Fałszywy link w Google. Jeden symbol zdradza podstęp

W wyszukiwarce Google cały czas można trafić na fałszywe linki do aplikacji, a opisywany przez nas niedawno przykład Notepada++ nie jest jedynym zagrożeniem. Równolegle w Google można trafić na reklamy związane z oprogramowaniem KeePass. Tutaj oszustwo można rozpoznać po jednym znaku w URL-u strony docelowej.

Fałszywe linki na szczycie listy wyszukiwania w Google to nic nowego, ale oszustwo może przybierać różne formy. Najprostsza do rozpoznania wydaje się wersja, w której fałszywa reklama prowadzi do zupełnie innej strony i nikt nie stara się tego ukryć - taka sytuacja ma miejsce w przypadku spreparowanych wyników wyszukiwania związanych z programem Notepad++. Na drugim końcu skali znajdują się za to tak przygotowane reklamy, których obserwacja w praktyce nie pozwala dostrzec, że są fałszywe.

Pomiędzy tymi dwoma podejściami można jednak wyróżnić jeszcze jedno - fałszywe linki w Google, które prowadzą do strony z mało widoczną zmianą w adresie docelowym. Takim przykładem jest opisywany przez Malwarebytes przypadek spreparowanych skrótów do aplikacji KeePass. Oszuści stworzyli stronę docelową, której adres tylko na pierwszy rzut oka wydaje się identyczny, jak w przypadku autentycznej strony. Kluczowe jest wykorzystanie znaku "k" z akcentem, który po przekonwertowaniu na ASCII okazuje się zupełnie zmieniać adres docelowy strony (z ķeepass[.]info na xn--eepass-vbb[.]info).

Efekt jest oczywiście podobny, jak w przypadku innych scenariuszy. Użytkownik trafia na spreparowaną stronę, która dobrze udaje oryginał, gdzie można pobrać oprogramowanie (w praktyce jego zainfekowaną wersję). Instalacja sfałszowanego KeePassa w komputerze może prowadzić do różnego rodzaju strat, począwszy od wykradania danych logowania na realizacji innych ataków kończąc. Jak podaje Malwarebytes, w instalatorze zaszyte jest bowiem szkodliwe oprogramowanie FakeBat.

Dalsza część artykułu pod materiałem wideo

Konsekwentnie apelujemy więc o ostrożność i sugerujemy korzystać wyłącznie z zaufanych stron podczas pobierania oprogramowania. Fałszywe reklamy znikną z wyników wyszukiwania Google'a po zastosowaniu w zasadzie dowolnego blokera niechcianych treści, który w tym przypadku pełni na swój sposób rolę oprogramowania zabezpieczającego przed zagrożeniem.