Sahte güvenlik yazılımı

Sahte güvenlik yazılımı, kullanıcıları bilgisayarlarında bir virüs olduğuna inandıran ve sonrasında virüs kaldırma aracı için para isteyen (aslında virüsü getiren program budur) bir çeşit zararlı yazılım ve internet dolandırıcılığıdır. Scareware ve bir çeşit ransomware olarak da değerlendirilebilir. Sahte güvenlik yazılımları 2008'den beri bilgisayarlar için önemli bir tehdit oluşturuyor. AdDestroyer ve VirtualBouncer (ikisi genelde beraber gelir) sahte güvenlik yazılımlarının tanınmasını sağlamış olan, 2004'te var olmuş iki eski örnektir.

Nüfuz

Sahte güvenlik yazılımları kullanıcının işletim sisteminin ve tarayıcısının güvenlik korumalarını geçmek için sosyal mühendislik aracılığıyla kurbanların bilgisayarlarına girmektedir. Örneğin bir websitesi kullanıcıyı bilgisayarlarında virüs olduğuna inandırmak için sahte bir uyarı çıkarabilir ve onları kandırarak gerçek bir antivirüs olduklarını sandıkları sahte güvenlik yazılımlarınını indirtebilir.

Çoğu içerisinde bir Trojan parçası içerir, kullanıcılar da bunu yanlışlıkla indirir. Trojan:

• Bir tarayıcı plugini veya uzantısı (genellikle bir toolbar)
• Email ekindeki fotoğraf, ekran koruyucu veya arşiv dosyası
• Bir videoyu oynatmak için gereken multimedya kodeği
• Peer-to-peer ağlarda paylaşılan bir yazılım
• Bedava online bir zararlı yazılım tarayıcısı

olarak kendini değiştirebilir.

Bazı sahte güvenlik yazılımları kullanıcıların bilgisayarlarına tarayıcılarda, PDF okuyucularda veya email yönetimi progrmalarında bulunan bir açık olan drive-by downloadlar ile kullanıcı herhangi bir şey yapmadan otomatik olarak nüfuz edebilir.

Daha yakın tarihlerde, zararlı yazılım üreticileri SEO zehirleme tekniklerini kullanarak arama motorlarındaki gündemdeki haberler hakkındaki yerlere zararlı URL'ler yerleştirdiler. Bu tür haberleri bulmaya çalışan insanlar, tıkladıkları zaman direk siteye varmak yerine siteler zincirine takılıyor ve ana siteye ulaşmadan önce site bilgisayarda virüs olduğunu söylüyor ve sahte programın bir deneme versiyonunu indiriyordu. Google tarafından 2010'da yapılmış bir araştırmada 11,000 sitenin bu tür yazımları içerdiği bulunmuştur, ayrıca bu virüsler internetteki reklamlar sayesinde yayılan virüslerin %50'sini oluşturmaktadır.

Soğuk arama, arayanların kendilerini "Microsoft Destek" veya başka bir şirket olarak tanıtmasıyla bu tür zararlı yazılımların bir yayılma şekli haline gelmiştir.

Yaygın yayılma yolları

Siyah Şapka SEO

Siyah şapka arama motoru optimizasyonu (SEO) arama sonuçlarında zararlı URL'ler gösterilmesini sağlayarak arama motorlarını kandırmaya yarayan bir tekniktir. Bu zararlı sayfalar arama sonuçlarında yukarılarda çıkamk için popüler anahtar kelimeleri içerir. Kullanıcı arama yaptığında karşısına bu sayfalardan biri çıkar. Çoğunlukla Google Trends'de gösterilen popüler anahtar kelimeler siteye bir PHP scripti yardımıyla otomatik olarak eklenir. Bu PHP scriptleri arama robolatını izler ve arama robotlarına özel olarak yazılmış ve arama sonuçlarında önlerde çıkan siteleri verir. Daha sonra kullanıcı anahtar kelimeleri veya fotoğrafları kullanarak arama yapar ve bu siteler tıkladığında sahte güvenlik yazılımı yükleme sitesine yönlendirilir.

Zararlı reklamcılık

Çoğu websitesi sitelerinde reklam yapmaları için üçüncü parti servisleri kullanır. Eğer bu servislerden biri zarar görmüşse, bu yanlışlıkla bütün websitelerinin sahte güvenlik yazılımı reklamı yaparak zarara uğramasına sebep olabilir.

Spam kampanyalar

Zararlı ekler veya zararlı programlara linkler içeren spam mesajlar ve drive-by download siteleri sahte güvenlik yazılımlarını yaymak için kullanılan yayın yollardan biridir. Spam mesajlar kullanıcıların tıklaması için günlük hayattaki olaylar tarzında mesajlar içerir, bu bir paket teslimatı veya vergi belgesi olabilir. Kullanıcılar bu sosyal mühendislik tekniklerine kandıkları anda ekten veya direkt olarak zararlı siteden virüsten etkilenirler. Buna ayrıca drive-by download da denir. Genellikle drive-by downloadlarda kullanıcı herhangi bir şey yapmadan ve onun farkında olmadan, sadece websiteyi ziyaret ederek kullanıcının bilgisayarına bulaşır.

