Fake Antivirus Peddlers Geholpen door Microsoft, IRS

Grafisch: Diego Aguirre Slechts enkele weken nadat de Amerikaanse Federal Trade Commission twee bedrijven had gesloten die ervan werden beschuldigd nep-antivirussoftware te hebben verkocht, is een nieuwe speler op de markt verschenen, geholpen door glitches op de websites van Microsoft en de Amerikaanse Internal Revenue Service.

afgelopen vier dagen hebben de oplichters zogenaamde redirector-links gebruikt op websites die behoren tot tijdschriften, universiteiten en, meest opmerkelijk genoeg, de domeinen Microsoft.com en IRS.gov, zei Gary Warner, directeur van onderzoek in computer forensics bij de Universiteit van Alabama in Birmingham, die dinsdag de activiteit op zijn blog meldde.

Veel websites gebruiken redirector-links om bezoekers weg te halen van de site, hoewel de websitebeheerders proberen te voorkomen dat ze worden misbruikt door oplichters. De Google-URL //www.google.com/search?q=idg&btnI=3564 gebruikt de Google-functie 'Ik doe een gok' om websurfers naar IDG.com te sturen.

[Meer informatie: Hoe om malware van uw Windows-pc te verwijderen]

Als criminelen echter een redirector op een belangrijke website zoals Microsoft.com of IRS.gov kunnen gebruiken, kunnen ze hun schadelijke links zeer hoog weergeven in de zoekresultaten van Google, zei Warner in een interview.

"Microsoft is een super krachtige site wat betreft het gewicht van zoekmachines," zei hij.

De slechteriken hebben zoekmachines misleid om hun kwaadwillende links terug te sturen naar tienduizenden zoektermen, Zei Warner. Ze hebben dit gedaan door speciale software te gebruiken om deze redirector-links toe te voegen aan 'tienduizenden blogreacties, gastenboekitems en denkbeeldige blogverhalen overal op internet', zei Warner in zijn blogposting.

Je ziet de resultaten van deze activiteit. Een Google-zoekopdracht voor de term "Microsoft Office 2002-download" levert als eerste resultaat een Microsoft.com-omleidingslink op. Die link had bezoekers omgeleid naar een kwaadwillende website, die een webgebaseerde aanvalscode tegen slachtoffers lanceerde en hen probeerde te misleiden tot het downloaden van nep-antivirussoftware, aldus Warner. Tegen dinsdagavond had Microsoft het probleem opgelost, dus de Microsoft.com-link die in de zoekresultaten van Google voorkomt, neemt niet langer surfers mee naar de kwaadwillende website.

De IRS heeft het probleem nu ook aangepakt, maar ongeveer 20 andere sites blijven een probleem. Warner zei.

De nep-antivirussoftware, ook wel "scareware" genoemd, installeert een keylogger op de computer van het slachtoffer, vermoedelijk om inlognamen en wachtwoorden te stelen, en lanceert ook valse waarschuwingspop-ups op elke webpagina die de slachtofferbezoeken die hem vertellen dat hij antivirussoftware moet kopen, genaamd systeembeveiliging. De prijs voor het nepproduct? Een geloofwaardig klinkende $ 51.45.

De FTC schat dat 1 miljoen consumenten zijn opgenomen door andere nep-antivirusproducten die gaan op namen zoals WinFixer, WinAntivirus, DriveCleaner, ErrorSafe en XP Antivirus. Op 10 december bestelde een federale rechtbank twee bedrijven, Innovative Marketing en ByteHosting Internet Services, om te stoppen met het promoten van deze producten.

Warner weet niet wie er achter Systeembeveiliging staat, maar hij gelooft dat de oplichters achter deze nieuwste operatie mogelijk zijn verbonden met de eerdere oplichting. "Het is vergelijkbaar genoeg dat het iemand moet zijn die een relatie heeft met de laatste groep," zei hij.