De ce oamenii continuă să descarce fișiere din surse îndoielnice și, ca urmare, își infectează dispozitivele cu malware?

Unul dintre sfaturile pe care specialiștii din domeniul securității le oferă de câteva decenii, dacă nu chiar mai mult, este acela că trebuie să descărcați software numai de pe site-uri de încredere. Dar chiar și atunci când un astfel de sfat este împărtășit pe scară largă, oamenii continuă să descarce fișiere din locuri care nu sunt mereu respectabile și, ca urmare, reușesc să-și compromită dispozitivele și datele personale.

Atacurile din zilele noastre sunt, de obicei, motivate financiar, dar există și alte consecințe neprevăzute. Spre exemplu, în cadrul unor conversații de pe plaforma Reddit (unde se oferă asistență generală atât în domeniul informaticii, cât și sfaturi mai specifice privind eliminarea programelor malware) sau chiar în discuțiile online de pe diverse servere Discord, se pot regăsi adesea astfel de mesaje:

Atât serviciile Discord, cât și cele ale Reddit se adresează unui grup demografic mai tânăr decât site-urile de socializare, cum ar fi Twitter și Facebook. Aceste persoane au crescut în domeniul digital și au avut acces la sfaturi și discuții despre practicile informatice sigure încă de când făceau primii pași în lumea digitală.

Un blocaj în procesul de comunicare

În ciuda avantajului de a fi avut acces la internet și la informații despre securitatea digitală încă de la o vârstă fragedă, cum se face că aceste persoane ajung să fie victimele unor atacuri cibernetice? Unii practicieni în domeniul securității informației se pot întreba unde anume se produce decalajul între ceea ce aceștia le transmit oamenilor să facă și cum acționează aceștia în realitate.

Uneori, oamenii recunosc în mod deschis că au fost conștienți de pericol, dar au luat o „decizie neinspirată”, alegând să aibă încredere în sursa obscură a software-ului sau a aplicației descărcate. Uneori această sursă poate fi un website fals care afișează aparent toate elementele de aspect ale unui site legitim sau ale unei platforme consacrată, inducând astfel în eroare utilizatorii. Cele mai frecvente scenarii conduc la compromiterea PC-ului sunt:

• Utilizatorul afectat a primit un mesaj privat în platforma Discord din partea unui prieten online care îi cerea un feedback în legătură cu un joc pe care acesta îl dezvolta. „Jocul” se afla într-un fișier .ZIP protejat prin parolă, pe care utilizatorul a trebuit să îl descarce și să îl extragă cu ajutorul parolei înainte de a-l rula. Din nefericire, contul prietenului fusese compromis anterior, iar atacatorul îl folosea acum pentru a răspândi un software malițios.

• Victimele atacului au folosit Google pentru a căuta un pachet software comercial pe care doreau să-l folosească, dar au specificat că doreau o versiune gratuită sau o versiune de tip „cracked” (o versiune reconfigurată, adesea în mod ilegal, care elimină restricțiile de software pentru a oferi acces complet în cadrul programului sau a aplicației) și l-au descărcat din cadrul unui site web afișat în rezultatele căutării. Nu este vorba întotdeauna de software comercial; chiar și programele gratuite sau open-source au fost recent vizate de campanii publicitare malițioase (malvertising) prin intermediul Google Ads.

• În mod similar, aceștia au căutat pe YouTube un videoclip despre cum să descarce o versiune gratuită sau o versiune de tip „cracked” a unui pachet software comercial și apoi au accesat site-ul web menționat în videoclip sau listat în comentariile acestuia pentru a-l descărca.

• Au instalat software-ul malițios, descărcat de pe site-uri cunoscute și specializate în software piratat, prin intermediul protocolului de tip torrent.

• Au descărcat software-ul prin intermediul protocolului de tip torrent de pe un tracker privat, un canal Telegram sau un server Discord în care au fost activi timp de peste un an.

