Nincs hamis AV banki szemhunyás nélkül

2011. július 08. 13:05 - Csizmazia Darab István [Rambo]

Ahogy régebben nem volt karácsony Corvin nélkül, úgy az "egyedül nem megy" szellemében a hamis antivírus üzletből élők sem tudnának hosszú ideig nyereszkédni bizonyos körülmények, együttállások és egyes bankok támogatása vagy tudatos félrenézése nélkül.

A múltkori posztunkban a botnetes kártevőknél beszéltünk arról, hogy a bűnözőknek még arra is kiterjed a figyelme, hogy bérelhető botnethez használatos fertőző malware kódok minél kevésbé vagy lassabban kerüljenek a vírusirtó cégek laborjaiba, így a "partnerek" figyelmét felhívják, ne töltsék fel a kódot kíváncsiságból olyan tesztoldalakra, mint például a VirusTotal. Köztudott, hogy a VirusTotal automatikusan továbbítja az egyes gyártók részére a fel nem ismert mintákat, így idővel be tudnak kerülni a felismerési adatbázisba. Helyette a bűnözők saját maguk kínálnak ellenőrzést, amely a bérelt szolgáltatás részeként óránként ellenőrzi az EXE kódokat a különféle vírusvédelmi programokkal.

Ugyanez a leleplezést lassító, elkerülő taktika figyelhető meg a pénzügyi területen is - ugye ha Al Caponet el akarjuk fogni, akkor adócsalásért lehet. Elvileg a fizetésközvetítő cégek éberen figyelnek arra, ha valaki elégedetlen a vásárolt áruval, akkor a szerződő partnerek biztosítsák a pénzvisszafizetési garanciát, ellenkező esetben gyanússá válhatnak, illetve a fizetésközvetítő (pl. PayPay, AlertPay, ChronoPay, stb.) ideiglenesen vagy véglegesen kitiltja őket, és akkor ezzel elzárja a pénzcsapot. De szintén elvileg azt is figyelik, ha valahol pedig túl nagy számban történik pénzvisszafizetés, akkor ott valószínűleg kétes üzelmek zajlanak. Ezért aztán a hamis antivírussal foglalkozók pedánsan a nem feltűnő megfelelő szinten tartják ezeket a mutatóikat.

Csak egy apró példa, a sorozatban trükköző amerikai "üzletember" egyik magyarokat is beszippantó pilótajátéka, a 7 Day Wealth nevű csalás, ahol a játék 2010. októberi bedőlése, a weblap komplett eltűnése és a pénz vissza nem fizetése után újabb, hasonló jellegű, de teljesen más nevű pilótajátékok indultak. Ekkor a mindezt szervező Company Express nevű cég eleinte időt húzott, majd azt a módszert választotta, hogy egy keves számú embernek a pénze negyedét visszafizette - jellemzően azokét, akik a fizetésközvetítőnél hivatalos úton panaszt nyújtottak be - és ezzel elültette a reményt a többi várkozóban, és elkerülte a számlájának zárolását, látványosan "jószéndékot mutatott", majd pár hónap időhúzás után a maradék ellopott pénzzel szépen ellovagolt a naplementébe. A csalódott károsultak majd egy év után a mai napig is reménykedve levezgetnek még egymással a témában.

Akár hisszük, akár nem, ez az egy héten belüli pénzvisszafizetési garancia jelen van a hamis antivírus biznicben is. Ha valaki nagyon mérgesen, az üzletmenetet veszélyeztetve fellép a saját érdekében, a számla folyamatossága és a botrány elkerülése érdekében a hőzöngőket gyorsan kártalanítják jól tudva, a nyereség maximalizálása érdekében megéri ez a kis áldozat az esetek 1-3 százalékában, mert a fizető csendes többség szégyenében, idő hiány miatt vagy mert esélytelennek érzi nem panaszkodik, nem fordul hatóságokhoz, hanem lenyeli az 50-100 USD egyszeri vesztéseget. A tényleges vásárlási ráta körülbelül 2%, például az egyik tanulmányozott esetben 8.4 millió telepítés közül 189 342 végződött tényleges "vásárlással", ami vagy egy 6 hónapos, 1 éves licencet jelent 40-60 USD ellenében, vagy van élethosszig tartó konstrukcio is :-) 80 USD befizetésével, ez éri ám csak meg igazán ;-) Így jön össze a hamis antivírus csalásoknál jellemzően kb. 50 millió dolláros (9.1 millárd HUF) évi bevétel.

Ennél is tovább megy az az alapos tanulmány, amelyet Brian Krebs weboldalán tett közzé, és a University of California készített a szervezett bűnözés keretében folyó hamis antivirus üzletmenet pénzügyi vonatkozásairól. A több hónapos vizsgálódás eredményeként nem kevesebbet állít, minthogy egyes bankok és a fizetésközvetítő cégek tudva tudják ugyan, hogy mi is történik valójában, ám mivel közvetlen hasznuk származik belőle, nem tesznek ellene az égvilágon semmit. A csalók pedig több számlát használva, vagy ezek rendszeres, például havi csereberejével is operálnak. A biztonsági kutatók szerint a VISA és a Mastercard rendszerében is elvileg ott lehetne valamiféle megoldás, hogy az ilyen gyanús folyamatokat, cégeket, tevékenységeket hatékonyabban kiszűrjék, ha nagyon akarnák.

A harc jegyében ezen a fronton is el lehetne indulni, vélhetően ha majd a ChronoPay-hez hasonlóan elvezetik bőrszíjon egy-két további itt felsorolt azerbajdzsán, ciprusi és egyéb pénzintézet főnökét, gyaníthatóan varázsütésre meg is jönne majd a kedv a többieknél az alaposabb ellenőrzésre, a törvényesség betartásának fokozottabb fontosságára. Addig azonban ...

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása