Szokatlan bejelentkezési kísérlettel kapcsolatos átverés

A „Szokatlan bejelentkezési kísérlet” átverés egy megtévesztő webalapú rendszer, amely jogos biztonsági figyelmeztetéseket utánoz, hogy megijessze a felhasználókat, és rávegye őket, hogy egy partnerlinken keresztül vásároljanak víruskereső szoftvert. A csalárd oldal a Windows biztonsági összetevőit utánozza, kitalált fenyegetésészleléseket jelenít meg, és hamis sürgősségérzetet kelt azzal, hogy azt állítja, hogy egy fiókot vagy eszközt feltörtek.

Annak ellenére, hogy jól ismert biztonsági termékekre hivatkozik, és olyan vizuális elemeket használ, amelyek valódi operációs rendszeri riasztásokra hasonlítanak, ez a weboldal nem áll kapcsolatban semmilyen legitim vállalattal, szervezettel vagy entitással. Az oldalon említett kiberbiztonsági szolgáltatók és márkák nem vesznek részt ebben a rendszerben, és nem támogatják annak tevékenységeit.

A hamis biztonsági figyelmeztetés, ami elindítja a támadást

A csalás egy piros felugró ablakkal kezdődik, amely a Windows biztonsági értesítési paneljére hasonlít. Azt állítja, hogy szokatlan bejelentkezési kísérletet észleltek, és technikai bizonyítékokat is bemutat a figyelmeztetés alátámasztására.

Az oldal kitalált részleteket jelenít meg, többek között:

• Egy feltételezett IP-cím, amely a gyanús tevékenységhez kapcsolódik.
• Egy ország, ahonnan a bejelentkezési kísérlet állítólag származik.
• Információk a behatolás során állítólag használt böngészőről.
• Egy „BETÖLTÉS FOLYAMATOS” folyamatjelző sáv, amely azt jelzi, hogy egy támadás aktívan kibontakozik.

Ezzel egy időben a látogatók egy böngészőértesítést jelenítenek meg, amely egy valódi Microsoft Defender riasztást utánoz. Figyelmeztet egy „rendszerjelszó-visszaállítási és Wi-Fi adatlehallgatási kísérletre”, és az „Archiválás”, „Frissítésvédelem” és „Rendszervizsgálat” feliratú gombokat kínál. Ezek az üzenetek teljes mértékben kitaláltak, és csak arra szolgálnak, hogy a csalást legitimnek tüntessék fel.

Miért teljesen hamisak a riasztások?

Az oldalon megjelenített figyelmeztetéseknek nincs kapcsolatuk a látogató tényleges rendszerállapotával. Sem a Microsoft, sem a Windows nem használ harmadik féltől származó webhelyeket biztonsági riasztások megjelenítéséhez böngésző felugró ablakokon keresztül.

A jogos biztonsági értesítések a telepített szoftverekből és magából az operációs rendszerből származnak. Egy véletlenszerű weboldal nem tudja figyelni a fióktevékenységeket, észlelni a jelszólopást, vagy azonosítani a Wi-Fi-lehallgatási kísérleteket. A teljes kijelző úgy van szkriptelve, hogy vészhelyzetet szimuláljon, és cselekvésre kényszerítse a felhasználókat anélkül, hogy megkérdőjelezné az információk hitelességét.

A hamis rendszervizsgálat

Miután a látogatók interakcióba léptek az oldallal, egy másik felületre kerülnek, amely egy Microsoft Defender vizsgálatot utánoz.

A hamis szkenner egy folyamatjelző sávot jelenít meg, egy 25-re beállított „Talált problémák” számlálót jelenít meg, és folyamatosan listázza a feltételezett fenyegetésészleléseket a valódi biztonsági szoftverek által alkalmazott elnevezési konvenciókhoz hasonló konvenciókat használva. Ez a vizuális megjelenítés célja, hogy meggyőzze a felhasználókat arról, hogy átfogó kártevő-ellenőrzés van folyamatban.

A valóságban a weboldalak nem tudnak víruskeresést végezni a látogatók eszközein. Egy weboldal nem rendelkezik a fájlok vizsgálatához, fertőzések észleléséhez vagy a rendszer sebezhetőségeinek értékeléséhez szükséges engedélyekkel és képességekkel. A folyamat során megjelenő minden figyelmeztetés és észlelés előre meghatározott, és a számítógép tényleges állapotától függetlenül jelenik meg.

