Groźne kliknięcia – jak się przed nimi uchronić?

Naukowcy ustalili, że jedno kliknięcie przyciskiem myszy przekłada się na spalenie dokładnie 1,4 kilokalorii. To tyle co nic – zwłaszcza w porównaniu z tym, ile energii może kosztować nas zminimalizowanie skutków nieprzemyślanego kliknięcia. Surfując po Sieci bez zastanowienia, łatwo znaleźć się o krok – a raczej o klik – od katastrofy.

Zamiast oczekiwanej darmowej oferty za hiperłączem może kryć się koń trojański, zaś sekwencja kolorowych plansz może doprowadzić nas do podpisania abonamentu na kosztowną, choć całkowicie zbędną usługę, czego skutki zobaczymy najwcześniej na kolejnej fakturze za telefon. Również, gdy instalujemy bezpłatne oprogramowanie, trzeba mieć się na baczności: aby zarobić, ich twórcy często podpisują „pakt z diabłem” i dodają do pliku instalacyjnego adware, na przykład o nazwie OpenCandy, który bez pytania pobiera i instaluje kolejne aplikacje.

Niewielkim zaskoczeniem jest to, że nawet Windows nie gwarantuje użytkownikom bezpieczeństwa – źródłem problemów bywają nawet autoryzowane aktualizacje. Jednocześnie, jako system operacyjny, Windows jest jednym z głównych celów cyberprzestępców. Między twórcami szkodników i zwalczających je anywirusów trwa ciągła rywalizacja, przywodząca na myśl zabawę w kotka i myszkę, wobec czego użytkownik nierzadko pozostaje bezbronny. Często jednak infekujemy system na własne życzenie, nie czytając komunikatów i bez zastanowienia klikając groź- ne odnośniki. Trojan w ofercie premium „Kliknij mnie!” – prosi przycisk pobierania, uśmiechając się przyjaźnie i zapraszając gestem narysowanej dłoni. Niżej widać uspokajające słowa „100% safe”.

Kiedy klikniemy przycisk

Kiedy klikniemy przycisk „Download” na stronie internetowej, pobierzemy podejrzaną aplikację PremiumLinkGenerator.

W Internecie można znaleźć nieprzebrane zasoby bezpłatnych treści, zwłaszcza multimediów – filmów, ebooków i muzyki – a także oprogramowania. Kłopotliwą kwestią (nie)legalności udostępnianych materiałów wolimy nie zaprzątać sobie głowy – chociaż w ostatnich latach pojawiły się bezpieczne i niedrogie usługi streamujące najnowsze filmy i utwory muzyczne, miliony użytkowników wciąż wolą czarny rynek. A tam, jak to w życiu, nie ma nic za darmo: na naiwności i skąpstwie internautów żerują cyfrowi przestępcy, którzy tworzą podstępne łańcuchy kliknięć prowadzące do niebezpiecznego celu. Nieostrożny łowca okazji łatwo wpadnie w ich pułapkę.

Turbo pobieranie za darmo?

Miłośnicy multimedialnej jazdy na gapę chętnie korzystają przy tym z usług portali hostingowych, takich jak Uploaded.to. Pobieranie z nich filmów, piosenek czy ebooków nie niesie ze sobą żadnych konsekwencji – według polskiego prawa nie jest to zabronione, a poza tym identyfikacja pirata graniczy z cudem. Problem jedynie w tym, że najczęściej za darmo można ściągać pliki dopiero po długim oczekiwaniu lub z niewielką szybkością. Ograniczenia obejmują też wielkość pobieranych elementów. Chcąc pobierać bez takich ograniczeń, trzeba zapłacić. Tych, którzy nie są skłonni wydać na materiały z Internetu choćby złamanego grosza, kuszą serwisy takie jak leechbb.com, obiecujące bezpłatny dostęp do zasobów wszystkich serwisów hostingowych. Wystarczy tylko wstawić w odpowiednim polu odnośnik do upragnionego filmu czy piosenki, a po chwili będziemy mogli rozpocząć pobieranie zupełnie za darmo – w przeglądarce pojawi się strona z dużym przyciskiem „Download”.

Kiedy klikniemy przycisk

Kiedy klikniemy przycisk „Download” na stronie internetowej, pobierzemy podejrzaną aplikację PremiumLinkGenerator.

Kiedy go klikniemy, na dysk trafi jednak nie poszukiwany plik, ale „menedżer pobierania” o nazwie Premium Link Generator w formie pliku EXE. Teoretycznie po uruchomieniu ściągnie on interesujący nas utwór – ale w praktyce zamiast bezpłatnych multimediów umieścimy w systemie trojana. Najpóźniej w tym momencie zainstalowany w komputerze skaner antywirusowy powinien aktywować się i przenieść szkodnika do kwarantanny – chyba że mamy pecha. Na szczęście wielu użytkowników wie już, że z plikami wykonywalnymi z Sieci trzeba uważać. A w wątpliwych przypadkach nie musimy zdawać się na przeczucie, ale możemy bardzo szybko i skutecznie sprawdzić podejrzany plik: w tym celu otwórzmy stronę virustotal.com i załadujmy go z dysku na serwer bądź podajmy jego internetowy adres URL.

Serwis VirusTotal przeprowadzi skanowanie pliku za pośrednictwem ponad 60 samodzielnych skanerów antywirusowych. Jeśli skanery znanych producentów, np. Kaspersky’ego czy Aviry, zidentyfikują go jako zagrożenie, możemy być pewni, że mamy do czynienia z trojanem. Niestety, nie każdy przypadek jest taki prosty. Bezpłatny e-book? Nie – kosztowny abonament! W Internecie pełno jest „wyjątkowych promocji” z gatunku tych zbyt atrakcyjnych, by mogły być prawdziwe. Nierzadko to jedynie przynęta – nie czytając dokładnie treści na ekranie, możemy nie- świadomie zasubskrybować kosztowną usługę. Jeśli tak się stanie, najbliższy rachunek za telefon może przyprawić nas o zawał. Podobnie jak twórcy ofert premium zawierających trojana, operatorzy wspomnianych usług usypiają czujność internautów, proponując im za darmo coś, za co normalnie trzeba zapłacić.

Przed kliknięciem sprawdźmy w usłudze LongURL, do jakiej strony prowadzi skrócony URL.

Przed kliknięciem sprawdźmy w usłudze LongURL, do jakiej strony prowadzi skrócony URL.

Poszukując za pomocą wyszukiwarki Google popularnych książek – zwłaszcza jeśli podamy takie wyrażenie jak „download” czy „epub” – zaskakująco szybko trafimy na wideoportal, na przykład Dailymotion. Klip, do którego zaprowadzi nas odnośnik w wyszukiwarce, zawiera tylko jedną klatkę: stronę tytułową książki. Poniżej znajduje się link, który rzekomo umożliwia jej bezpłatne pobranie. Zazwyczaj ma on formę tajemniczego skróconego adresu URL. Zanim go klikniemy, sprawdźmy, jaka strona się za nim kryje, na przykład przy pomocy usługi longurl.org.

Pozornie nieszkodliwy odnośnik zwykle prowadzi do podstrony w usłudze hostingowej o zachęcającej nazwie, np. megadownloader.com – zanim ją odwiedzimy, poddajmy ją sprawdzianowi antywirusowemu. Możemy wykorzystać w tym celu wspomniany wcześniej serwis VirusTotal albo jego konkurentów, takich jak Sucuri, Quottera czy SiteGuarding – każda z wymienionych usług wykrywa niebezpieczeństwa na stronach internetowych. Niestety, podstrony usług hostingowych są oceniane bardzo różnie. Czy kiedy Sucuri nie znajdzie wirusa, to strona jest bezpieczna? Niekoniecznie – VirusTotal informuje, że cztery skanery rozpoznały zagrożenie, a dwa kolejne uznały stronę za podejrzaną. Często poprawny jest ten drugi rezultat – strona służy naciąganiu ludzi na płatne usługi. Zgodnie z jej treścią, chcąc odblokować pobieranie bezpłatnego e-booka, powinniśmy wprowadzić kod przysłany SMS-em. Aby go otrzymać, trzeba kliknąć jedną z ofert zawartych w sekcji „FileUnlckr”.

