مختبرات Comodo AV تحذر من عمليات الاحتيال المجانية للبيع في PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.

Comodo AV Labs تحذر من عمليات احتيال مجانية للبيع

الطابع الزمني: 8 مايو 2014 10:47 صباحًا

وقت القراءة: 5 دقائق

تم تصميم معظم البرامج الضارة التي تم إنشاؤها هذه الأيام لتوليد الدخل لمؤلفي البرامج الضارة. هذه ليست مفاجأة ، لكن من المدهش مدى إبداع هؤلاء المجرمين الرقميين. في كومودو AV مختبرات نلاحظ ونحلل المخططات والحيل والأساليب العديدة التي يستخدمونها للحصول على مكاسبهم غير المشروعة ، بما في ذلك:

  • الإنشاء المباشر للعملة
  • طرق صنع الأموال غير المباشرة
      • تتم سرقة المعلومات وبيعها أيضًا مقابل أموال حقيقية ، وسرقة بيانات الاعتماد المالية واستخدامها لسرقة الأموال ، وحركة المرور المتولدة على مواقع ويب معينة بها إعلانات ، وبالتالي تحقيق الدخل
  • طرق الدفع المباشرة ، مثل برامج الفدية الضارة
    • يقوم مؤلفو البرامج الضارة بتشفير التطبيقات الشريرة التي تجبر المستخدمين المتأثرين أو تخدعهم لدفع مدفوعات مباشرة إليهم كفدية.
    •  على سبيل المثال Cryptolocker البرمجيات الخبيثة، مضادات الفيروسات المارقة أو طريقة "الدفع مقابل تطبيق مجاني" المكتشفة حديثًا.

احتيال مجاني للبيع

في الآونة الأخيرة ، لاحظنا ظهور مخطط جديد للدفع المباشر حيث يتم خداع الضحايا لدفعها تنزيل برامج مجانية. هذا نهج جذاب للغاية لمجرمي الإنترنت. لا يحتاج المؤلف إلى إنفاق الوقت والمال لإنشاء تطبيق معقد يحتاجه المستخدم بالفعل. ليس عليهم حتى كتابة برنامج مزيف يبدو حقيقيًا.

بعد الدفع مقابل التطبيق وتثبيته ، قد لا يشك المستخدم أبدًا في أي شيء لأن التطبيق يعمل كما هو متوقع. حتى إذا اكتشف الضحية أنه دفع مقابل شيء كان يمكن أن يحصل عليه مجانًا ، فإن المحتال غير متصل بالبرنامج وسيكون من المستحيل تقريبًا تتبعه.

يمكن لمؤلف البرامج الضارة إطلاق مخططه بثلاث خطوات بسيطة. أولاً ، يتم إنشاء طريقة دفع لاستخدامها في العملية. هذا يختلف ، لكنه يشمل الدفع عبر الإنترنت والتحويل المصرفي وخدمات الرسائل القصيرة الإضافية.

ثانيًا ، يقومون بإنشاء مُثبِّت مخصص "الدفع مقابل التثبيت" والذي يقوم بتنفيذ خدمة الدفع المحددة السابقة ويقوم إما بتغليف إعداد البرنامج الأصلي أو تنزيل التطبيق الشرعي من موقع مخصص عند إجراء الدفع.

ثالثًا ، "يروجون" التطبيق للضحايا المحتملين. يمكن تحقيق ذلك من خلال حيل القبعة السوداء لتحسين محرك البحث ، والأساليب المستخدمة على نطاق واسع من قبل مؤلفي البرامج الضارة ، عبر الإعلانات والبريد العشوائي وغير ذلك.

تحليل مثال الحياة الواقعية

لقد واجهنا هذا النوع من الخداع بين بعض التطبيقات الضارة التي قمنا بتحليلها. يجب أن تساعد المعلومات التالية المستخدمين على فهم التهديد وتقدم بعض القواعد الأساسية لتجنب التعرض للخداع بهذه الطريقة.

مجانية- img0عند التنفيذ ، يعرض التطبيق رسالة ترحيب ويوضح أنه مثبت لـ "Mozilla Firefox 26.0" ، متصفح الويب المعروف والشرعي والمجاني.