Kitalált kritikus sebezhetőségek és adatlopási igények

A csalás utolsó szakaszában egy „Kritikus sebezhetőségek észlelése” feliratú oldal jelenik meg. A látogatókat tájékoztatják arról, hogy rendszereiket feltörték, jelszavaik kiszivárogtak, és hogy fiókjuk feltörése folyamatban van.

A veszélyérzet fokozása érdekében az oldal egy „Adatok másolása” folyamatjelző sávot is tartalmaz, amely 75%-nál látható, azt a hamis benyomást keltve, hogy érzékeny információkat lopnak el.

Ezek az állítások teljes mértékben kitaláltak. A weboldal nem képes megállapítani, hogy sérültek-e a fájlok, kiszivárogtak-e a hitelesítő adatok, vagy adatokat másolnak-e az eszközről. A riasztó üzenetek kizárólag a pánikkeltést és annak valószínűségét célozzák, hogy a felhasználók követni fogják a csalás utasításait.

A terv mögött rejlő valódi cél

Az utolsó figyelmeztető képernyő alján egy zöld gomb található, amelyen a „Windows védelme” felirat szerepel. Erre a gombra kattintva a látogatók egy partnerlinken keresztül átirányítják őket egy legitim kiberbiztonsági termék webhelyére.

Ha egy látogató az átirányítás követése után előfizetést vásárol, a csalás mögött álló üzemeltetők jutalékot kapnak. A promotált legitim szoftvercégnek nincs szerepe a megtévesztő taktikákban, amelyeket ezen átirányítások generálására használnak.

Ez a fajta rendszer kihasználja a felhasználók elismert biztonsági márkákba vetett bizalmát, és a félelmet kihasználva pénzügyi haszonszerzésre tesz szert affiliate marketinggel való visszaélések révén.

Hogyan találkoznak az áldozatok a csalással

A felhasználók ritkán látogatják szándékosan a „Szokatlan bejelentkezési kísérlet” csalást tároló oldalakat. A legtöbb áldozatot megtévesztő online gyakorlatok és rosszindulatú hirdetési hálózatok révén irányítják át a rendszerre.

Az ilyen átirányítások gyakori forrásai a következők:

• Félrevezető hirdetések és felugró ablakok független weboldalakon.

• Kalózszoftvert, illegális streaminget vagy torrent letöltéseket kínáló oldalak.

• Rejtett linkeket tartalmazó adathalász e-mailek.

• Értesítések korábban jóváhagyott, csaló weboldalakról.

• Az eszközre telepített reklámprogramok átirányításokat kényszerítenek ki böngészési munkamenetek során.

Hogyan ismerjük fel a hasonló csalásokat?

Az ilyen jellegű biztonsággal kapcsolatos csalásoknak számos közös jellemzőjük van. Sürgős üzenetekre, riasztó grafikákra és kitalált fenyegetésjelentésekre támaszkodnak, amelyek célja a racionális döntéshozatal megakadályozása.

Egy weboldalt gyanúsnak kell tekinteni, ha:

• Azt állítja, hogy az eszköz telepített biztonsági szoftver használata nélkül fertőzött.
• Hamis szkenneléseket vagy sebezhetőségi számokat jelenít meg közvetlenül a böngészőben.
• Figyelmeztet, hogy jelszavakat loptak, vagy valós időben másolják a fájlokat.
• Ismert cégneveket használ, miközben affiliate linkeken keresztül irányítja át a felhasználókat.
• A súlyos következmények elkerülése érdekében a látogatókat azonnali szoftvervásárlásra kényszeríti.

Záró gondolatok

A „Szokatlan bejelentkezési kísérlet” átverés a társadalmi manipuláció klasszikus példája, amely a megbízható biztonsági termékek látszatát kihasználva pánikkelt. Hamis riasztások, hamis rendszerellenőrzések és kitalált adatlopási forgatókönyvek megjelenítésével a csalók megpróbálják rávenni a látogatókat, hogy partnerlinkeken keresztül vásároljanak szoftvert.

Az ilyen és hasonló online csalások elkerülése érdekében elengedhetetlen, hogy egészséges szkepticizmussal tekintsünk a váratlan biztonsági figyelmeztetésekre, és ne feledjük, hogy a webhelyek nem tudnak rendszerellenőrzéseket végezni.