Acestea nu sunt singurele mijloace prin care oamenii au fost păcăliți să ruleze programe malware. Spre exemplu, cercetătorii ESET au descoperit câteva cazuri recente:

• Într-un caz notabil, KryptoCibule, un malware axat pe criptomonede care a vizat utilizatorii cehi și slovaci, a fost răspândit prin intermediul unui popular serviciu local de partajare a fișierelor, acesta fiind deghizat în jocuri piratate sau conținut descărcabil (DLC) pentru acestea.

• Într-un al doilea caz, vorbitorii de limbă chineză din Asia de Sud-Est și de Est au fost vizați de actorii amenințărilor în ceea ce privea rezultatele căutării pe Google. Link-urile afișate duceau către site-uri false ale aplicațiilor populare, cum ar fi browserul web Firefox, și aplicațiile populare de mesagerie Telegram și WhatsApp, oferind spre instalare versiuni care conțineau troianul FatalRAT, ce facilita accesul de la distanță în dispozitivele utilizatorilor.

Aceste scenarii se aseamănă căci, în ciuda diverselor modalități de a primi fișierul (acțiunea de căutare pe internet, solicitarea primită din partea altcuiva, utilizarea unui motor de căutare, a unui site video sau a unui site specializat în software piratat etc.), toate au un lucru în comun: au exploatat încrederea utilizatorului.

Modalități (mai) sigure

Atunci când cercetătorii din domeniul securității vorbesc despre descărcarea fișierelor exclusiv din cadrul site-urilor web de încredere, se pare că, de multe ori, specialiștii le transmit oamenilor ce fel de site-uri să acceseze fără a le explica ce anume face ca un site să fie sigur, în primul rând. Așadar, iată de ce ar trebui să țineți cont:

SFAT: Ar trebui să descărcați software direct de pe site-ul autorului sau al editorului, sau de pe un site autorizat în mod expres de către aceștia.

În lumea actuală a software-ului, site-ul editorului poate avea o definiție mai flexibilă decât în trecut. Ar putea fi un site cu același nume de domeniu ca și site-ul editorului, dar se poate întâmpla, de asemenea, ca fișierele să se afle pe GitHub, SourceForge, să fie găzduite pe o rețea de livrare de conținut (CDN) operată de o terță parte. Acesta este în continuare site-ul editorului, deoarece a fost încărcat în mod explicit de către acesta. Uneori, editorii oferă și linkuri suplimentare către alte site-uri de descărcare. Aceștia procedează așa din diverse motive, cum ar fi pentru a acoperi costurile de găzduire, pentru a oferi descărcări mai rapide în diferite regiuni, pentru a promova software-ul în alte părți ale lumii. Și acestea sunt site-uri oficiale de descărcare, deoarece sunt autorizate în mod special de către autor sau editor.

Există, de asemenea, site-uri și servicii care acționează drept opțiuni de depozitare a software-ului. SourceForge și GitHub sunt site-uri populare pentru găzduirea proiectelor open-source. Pentru shareware (versiune a unui program care este oferită cu titlu gratuit pentru o perioadă de timp determinată) și versiunile trial ale programelor comerciale, există numeroase site-uri specializate în listarea celor mai recente versiuni oferite spre descărcare. Cu toate acestea, în unele cazuri, aceste site-uri pot ascunde elemente malițioase: unele dintre acestea oferă, pe lângă fișierele descărcate, și alte programe care vă pot îndemna să instalați software suplimentar. Aceste pachete de programe pot chiar să nu aibă nimic în comun cu software-ul de care sunt „atașate” și pot, de fapt, să instaleze aplicații potențial nedorite (PUA - potentially unwanted applications) pe computerul sau dispozitivul dvs.

Alte tipuri de site-uri de care trebuie să țineți cont sunt serviciile de partajare rapidă a fișierelor, cum ar fi Box, Dropbox și WeTransfer. Deși toate acestea sunt servicii legitime, pot fi folosite în mod abuziv de către un agent al amenințărilor: oamenii pot presupune că, deoarece serviciul este de încredere, programele descărcate sunt sigure. În schimb, departamentele IT care verifică exfiltrarea datelor pot ignora încărcările de fișiere care conțin informații sensibile, deoarece știu că acestea sunt servicii legitime.

