Перейти к содержанию

Что такое Hoax, откуда он берется и чем неприятен

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Продукты «Лаборатории Касперского» определяют некоторое программное обеспечение как Hoax (hoax в переводе с английского — «обман»). Давайте разберемся, что означает этот вердикт, в каких случаях наши продукты его выдают и почему пользователям стоит остерегаться подобных программ.

what-is-hoax-report-featured.jpg

Астрологи объявили год Hoax: количество детектов удвоилось

Поводом для написания этого поста стало увеличение числа детектов нашими продуктами с вердиктом Hoax. Количество пользователей, столкнувшихся с подобным ПО, выросло за год в два раза. Одним словом, в зоне риска оказывается все больше пользователей. Поэтому мы считаем, что стоит уделить данной проблеме особое внимание. Начнем с краткой предыстории вопроса.

Многие пользователи жалуются на то, что компьютер стал медленнее загружаться, тормозить при запуске приложений или даже намертво зависать с ошибками. Рано или поздно с этой проблемой сталкиваются, наверное, все. Проявляется она оттого, что в процессе использования компьютер переполняется различными данными, а это влияет на скорость его работы.

Спрос рождает предложение, и в большом количестве стали появляться программы для ускорения и очистки компьютера. Бурный рост создания такого софта начался в конце 2000-х и продолжается по сей день.

Как правило, программы для очистки компьютера ищут неиспользуемые файлы и ключи реестра, временные файлы, программы в автозагрузке и так далее, а потом сообщают о наличии подобного цифрового мусора пользователю. Затем тот может принять решение об очистке, удалить все лишнее, что в самом деле оптимизирует некоторые действия при работе с системой.

К сожалению, далеко не все программное обеспечение для очистки и ускорения компьютера одинаково полезно. Помимо честных разработчиков, создающих программы, которые действительно помогают пользователям, в этой категории активно трудятся мошенники.

Что такое Hoax

Некоторые программы для очистки и ускорения компьютера вынуждают пользователя заплатить, чтобы избавить компьютер от якобы обнаруженных ими угроз. Важны тут две особенности, отличающие мошеннические программы от честных:

  • Во-первых, такие программы намеренно вводят пользователя в заблуждение, значительно преувеличивая эффект имеющихся проблем или вовсе выдавая информацию о несуществующих ошибках.
  • Во-вторых, они именно вынуждают, а не предлагают себя приобрести, объявляя пользователю, что без оплаты проблему не решить.

В «Лаборатории Касперского» подобные программы именуются Hoax — программное обеспечение, намеренно вводящее пользователя в заблуждение. Вот несколько примеров вердиктов, которые Kaspersky Internet Security выдают подобным программам:

  • HEUR:Hoax.Win32.Uniblue.gen
  • Hoax.Win32.PCFixer.gen
  • Hoax.Win32.DeceptPCClean.*
  • Hoax.Win32.PCRepair.*
  • HEUR:Hoax.Win32.PCRepair.gen
  • HEUR:Hoax.MSIL.Optimizer.gen
  • Hoax.Win32.SpeedUpMyPC.gen

Как работают программы из категории Hoax

После установки Hoax запускают процесс сканирования компьютера. Они могут проверять все то же, что проверяют легитимные чистильщики. После сканирования вводящие пользователей в заблуждение программы выводят окна с информацией о том, какие же проблемы они обнаружили.

И вот тут проявляется главная проблема такого ПО. Пользователю начинают показывать запугивающие сообщения об огромном количестве найденных ошибок или неполадок в системе. Вот пример чистильщика, значительно преувеличивающего критичность возможных проблем с ключами реестра:

Пример чистильщика, преувеличивающего значение возможных проблем с ключами реестра

Пример чистильщика, преувеличивающего значение возможных проблем с ключами реестра

Или же утилита будет находить некие неполадки, но станет намеренно завышать уровень их важности, используя некорректные формулировки. Например, в этой утилите для обновления драйверов их статус варьируется от «старого» до «древнего»:

По мнению этой утилиты, версия установленного в системе драйвера может быть

По мнению этой утилиты, версия установленного в системе драйвера может быть «старой», «очень старой» или «древней»

Некоторые приложения не позволяют закрыть себя сразу, выводя после нажатия на крестик очередное запугивающее окно — «Уровень ущерба: высокий».

