Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Pomoc techniczna - nie zawsze warto z niej korzystać

Nicolas Brulez
Kaspersky Lab Expert
Dodany 19 lipca 2010, 13:21 CEST
Tagi:

Wiele razy pisaliśmy o fałszywych programach antywirusowych, wyjaśniając, w jaki sposób przy pomocy technik Black Hat Search Engine Optimization szkodliwi użytkownicy wykorzystywali wyszukiwarki do przekierowywania internautów na fałszywe strony oprogramowania antywirusowego.

Ostatnio zauważyliśmy, że rozprzestrzeniane fałszywe oprogramowanie jest wyposażone w przycisk “Online Support”. Zobaczcie prawy górny róg:

Po kliknięciu tego przycisku użytkownik zostaje przekierowany na chat z działem pomocy technicznej fałszywego oprogramowania antywirusowego. Zastanawialiśmy się, czy mamy tu do czynienia z botem odpowiadającym na pytania na podstawie słów kluczowych czy z rzeczywistymi ludźmi – okazało się, że po drugiej stronie byli prawdziwi ludzie!

Dowiedzieliśmy się, że oferują pomoc techniczną za pośrednictwem chatu, telefonu i poczty elektronicznej. E-mail jest szczególnie przydatny dla użytkowników nie mówiących po angielsku. Poprzez chat użytkownik dowiaduje się (po angielsku), że aby uzyskać pomoc w swoim ojczystym języku, ma wysłać e-mail w tym języku, podając w nim swój adres e-mail.

Jeżeli zostałeś zainfekowany fałszywym oprogramowaniem antywirusowym podczas korzystania z wyszukiwarki (Black Hat SEO po raz kolejny) i kontaktujesz się z działem pomocy technicznej, zostaniesz zapytany, w związku z którym oprogramowaniem antywirusowym potrzebujesz pomocy.

Gdy udzielisz odpowiedzi na to pytanie, dostarczą ci „darmową wersję próbną” oprogramowania, która usunie infekcje wykryte przez pierwszy program (ich nazwy są bardzo podobne).

Wersja testowa wygląda tak:

Program ten posiada ten sam interfejs, ale trochę inną nazwę – oraz ten sam przycisk “Online support”.

Fałszywy program antywirusowy będzie wykorzystywał język twojego systemu operacyjnego. Jeżeli na przykład używasz francuskiej wersji Windows XP, interfejs fałszywego programu antywirusowego będzie w języku francuskim, dzięki czemu będzie bardziej przekonujący.

Mówiąc o tak zwanej pomocy technicznej, stwierdziliśmy, że pierwszy fałszywy program antywirusowy jest jedynie „darmowym skanerem”, podczas gdy „wersja testowa” to w pełni funkcjonalny produkt – haczyk polega na tym, że okres próbny trwa tylko jeden dzień. Ponadto, wersja próbna nie usuwa pierwszego produktu, dlatego oferują również specjalne narzędzie usuwające.

W tym przypadku jest to narzędzie do dezinstalacji. Posiadają taki dla każdego „sprzedawanego” przez siebie produktu. Rzeczywiście usuwa on fałszywe oprogramowanie antywirusowe z komputera, przynajmniej częściowo. W zależności od narzędzia usuwającego, na komputerze może pozostać kilka plików, które być może pozwolą komuś ponownie uruchomić fałszywy program antywirusowy… nigdy nie wiadomo? Po takim „czyszczeniu” komputer nie zostaje przywrócony do stanu pierwotnego, niektóre zmiany w rejestrze zostają zachowane.

Po oczyszczeniu swojego komputera, zostajesz poproszony o wypełnienie ankiety online:

Wygląda na to, że ludzie ci przywiązują dużą wagę do opinii klientów i robią wszystko, co w ich mocy, aby dostarczać najlepsze z możliwych produkty i usługi.

Rozmawiając z pomocą techniczną producentów tego fałszywego oprogramowania, spróbowałem kilka sztuczek, aby mieć pewność, że nie mam do czynienia z inteligentnym botem. Jedną z nich było poproszenie go o wykonanie bardzo prostego działania matematycznego:

Chcieliśmy zlokalizować osoby świadczące tę pomoc i stwierdziliśmy, że najprawdopodobnie mieszkają na Ukrainie.

W czasie gdy upewnialiśmy się, czy osoby świadczące pomoc techniczną, nie są botami, przyszedł nam do głowy śmieszny trop.

Zacząłem prosić o załączenie uśmieszka, abym mógł się przekonać, że osoba, z którą rozmawiam, jest prawdziwa, a nie bot:

Wiedziałem, że będą używali zwykłych uśmieszków, więc poprosiłem o długi i zaraz wytłumaczę wam dlaczego.

Rozmawiając z moimi kolegami z Kaspersky Lab, stwierdziłem, że w Rosji (a także na portalach społecznościowych na Ukrainie) wielu czatujących „tworzy” uśmieszki bez oczu “:”. Jest to zachowanie, z którym nigdzie indziej nie spotkałem się. Zasadniczo, w przypadku długiego uśmieszku, należy spodziewać się czegoś takiego “:))))”, jednak w tych państwach oczy są usuwane i powstaje coś takiego “))))”. To potwierdzałoby naszą hipotezę o lokalizacji tych ludzi:

“))))” jest długim uśmieszkiem, o jaki poprosiłem. Zabawne, że uśmieszek nie ma oczu – dokładnie tak, jak spodziewałem się. To tylko potwierdza nasze przypuszczenia.

Podsumowanie

Zadzwoniłem do ich działu pomocy o godzinie 4 nad ranem. Uzyskałem odpowiedzi na moje pytania, co potwierdza, że pomoc świadczona jest rzeczywiście w trybie 24/7. Oferują pomoc za pośrednictwem poczty e-mail, chatu oraz telefonu i są przy tym bardzo dobrze zorganizowani. Można uzyskać narzędzia do dezinstalacji dla starszych wersji produktu oraz wersję testową ich nowszych produktów.

W przeciwieństwie do poprzednich, nowsze produkty „czyszczą” maszynę. Postanowiłem nagrać kilka sesji i udostępnić je tutaj.

</param></param></param><embed src="https://www.youtube.com/v/x9McPpnKxlI&amp;hl=ru_RU&amp;fs=1?rel=0" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="480" height="385"></embed>


</param></param></param><embed src="https://www.youtube.com/v/YQxZQ7fEGVE&amp;hl=ru_RU&amp;fs=1?rel=0" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="480" height="385"></embed>