Ofert jest pięć, za każdym razem są inne, ale jedna cecha jest wspólna: zainteresowana osoba musi podać numer telefonu komórkowego. Niżej – wcale nie małą czcionką – jest napisane, że wprowadzając zestaw cyfr, zawieramy umowę abonamentową. Widnieje tam też informacja o tym, w jaki sposób można wypowiedzieć umowę. Dopóki nie zrezygnujemy z usługi, będziemy mieli dostęp do „aplikacji, muzyki, dzwonków, tapet i gier”, a także otrzymamy co tydzień trzy SMS-y, za które przyjdzie nam zapłacić po 6,15 zł. Należna kwota – prawie 80 zł miesięcznie – będzie doliczana do rachunku za telefon.

Płacić czy nie płacić?

Specjalistyczne usługi internetowe potrafią sprawdzić, czy za odnośnikiem kryje się niebezpieczna strona.

Specjalistyczne usługi internetowe potrafią sprawdzić, czy za odnośnikiem kryje się niebezpieczna strona.

Najprostszy sposób, żeby wyrwać się z tej matni, to wysłanie wypowiedzenia za pośrednictwem strony operatora usługi, na przykład karamblam.com – jak wspomnieliśmy, jej adres jest podawany przy rejestracji. Na tej stronie ponownie wprowadzamy numer telefonu, żeby otrzymać SMS-em jednorazowy kod dezaktywują- cy drogi abonament. Niestety, w ten sposób nie odzyskamy zapłaconych pieniędzy – ale załatwimy sprawę szybko i bezboleśnie. Naciągacze wykorzystują to, że ludzie unikają stresujących sytuacji – wolą zapłacić, niż narażać się na nieprzyjemności. W rzeczywistości pobieranie od abonenta jakichkolwiek środków jest bezprawne – żeby umowa zawarta przez Internet była waż- na, zgodnie z prawem jej akceptacja musi wymagać kliknięcia elementu z dużą i czytelną etykietą „Kupuję i płacę” (lub podobną).

Jeśli tego brakuje, umowa nie obowiązuje i nie musimy płacić – tylko co zrobić, skoro kwota została doliczona do rachunku za telefon? W takiej sytuacji trzeba złożyć reklamację u operatora telekomunikacyjnego, a wypowiedzenie złośliwej usługi wysłać listownie bądź pocztą elektroniczną. W razie problemów zasię- gnijmy rady Federacji Konsumentów. Cała procedura jest irytują- ca i może dość długo trwać, więc najlepiej zawczasu zablokujmy usługi firm trzecich u operatora telefonii komórkowej. okup za prywatne pliki Podstępny abonament to jednak nic w porównaniu z zaawansowanymi wirusami.

Chcąc pobrać e-booka, musimy zawrzeć umowę abonamentową: operator będzie wysyłał nam trzy SMS-y tygodniowo za ok. 20 zł..

Chcąc pobrać e-booka, musimy zawrzeć umowę abonamentową: operator będzie wysyłał nam trzy SMS-y tygodniowo za ok. 20 zł..

Nowy hit w branży to szkodniki typu ransomware, które niepostrzeżenie szyfrują dane na dysku twardym i żądają okupu za ich odkodowanie. Niedawno na nagłówki gazet trafił wirus tego typu o nazwie Locky, który zainfekował w krótkim czasie tysiące komputerów w ponad stu krajach świata, najwięcej w Niemczech, Francji i Kuwejcie. Co gorsza, wykrywają go tylko nieliczne skanery antywirusowe: spośród 60 dostępnych na stronie VirusTotal – zaledwie trzy.Locky to kolejne zagrożenie, które ściągniemy na siebie wskutek fałszywych?nieostrożnych? kliknięć. Najbardziej typowy schemat zakażenia zaczyna się od tego, że ofiara otrzymuje spreparowaną wiadomość od operatora telefonicznego, z załącznikiem zawierającym rzekomo rachunek do zapłaty. Kto nabierze się na tę sztuczkę i otworzy rachunek, ten aktywuje makro pobierające i instalujące właściwego wirusa.