При попытке закрыть программу появляется очередное запугивающее окно

При попытке закрыть программу появляется очередное запугивающее окно

Также Hoax-программы очень любят прописываться в автозапуск и заваливать пользователя всплывающими уведомлениями о том, что с компьютером что-то не в порядке.

Всплывающее уведомление Hoax-программы

Всплывающее уведомление Hoax-программы

Hoax-программы бывают не только для Windows. Вот пример для macOS: ситуация считается критической при незначительном заполнении логов и кеша.

Пример Hoax в macOS

Пример Hoax в macOS

Чтобы починить/исправить/устранить недостатки, нужно подписаться или приобрести полную версию софта. После оплаты полной версии многие программы действительно очистят компьютер, но значимость их услуг будет весьма завышена, как говорилось выше. Некоторые Hoax-программы могут и вовсе не очистить компьютер. Таким образом, в лучшем случае пользователь переплатит, а в худшем — выкинет деньги на ветер.

Adware в подарок и шанс выиграть трояна

Некоторые разработчики мошеннических чистильщиков в своей жадности идут еще дальше и заодно с собственным творением устанавливают на компьютер жертвы дополнительные программы. Как правило, это рекламное ПО, но в некоторых случаях встречаются даже трояны.

Например, связавшись с Hoax, пользователь может нарваться на частичную блокировку компьютера. Программа, показанная ниже, разворачивается на полный экран, перекрывает панель инструментов, а также блокирует возможность переключения между программами по нажатии Alt+Tab и возможность возврата в режим окна по нажатии клавиши F11.

Экран блокировки компьютера с возможностью организовать удаленное подключение

Экран блокировки компьютера с возможностью организовать удаленное подключение

После этого пользователю предлагают ввести код разблокировки (которого у него, естественно, нет). Либо открыть удаленный доступ к компьютеру через TeamViewer, AnyDesk и другие программы, иконки которых заботливо размещены в правой части окна.

Как Hoax попадает на компьютеры пользователей

Целевая аудитория разработчиков Hoax — неопытные пользователи домашних компьютеров, которые слабо разбираются в устройстве операционных систем и не задумываются о том, чтобы регулярно избавляться от «мусора» или обновлять систему.

Когда компьютер начинает тормозить совсем уж сильно, многие пользователи отправляются в интернет на поиски решения проблем и могут по неосторожности попасть на Hoax.

Но есть и другой способ распространения. Hoax можно получить через рекламу или через мошеннические веб-страницы. Например, в случае когда пользователь заразился AdWare, это может выглядеть так:

Пример заражения Adware, которая предлагает ускорить компьютер

Пример заражения Adware, которая предлагает ускорить компьютер

Также на мошеннические страницы, предлагающие услуги по очистке или ускорению компьютера, можно нарваться в процессе посещения фишинговых веб-сайтов. Например, эта страница выводит сообщение о том, что на компьютере обнаружены шпионские программы.

Пример веб-страницы, притворяющейся сайтом Microsoft и пугающей пользователя вирусами

Пример веб-страницы, притворяющейся сайтом Microsoft и пугающей пользователя вирусами

Обычно дальше предлагается либо позвонить в техподдержку (где деньги будут вымогать устно), либо скачать Hoax. Разумеется, верить подобным страницам нельзя — их надо просто закрывать.

Кроме того, недавно начал набирать популярность новый способ распространения Hoax — через всплывающие уведомления браузеров, на которые многие машинально подписываются. Подписки на браузерные push-уведомления сейчас очень популярны, в том числе и у мошенников, и доставляют довольно много проблем пользователям.

Далеко не все понимают, как эти подписки устроены, откуда они берутся и как их отключить. Иногда пользователи даже не в курсе, что эти уведомления показывает именно браузер, а исходят они от веб-сайтов, намерения создателей которых могут быть совсем не добрыми.

