På nettet er det mengder med gratis programvare som kan lastes ned og benyttes av hvem som helst. Et populært eksempel på dette er Flash Player laget av Adobe. Programmet brukes blant annet til å vise nettannonser, spill og annet interaktivt innhold på nettsider.
Dersom en vil hente ned dette programmet til sin PC vil det være logisk å gå til Google eller Bing og gjøre et søk. Det enkleste og mest naturlige å søke etter vil antakeligvis være "download flash". Et slikt søk gir i dag følgende resultat (trykk på bildene for større utgave):
I skjermbildene over er det reelle resultatet markert med grønn firkant, mens et mindre bra resultat er markert med rødt.. De rødmerkede resultatene er begge betalte annonser, men både hos Google og Bing er det vanskelig å skille disse fra de reelle søkeresultatene. Dette gjelder i særlig grad for Bings resultat.
Dersom en er uheldig og trykker på et av de røde resultatene, blir en sendt til en av følgende sider:
Begge sidene er norskspråklige, selv om forfatteren neppe hadde vunnet en rettskrivingskonkurranse. Begge sidene inneholder også en lenke til å laste ned "Flash-player". I begge tilfeller er det imidlertid følgende fil som blir hentet ned:
Dette er ikke egentlig en installasjons-fil til Flash-player, men en fil som er laget for å presse deg for penger for deretter å hente ned den reelle installasjonsfilen. Dersom en starter filen, får en opp følgende skjermbilde:
For å få tilgang til den ekte installasjonsfilen (som forøvrig kan hentes gratis her..) må en altså sende en melding til telefonnummeret 2098 som generer 2 SMSer til 15 kroner/stk. Dette kortnummeret er eid av Echovox som holder til i Sveits. Et kjapt nettsøk avslører at dette firmaet allerede har en del misfornøyde kunder.. Vi har ikke prøvd å sende meldingen, men vi blir ikke overrasket dersom det også fører til at brukeren blir meldt inn i en eller annen abonnements-tjeneste..
Dersom en prøver å skrive inn en kode i programmet vil den bli sendt inn til en sentral tjener for verifisering:
GET /sms/isvalid.php?code=2353&country=no&pr=FlashPlayer&af=flashplayer2010-no.info&num=2 HTTP/1.1
User-Agent: NSIS_Inetc (Mozilla)
Host: verify.smsstatus.com
Denne tjeneren står hos en større leverandør av hosting-løsninger i Frankrike, OVH SAS.
Såvidt vi kan se har programmet ingen annen funksjonalitet utover det vi viser over. Det er med andre ord ikke snakk om klassisk malware/skadevare, men heller en "lett utpresning" for å få brukeren til å betale penger for noe som kan lastes ned gratis.
Bakmennene har imidlertid gjort en stor jobb med å tilpasse dette systemet til forskjellige markeder med oversetting av sidene, avtale med lokale betalingsformidlere og målrettet annonsering hos større nettsider. De tilbyr også andre gratis programmer for nedlasting mot betaling som Google Earth, NOD32, Windows Live Messenger osv.
Denne saken minner en på at en må være forsiktig også med sponsede søkeresultater. Ofte kan også disse være lureri, selv om en kanskje skulle tro at store aktører som Google og Microsoft (Bing) ville sjekke annonsene sine bedre for lureri og svindel.
Vær alltid svært skeptisk til å gi fra deg kredittkortinformasjon og mobiltelefonnummer på nett, spesielt til ukjente kilder som dette. Forsøk å gå direkte til leverandørers sider, dersom du vet adressen, i stedet for å søke hos Google eller Bing.
Ingen kommentarer:
Legg inn en kommentar