În ceea ce privește motoarele de căutare, interpretarea rezultatelor acestora poate fi dificilă pentru cei neinițiați sau pentru persoanele care sunt pur și simplu nerăbdătoare. În timp ce scopul oricărui motor de căutare - fie că este vorba de Bing, DuckDuckGo, Google, Yahoo sau altul - este de a oferi cele mai bune și mai precise rezultate, esența companiei este adesea publicitatea. Acest lucru înseamnă că rezultatele din partea de sus a paginii nu sunt adesea cele mai bune și mai precise, ci doar anunțuri publicitare plătite. Mulți oameni nu observă diferența dintre anunțurile promovate și rezultatele obișnuite ale motoarelor de căutare, iar infractorii profită de acest lucru prin lansarea de campanii de malvertising, prin care cumpără spațiul publicitar necesar pentru a redirecționa oamenii către site-uri web utilizate pentru phishing și malware. În unele cazuri, infractorii pot înregistra un nume de domeniu folosind typosquatting sau un domeniu de nivel superior cu aspect similar cu cel legitim al dezvoltatorului de software pentru ca adresa site-ului lor web să fie mai puțin vizibilă la prima vedere, cum ar fi example.com față de examp1e.com (observați cum litera "l" a fost înlocuită de numărul "1" în cel de-al doilea domeniu).

În timp ce descărcarea directă vă asigură că obțineți software-ul de la compania (sau persoana) care l-a dezvoltat, acest lucru nu înseamnă neapărat că este un proces lipsit în totalitate de riscuri malware: au existat cazuri în care codul malițios a fost inclus într-un pachet software, în mod neintenționat sau nu. De asemenea, în cazul în care un editor de software realizează un set în care include aplicații potențial nedorite sau adware împreună cu software-ul său, atunci, în cazul în care descărcați, le veți primi pe toate acestea la pachet.

O atenție specială trebuie acordată diferitelor magazine de aplicații gestionate de furnizorii de sisteme de operare, cum ar fi Apple App Store, Google Play Store, Microsoft Windows App Store și așa mai departe. Am putea presupune că acestea sunt site-uri de încredere și, în mare parte, sunt așa, dar nu există o garanție de 100%. Autorii de software lipsiți de scrupule au ocolit procesele de verificare ale magazinelor de aplicații pentru a distribui software care invadează intimitatea oamenilor cu programe spion sau care afișează reclame abuzive, spre exemplu. Aceste magazine de aplicații au capacitatea de a elimina astfel de software din oferta lor, precum și de a-l dezinstala de la distanță de pe dispozitivele afectate, ceea ce oferă un anumit remediu. Cu toate acestea, acest lucru ar putea dura câteva zile sau săptămâni după ce software-ul a fost pus la dispoziție. Așadar, chiar dacă descărcați aplicații numai din magazinele oficiale, este esențial să aveți instalat și un software de securitate pentru a vă proteja dispozitivul.

Ce facem mai departe?

Specialiștii în domeniul securității îi sfătuiesc pe utilizatori să mențină actualizate sistemele de operare și aplicațiile computerului sau dispozitivului lor, să utilizeze doar cele mai recente versiuni ale acestora și să folosească software de securitate de la furnizori consacrați. Din fericire, oamenii fac în mare parte asta, iar acest lucru îi protejează de o mare varietate de amenințări.

Dar atunci când aceștia încep să caute surse obscure de unde să poată descărca conținut, software sau aplicații, lucrurile se pot complica. Programele de securitate încearcă să țină cont de comportamentul uman, dar la fel fac și infractorii care exploatează concepte precum reputația și încrederea. Atunci când un prieten apropiat de pe Discord vă cere să vă uitați la un program și vă avertizează că software-ul antivirus ar putea să-l detecteze în mod incorect ca fiind o amenințare, este bine să fiți precaut. Apărarea contra atacurilor care speculează încrederea utilizatorului, și care, în esență, sunt bazate pe inginerie socială, poate fi dificilă. În astfel de scenarii, educația utilizatorilor, și nu codul informatic, ar putea fi apărarea supremă, dar asta numai dacă specialiștii în domeniul securității transmit mesajele corecte.