Браузерные уведомления, перенаправляющие на загрузку Hoax

Браузерные уведомления, перенаправляющие на загрузку Hoax

После нажатия на подобные уведомления пользователи попадают на мошеннические страницы, маскирующиеся под антивирусные программы. Вот пример мошеннической веб-страницы, имитирующей интерфейс Защитника Windows (Windows Defender):

Мошенническая страница, имитирующая интерфейс Защитника Windows (Windows Defender)

Мошенническая страница, имитирующая интерфейс Защитника Windows (Windows Defender)

После того как пользователя как следует запугают огромным количеством проблем с компьютером, его перенаправляют на страницу загрузки Hoax-программы.

Страница скачивания Hoax

Страница скачивания Hoax

Hoax: статистика и география распространения

Как уже было сказано в начале поста, по нашей статистике в конце 2018 года начался бурный рост активности на рынке мошеннического ПО для оптимизации работы компьютера, который продолжается до сих пор. Количество пользователей, сталкивающихся с Hoax, удвоилось по сравнению с началом прошлого года, возросло количество жалоб.

По нашим данным, самая популярная цель среди создателей и распространителей Hoax— Япония. Каждый восьмой пользователь в этой стране за последние годы сталкивался с Hoax. За Японией следуют Германия и, что удивительно, Белоруссия. Замыкают пятерку наиболее пострадавших от Hoax стран Италия и Бразилия.

Усилиями компаний, разрабатывающих антивирусы, получается хоть как-то сдерживать растущую волну Hoax и иногда даже полностью выводить с «рынка» некоторые мошеннические программы.

Реагируя на эти меры, некоторые распространители Hoax отказываются от запугивающей модели распространения. Они начинают предоставлять пользователям больше информации о том, что делает программа, не так сильно завышают серьезность найденных проблем и предлагают воспользоваться бесплатной пробной версией. Тем не менее борьба еще не закончена.

Почему Hoax — это плохо

Почему мы считаем, что важно предупреждать пользователей о программах из категории Hoax? На это есть несколько причин:

  • Как уже было сказано, создатели подобного софта умышленно вводят пользователя в заблуждение, преувеличивая опасность проблем, обнаруженных на компьютере, — или вовсе сообщая о несуществующих неполадках.
  • Как следствие, пользователю такие медвежьи услуги могут стоить необоснованно дорого.
  • Некоторые Hoax-программы вообще не решают реальные проблемы и только создают иллюзию устранения ошибок.
  • Наконец, в ряде случаев создатели Hoax заодно пытаются дополнительно заработать, устанавливая в комплекте со своими программами рекламное или даже откровенно вредоносное ПО.

Как защититься от Hoax

Обезопасить себя от возможного обмана можно, соблюдая следующие рекомендации:

  • Игнорируйте запугивающие предупреждения о вирусах или ошибках на вашем компьютере, которые показывают веб-сайты. Не кликайте по подобным предупреждениям и уж тем более не скачивайте и не устанавливайте то, что вам навязывают.
  • Почистить компьютер действительно может быть полезно, но не стоит устанавливать для этого первую попавшуюся программу. Уделите этому немного времени и почитайте рекомендации уважаемых компьютерных изданий.
  • Чтобы точно не нарваться на Hoax, установите надежный антивирус, который предупредит о мошеннических программах.


Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что такое фан-клуб «Лаборатории Касперского» | Блог Касперского
      От KL FC Bot
      «Лаборатория Касперского» сегодня — это в первую очередь люди. Люди, которые создают наши продукты и решения, продвигают их и пользуются ими. Вы делите с нами радость новых побед, помогаете добираться до невероятных вершин и мотивируете нас каждый день становиться лучше. Мы ценим и принимаем эту поддержку!
      Для вас мы развиваем Kaspersky Club — пространство для безопасного общения с единомышленниками, нашими коллегами и всеми, кто для себя решил, что «Лаборатория Касперского» — это по любви.
      Фан-клуб — это… Люди
      Kaspersky Club появился в 2006 году как ветвь развития официального форума «Лаборатории Касперского» — места, где можно получить ответ почти на любой вопрос, связанный с работой антивируса. А где деловое общение, там и неформальное — «пофлудить на оффоруме», как тогда говорили, собирались многие: кому-то хотелось ближе познакомиться с сотрудниками компании, другие мечтали задать любой вопрос Евгению Касперскому или просто искали себе друзей в Интернете. Так родился фан-клуб, который положил начало длинной истории.
      Члены фан-клуба на встрече с Евгением Касперским в январе 2007 года.
      Эра популярности форумов давно позади, но Kaspersky Club до сих пор не только существует, но и процветает: мы сохранили аутентичный форум (там можно найти даже самое первое сообщение), сделали канал в Telegram и сервер в Discord, а также регулярно проводим интересные мероприятия (об этом еще расскажем). Это все возможно лишь благодаря тому, что спустя 18 лет многие из основателей фан-клуба по-прежнему с «Лабораторией Касперского». За это время люди повзрослели, обзавелись семьями, но до сих пор заходят почитать новые темы и оставить пару сообщений на форуме. Ну разве это не любовь?
       
      Посмотреть статью полностью
    • KL FC Bot
      Что такое подстановка учетных данных (credential stuffing) | Блог Касперского
      От KL FC Bot
      Каждый год миллионы аккаунтов компрометируют атакой с подстановкой учетных данных. Этот метод стал настолько массовым, что еще в 2022 году, по данным одного из провайдеров аутентификации, в среднем на два легитимных входа в аккаунты приходилась одна попытка подстановки учетных данных. И за прошедшие пару лет ситуация, скорее всего, не изменилась к лучшему. В этом посте поговорим подробнее о том, как работает подстановка учетных данных, что за данные злоумышленники используют и как защитить ресурсы организации от подобных атак.
      Как работают атаки с подстановкой учетных данных
      Подстановка учетных данных (credential stuffing) — это один из самых эффективных вариантов атаки на учетные записи. Для таких атак используются огромные базы данных с заранее добытыми логинами и паролями от аккаунтов на тех или иных платформах. Далее злоумышленники массово подставляют эти логины и пароли в другие онлайн-сервисы в расчете на то, что какие-то из них подойдут.
      В основе атаки лежит тот печальный факт, что многие люди используют один и тот же пароль в нескольких сервисах — а то и вовсе пользуются везде одним-единственным паролем. Так что ожидания злоумышленников неизбежно оправдываются, и они успешно угоняют аккаунты с помощью паролей, установленных жертвами на других платформах.
      Откуда берутся подобные базы данных? Основных источника три:
      пароли, украденные с помощью массовых фишинговых рассылок и фишинговых сайтов; пароли, перехваченные зловредами, специально созданными для того, чтобы воровать пароли, — так называемыми стилерами; пароли, утекшие в результате взломов онлайн-сервисов. Последний вариант позволяет киберпреступникам добывать наиболее внушительное количество паролей. Рекорд тут принадлежит произошедшему в 2013 году взлому Yahoo! — в результате этой атаки утекло целых 3 миллиарда записей.
      Правда, тут следует сделать одну оговорку: обычно сервисы не хранят пароли в открытом виде, а используют вместо этого так называемые хеши. Так что после успешного взлома эти самые хеши надо еще расшифровать. Чем проще комбинация символов, тем меньше требуется ресурсов и времени, чтобы это сделать. Поэтому в результате утечек в первую очередь рискуют пользователи с недостаточно надежными паролями.
      Тем не менее если злоумышленникам действительно понадобится ваш пароль, то даже самая надежная в мире комбинация будет рано (в случае утечки хеша, скорее всего, рано) или поздно расшифрована. Поэтому каким бы надежным ни был пароль, не стоит использовать его в нескольких сервисах.
      Как несложно догадаться, базы украденных паролей постоянно растут, пополняясь новыми данными. В итоге получаются совершенно монструозные архивы, количество записей в которых в разы превышает население Земли. В январе 2024 года была обнаружена самая крупная база паролей из известных на сегодняшний день — в ней содержится 26 миллиардов записей.
       
