivirus reales que se actualizan a diario, los delincuentes realizan cambios cosméticos en el código, a menudo con trucos de cifrado simples y ampliamente disponibles. (El código malicioso detrás de la imagen de Princess Di, por ejemplo, era muy similar al utilizado en otras estafas de antivirus falsos, pero 38 de los 42 escáneres antivirus reales lo pasaron por alto). Las empresas web mantienen para bloquear las direcciones web que se sabe que albergan software malintencionado, explotan técnicas para registrar y cambiar rápidamente miles de direcciones.

Un vistazo a un registro de dominio muestra lo fácil que es. Una empresa de Corea del Sur se especializa en vender millones de direcciones en el dominio nacional .cc, el de las Islas Cocos (Keeling), un territorio australiano. La tienda coreana ha registrado co.cc. A esto se le pueden sumar innumerables nombres. Por $ 1,000, de hecho, le dará 15,000 de ellos. Se jacta de tener 57 millones de sitios co.cc indexados por Google, lo que demuestra lo fácil que puede ser llegar a una amplia franja de víctimas. Y los servicios de alojamiento web gratuitos en todo el mundo facilitan la puesta en servicio de estos sitios.

Vectores

Para mostrar sus enlaces a las víctimas que probablemente los vean y hagan clic en ellos, los falsificadores de antivirus necesitan vectores, y han utilizado muchos: sitios de pornografía, anuncios en línea, resultados de búsqueda, software comercializado en sitios de intercambio de archivos y enlaces en Facebook y Twitter. Cada vez más, los sitios web maliciosos que utilizan estos vectores se crean a diario o incluso cada hora para adelantarse a los esfuerzos por bloquearlos y cerrarlos.

Infectar la publicidad en línea es bastante simple: los malos compran anuncios y los manipulan con códigos o enlaces maliciosos. Según la FTC, los representantes de Innovative Marketing se hicieron pasar por representantes de empresas y organizaciones reales, incluidas Travelocity, Priceline y Oxfam International, y compraron anuncios supuestamente en su nombre. Esos anuncios en línea emplearon una variante ingeniosa de la orientación basada en la ubicación. Parecían legítimos cuando se veían desde las direcciones IP de los empleados de la red publicitaria, pero los espectadores en otras direcciones fueron redirigidos a sitios fraudulentos. Más recientemente, según un informe de la empresa de seguridad Websense, los anuncios infectados, colocados por redes publicitarias que no habían examinado a fondo a los clientes, han aparecido en Gizmodo, TechCrunch y el sitio web de la empresa. New York Times .

Agrandar gráficos.

Pero los motores de búsqueda podrían ser el vector predominante ahora, dice Stefan Savage, científico informático de la Universidad de California en San Diego. Los estafadores utilizan una variedad de trucos de optimización de búsqueda para engañar a los algoritmos que utilizan Google, Bing y otros motores para determinar qué enlaces web mostrar en respuesta a las solicitudes de búsqueda. Generalmente, una página en un sitio infectado (como Kiwiblitz.com) está repleta de términos de búsqueda modernos y enlaces a imágenes. Luego, los jugadores malintencionados entrelazan las páginas (cientos o miles de ellas) de modo que los programas de rastreo web de los motores de búsqueda clasifican la página infectada cerca de la parte superior por su aparente popularidad y relevancia. Denis Sinegubko, un investigador de malware en Rusia, cree que los delincuentes han logrado secuestrar los resultados de búsqueda en las primeras páginas de la búsqueda de imágenes de Google para millones de palabras clave. Como resultado, estima, la gente hizo clic en los resultados de búsqueda de imágenes envenenadas 15 millones de veces al mes la primavera pasada. Google dice que desde entonces ha reducido la cantidad de enlaces maliciosos en las búsquedas de imágenes en un 90 por ciento desde los niveles máximos, y un portavoz enfatizó que continúa taponando agujeros en sus algoritmos para evitar nuevos métodos de ataque. Google dice que el 0,5 por ciento de las búsquedas arroja resultados que incluyen al menos un sitio web malicioso conocido. Esto puede parecer bajo, pero dado que Google maneja más de mil millones de búsquedas diarias, significa que cinco millones de búsquedas devueltas cada día contienen un enlace malicioso.