İşlem

Kurulduğunda sahte güvenlik yazılımı aşağıdakileri yaparak kullanıcıyı servisi veya başka bir yazılımı satın almaya teşvik edebilir:

• Kullanıcıyı sahte veya simüle edilmiş bir şekilde bilgisayarında zararlı yazılım veya pornografi bulunduğu hakkında uyarma
• Sistemin çökmesi veya yeniden başlamasının gösterildiği bir animasyon gösterme.
• Kullanıcıyı yazılımı silmesini engellemek için sistemin bazı özelliklerini devre dışı bırakma. Bazıları antivirüs programlarının çalışmalarını engelleyebilir, sistem güncellemelerini devre dışı bırakabilir veya antivirüs sitelerine girmeyi engelleyebilir.
• Bilgisayara zararlı yazılım yükleme, sonrasında kullanıcıyı onları "tespit ettikten" sonra bunun hakkında uyarma. Antivirüsler zararlı yazılımları yakalayabileceklerinden dolayı bu yöntem pek sık kullanılmaz.
• Sistem güvenlik ayarlarını değiştirme, sonrasında kullanıcıyı "uyarma".

Sahte güvenlik yazılımı geliştiricleri kullanıcıları satışların bir kısmını yardımsever amaçlarla bağışladıklarını söylerek insanları yazılımı almaya teşvik edebilir. Örneğin Green antivirüsü, satılan her bir kopya için bir çevresel değişim programına 2$ bağışladığını söylemektedir.

Bazı sahte güvenlik yazılımları scarewareler ile benzerlik gösterebilir:

• Bilgisayardaki acilen çözülmesi gereken performans problemlerini çözmek için veya gerekli olan bakımı yapmak için teklifler sunmak.
• Sahte görünümlü ve gerçek sistem uyarılarını taklit eden pop-up ve güvenlik uyarılarıyla kullanıcıyı korkutmak.

Federal Ticaret Komisyonu'nun vermekle tehdit ettiği ağır cezalar ve 2006'dan beri artmış olan anti-malware yazılımlar, casus yazılım ve adware dağıtım ağlarının karlı bir şekilde çalışmasını zorlu hale getirdi. Zararlı yazılım üreticileri sahte güvenlik yazılımlarının daha karlı olan bir iş modeline doğru rotalarını değiştirdiler, bu da kullanıcıların direkt olarak masaüstü bilgisayarlarını hedef almaktadır.

Sahte güvenlik yazılımları çoğunlukla karlı affiliate networkler yoluyla yayılmaktadır, bu ağlar kendilerine verilmiş olan trojan kitlerinin her kurulmasına karşılık bir para ve satın alımlardan da bir komisyon alır. Ağlar ayrıca yazılımın yayılmasından ve yayılması için gereken altyapıdan sorumludur. Antivirus XP 2008 sahte güvenlik yazılımı hakkında güvenlik araştırmacıları tarafından yapılan bir araştırmada bir affiliate networkün, 10 gün içerisinde 150,000$'a varan paralarda komisyon aldığını ve on binlerce başarılı kurulum gerçekleştirdiği ortaya çıktı.

Karşı uğraşlar

Özel uğraşlar

Bütün ülkelerde kanun ve hukuk eski ve çok görülen suçların sadece yeni teknik şekillerle yapmasına rağmen sahte güvenlik yazılımların varlığına tepki vermek için çok yavaştı. Buna karşılık olarak, ilk sahte güvenlik yazılımının varlığından beri birçok tartışma forumu ve tehlikeli ürünlerin listeleri bulundu. Bazı saygıdeğer üreticiler, Kaspersky gibi, sahte güvenlik yazılımları hakkındaki listesini yayınlamaya başladı. 2005'te, anti casus yazılımların, akademisyenlerin ve tüketici gruplarının bir koalisyon olan Anti-Spyware Coalition (Anti Casus Yazılım Koalisyonu) kuruldu.

Çoğu özel çalışma resmi olmayan genel internet forumlarındaki tartışmalardı, fakat sonraları bazıları bireyler tarafından başladı, hatta uygulandı. En ünlü ve geniş olarak tanımlayabileceğimiz olanı ise Eric Hoves tarafından kurulmuş olan sahte güvenlik yazılım ve şüphelenilen programların listesi olan Spyware Warrior listesi ve aynı addaki websitesi, Fakat 2007'nin Mayısından beri güncellenmiyor. Website yeni anti sahte güvenlik yazılım programları için bazı siteleri öneriyor, fakat bu sahte güvenlik yazılımların çoğu pek yeni değil ve yıllardan beri var olan aynı yazılımların biraz daha değiştirilmiş versiyonları.