      Посмотреть статью полностью
    • KL FC Bot
      Что такое кибериммунная система | Блог Касперского
      От KL FC Bot
      Сегодня в области кибербезопасности набирает популярность новый подход к защите информационных систем — кибериммунитет. Построенная на базе этого подхода система по умолчанию и безо всякого антивируса защищена настолько хорошо, что взломать ее будет слишком сложно и дорого, чтобы кто-то всерьез стал тратить на это ресурсы.
      Звучит слишком сказочно, чтобы быть реальностью? Тем не менее на основе такого подхода уже создаются реальные технологические продукты. Попробуем простыми словами объяснить, как именно устроен кибериммунитет.
      Начать следует с понятия доверенной вычислительной базы, которая обязательно есть в каждой информационной системе. Это код, которому разработчики вынуждены доверять, так как на его основе реализуются критичные для безопасности системы компоненты. Раз этот код так критичен, то для защиты системы в первую очередь нужно обеспечить безопасность ее доверенной вычислительной базы. Как этого добиться?
      Опыт Кощея
      Мы достаточно регулярно проводим аналогии между защитными технологиями и сказками. Давайте найдем параллели и в этот раз. Кибериммунность больше всего напоминает способность Кощея Бессмертного избегать смерти. По крайней мере, ее заявленную функциональность. Как там в первоисточнике?
      «…нелегко с Кощеем сладить: смерть его на конце иглы, та игла в яйце, то яйцо в утке, та утка в зайце, тот заяц в сундуке, а сундук стоит на высоком дубу, и то дерево Кощей как свой глаз бережет.»
      Так вещает Баба Яга в сказке Царевна-лягушка.
       
      View the full article
    • KL FC Bot
      Что такое conversation hijacking | Блог Касперского
      От KL FC Bot
      Таргетированные атаки через электронную почту не сводятся только лишь к целевому фишингу и business email compromise (BEC). Серьезную проблему представляет и такой вариант почтовой атаки, как перехват диалога (сonversation hijacking). Суть ее сводится к тому, что злоумышленники встраиваются в уже существующую деловую переписку и продолжают диалог, выдавая себя за одного из участников. В этом посте мы подробно расскажем, как проходит эта атака и что делать, чтобы минимизировать ее шансы на успех.
      Как злоумышленники получают доступ к перепискам?
      Для того чтобы встроиться в чужой диалог, надо каким-то образом получить доступ либо к почтовому ящику, либо хотя бы к архиву писем. У киберпреступников есть достаточно богатый набор уловок, позволяющих сделать это.
      Самый очевидный способ — взлом почтового ящика. При использовании облачных сервисов это проворачивают перебором паролей — ищут в утечках из разных онлайн-сервисов пароли, связанные с определенным адресом e-mail, а потом пробуют их для доступа к рабочей почте. Вот почему важно, во-первых, не использовать одни и те же учетные данные в разных сервисах, а во-вторых, не указывать корпоративный адрес при регистрации на посторонних сайтах. Альтернативный метод — доступ к почте через уязвимости в серверном ПО.
      Злоумышленники редко остаются контролировать рабочий адрес e-mail надолго, но архив писем, как правило, скачивают. Иногда оставляют в настройках правила пересылки, чтобы в реальном времени получать проходящую через ящик почту. То есть чаще всего они могут только читать послания, но не отправлять их — иначе скорее всего попытались бы провернуть BEC.
       
      View the full article
    • KL FC Bot
      Что такое новый Kaspersky для дома | Блог Касперского
      От KL FC Bot
      В личных итогах-2022 я умышленно пшикнул тайной вокруг суперрелизов домашних и карманных продуктов, немного предвосхитив в этом году нечто сногсшибательно-невероятное. Вот и пришло время Большого Анонса! И слово «супер» вместе с «релизом» здесь неспроста: мы разработали специализированное суперприложение, в котором пользователь найдёт всё для своей киберзащиты. И не только для киберзащиты!
      Новый Kaspersky Premium
      Начну издалека…
       
      View the full article
×
×
  • Создать...