Cuando Google identifica un resultado de búsqueda potencialmente malicioso después de los informes de los usuarios o las empresas de seguridad, lo marca con mensajes de advertencia. Y si un sitio ha ganado el motor de búsqueda y no debería haber sido entregado en primer lugar, Google lo eliminará de los resultados de búsqueda. Google también revela su lista de sitios maliciosos a las empresas de seguridad de Internet y las empresas de navegadores web, que pueden emitir sus propias advertencias si intenta escribir las direcciones. Nuestro tiempo de respuesta ha pasado de semanas o días a horas e incluso minutos, dice Panayiotis Mavrommatis, investigador de malware de Google.

Pero la industria de la Web aún no ha podido solucionar el problema. Facebook, por ejemplo, impide que sus usuarios accedan a sitios web en la lista negra de Google y aquellos identificados internamente y de otras fuentes como maliciosos. Sin embargo, este y otros sitios de redes sociales, como Twitter, siguen siendo vectores importantes, en parte porque los delincuentes crean cuentas falsas o piratean cuentas legítimas. Alrededor del 40 por ciento de las actualizaciones de estado de Facebook contienen enlaces; de ellos, el 10 por ciento conduce a spam o sitios web maliciosos, según un informe de noviembre de Websense. Mavrommatis, al igual que otros investigadores de seguridad, admite que el desafío es grande. Con la rotación de dominios, los filtros basados ​​en URL se vuelven menos poderosos. Y con los filtros basados ​​en contenido, nuevamente, el cifrado los rompe, dice. Por eso es tan difícil.

Volando ciego

Los investigadores dicen que acabar con el flagelo del malware antivirus falso, o malware de cualquier otro tipo, será casi imposible a menos que las empresas web y de seguridad recopilen y compartan más información sobre todo, desde los vectores que predominan en una semana determinada hasta los bancos que son los estafadores. utilizando para aceptar pagos. Las empresas privadas revelan solo datos limitados sobre violaciones en sus sitios o enlaces maliciosos en sus redes. Sorprendentemente, hay menos información en la industria de la que piensas, dice Michael Barrett, jefe de seguridad del servicio de pago en línea PayPal.

Esto se debe, en parte, a que tener información patentada sobre malware proporciona una ventaja competitiva para las empresas de seguridad en Internet. Tiene que haber un mayor esfuerzo para compartir con la comunidad, lo que la industria de la seguridad no está acostumbrada a hacer, dice Philippe Courtot, director ejecutivo de Qualys, una empresa de seguridad. Dado que ninguna empresa puede tener una visión completa de los ataques y de las vulnerabilidades, solo un esfuerzo más amplio e impulsado por la comunidad puede resolver el problema.

StopBadware está trabajando en una solución parcial: un sistema de informes al que espera que una masa crítica de empresas de Internet contribuya con informes de sitios web infectados. Examinará los informes para verificar su precisión, pasará la información a las empresas de alojamiento web para que puedan eliminar los sitios y publicitará qué empresas de alojamiento no están tomando medidas enérgicas. Una mayor presión sobre esas empresas podría obligar a los delincuentes a cambiar de táctica, lo que aumentaría los costos para ellos.

Otra forma de molestar a los delincuentes podría ser escudriñar más de cerca a los bancos que procesan sus pagos con tarjeta de crédito. Savage sugiere que las compañías de tarjetas de crédito y las fuerzas del orden no necesitan apuntar a muchos bancos para tener un gran impacto. Él y sus colegas estudiaron recientemente una muestra aleatoria de 120 productos anunciados a través de correo no deseado y determinaron que el 95 por ciento de sus ventas se realizaron a través de solo tres bancos, en Azerbaiyán, Letonia y St. Kitts y Nevis, en las Indias Occidentales. Savage cree que un estudio de pagos por software antivirus falso arrojaría resultados comparables.

Mientras tanto, en cualquier momento, al menos varios cientos de miles de sitios web: conocido unos, están distribuyendo malware a través de antivirus falsos y otras estafas. Los criminales están haciendo un mejor trabajo coordinando su ofensiva que los buenos coordinando nuestra defensa, dice Weinstein. Eso significa las falsas advertencias parpadeantes: ¡Su computadora está infectada! —Reflejar cada vez más la verdad.

David Talbot es Revisión de tecnología Corresponsal en jefe.

esconder