برنامج مجاني - img01الخطوة التالية من التثبيت تنقل المستخدم إلى شاشة تنص على أنه من أجل تثبيت التطبيق ، يجب أن يتم السداد عبر رسالة نصية قصيرة كرسوم إضافية إلى الرقم 81126. وهي تعد المستخدم بأنه سيتم تسليم رمز التثبيت. ويمكن أن تستمر العملية. إذا لم تتم كتابة الرمز في مربع التحرير ، فلن يستمر التثبيت.

برنامج مجاني - img02مجانية - img03يكشف استخراج ملف التكوين من برنامج التثبيت عن بعض التفاصيل المثيرة للاهتمام والمثيرة للقلق حول الخطوات التي يتخذها وكذلك الرموز المستخدمة في العملية.

لنفكر في سيناريو يرسل فيه المستخدم رسالة SMS لاسترداد رمز التثبيت.

عند كتابة هذا الرمز في مربع التحرير ، يتم التحقق منه مقابل الرمز الموجود في التكوين ويتم عرض مربع رسالة ، يوضح أن "الرمز الأول صالح.

في الخطوة التالية ، أدخل الرمز الثاني من الرموز الثلاثة المطلوبة. أرسل رسالة نصية قصيرة تحتوي على X10 إلى 81126 وستتلقى رسالة بها رمز التثبيت الخاص بك. "

في الختام ، لم تكن رسالة نصية واحدة ، ولكن كانت هناك حاجة لإرسال ثلاث رسائل نصية إضافية لاسترداد "رمز التثبيت". الأول:

مجانية - img04
ثم "الكود" الثاني:

برنامج مجاني - img05
مجانية - img06
بعد إدخال كل رمز ، يتم إرسال تقرير عبر مكالمة http لتسجيل استخدام رمز صالح. المجال المستخدم لهذا هو vox-telecom.com. لا يحتوي موقع الويب المرتبط بهذا المجال على أي معلومات اتصال أو تفاصيل عن الشركة أو من يقف وراءها.

مجانية - img07
يحتوي على كل الدلائل على أنه إعداد يهدف إلى منح المستخدمين ظلًا من الثقة باستخدام اسم شركة معروفة من أعمال الاتصالات السلكية واللاسلكية منطقة.

بعد أن يقوم المستخدم بإدخال الكود الثالث أيضًا ، يستمر المثبت لتنزيل مثبت التطبيق الشرعي من softwareapp-pro.s3.amazonaws.com/ uploads / program_file / file_url / 167 / a680381d-79b3-4aa1-b0b0-8d748a09a486 / Firefox٪ 20Setup٪ 2026.0.exe وتشغيله.

مجانية- img09
مجانية- img10كما هو موضح في اللقطة ، يؤكد التوقيع الرقمي حقًا أن التطبيق الذي تم تنزيله صالح ويمكن تثبيته بأمان.
بعد الانتهاء من الإعداد ، يوجد برنامج التثبيت الأولي ، مما يترك للمستخدم تطبيقًا مثبتًا حديثًا والذي كان في الواقع برنامجًا مجانيًا ، لكنه دفع ثمنه.

وفي الختام

لتجنب مثل هذه المواقف ، يجب على المستخدمين دائمًا تنزيل التطبيقات من موقع الويب الخاص بالبائع أو من موقع التنزيل ذي السمعة الطيبة مثل download.com. احذر من الروابط التي يتم الترويج لها عبر رسائل البريد الإلكتروني أو الإعلانات أو النوافذ المنبثقة على موقع الويب.

أيضًا ، حدد نقطة للتحقق مما إذا كان التطبيق الذي تحتاجه هو مجانية أو في الواقع تحتاج إلى دفع ثمنها. تحتوي العديد من التطبيقات المدفوعة على نسخة تجريبية يمكن اختبارها قبل شرائها ، مع وصف وثائق الدفع الخاصة بها.

الأهم من ذلك ، احذر من تطبيقات البرامج التي تطلب الدفع عبر أرقام الهاتف أو الرسائل النصية القصيرة عند التثبيت.

ولكن الأهم من ذلك كله ، أن أفضل طريقة للحماية من مثل هذه البرامج الضارة هي عن طريق تثبيت ملف الحماية من الفيروسات على نظامك

تفاصيل العينة:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo الإنترنت الأمن الكشف: TrojWare.Win32.ArchSMS.AB

بدء محاكمة حرة احصل على بطاقة نقاط الأمان الفورية الخاصة بك مجانًا

الطابع الزمني:

اكثر من كومودو الأمن السيبراني