Nie ma tu więc nic odkrywczego – wirusy rozprzestrzeniają się w ten sposób od lat. Równie typowe są środki, jakie możemy podjąć, żeby chronić się przed zagrożeniem – wystarczy wyłączyć obsługę makr. W Wordzie 2013 odpowiednie opcje znajdziemy w oknie »Plik | Opcje | Centrum zaufania | Ustawienia centrum zaufania«. Nawet po zabezpieczeniu się w ten sposób trzeba jednak uważać: kiedy otworzymy dokument zawierający makra – na przykład ten rozsyłany przez twórców Locky’ego – edytor tekstu poprosi o pozwolenie na ich uruchomienie. Jeśli się zgodzimy, wszystko stracone. Co gorsza, nawet zapłacenie okupu – zwykle od 0,5 do 1 bitcoina, czyli 800–1600 zł – nie gwarantuje odzyskania cennych danych.

W kreatorze instalacji czai się OpenCandy – o obecności aplikacji reklamowej świadczy tylko informacja w warunkach użytkowania głównego programu.

W kreatorze instalacji czai się OpenCandy – o obecności aplikacji reklamowej świadczy tylko informacja w warunkach użytkowania głównego programu.

Bardzo często ofiary zostają bez pieniędzy i bez plików, bo przesłany im klucz odszyfrowujący albo program kryptograficzny nie działa. Powinniśmy raczej odłączyć zainfekowany dysk i uzbroić się w cierpliwość. Wprawdzie nie ma gwarancji, że twórcy któregoś z antywirusów w najbliższym czasie znajdą sposób na złamanie hakerskiego szyfrowania, ale dotychczas przeważnie radzono sobie z wirusami właśnie w ten sposób. Można liczyć również na europejskie i globalne organy ścigania, które w ostatnich latach coraz lepiej radzą sobie z zagrożeniami informatycznymi. W końcu nadzieja umiera ostatnia. Obecnie (w połowie kwietnia) można wprawdzie odblokować zainfekowany system i pozbyć się śladów wirusa, lecz dane pozostają wówczas zaszyfrowane.

Poza tym, jak to bywa w przypadku wirusów, Locky rozprzestrzenia się coraz to nowymi drogami. Wykryto go już na zainfekowanych stronach internetowych, z których przenosi się on do komputerów niczego nieświadomych internautów metodą drive-by download. Umożliwiają to luki w zabezpieczeniach przeglądarki bądź jej rozszerzeń. Jest tylko jeden sposób na uniknięcie zakażenia tym kanałem: trzeba wyłączyć wyświetlanie w przeglądarce obiektów Java oraz Flash, gdyż wtyczki do ich obsługi są dziurawe niczym szwajcarski ser. O ile jednak w przypadku Javy nie wiąże się to z większymi wyrzeczeniami, o tyle Flash wciąż jest wykorzystywany przez niektóre wideoportale, więc jego wyłączenie uniemożliwi oglądanie zamieszczanych tam klipów.

Freeware ze szpiegującym dodatkiem

Pozostałości szpiegującego narzędzia OpenCandy usunie tylko specjalistyczny skaner, np. Malwarebytes Anti-Malware.

Pozostałości szpiegującego narzędzia OpenCandy usunie tylko specjalistyczny skaner, np. Malwarebytes Anti-Malware.

Nie tylko operatorzy stron WWW żyją z reklam – swój kawałek tortu próbują uszczknąć też twórcy bezpłatnych programów. Dawniej chętnie dodawali do nich pasek narzędzi Ask, którego główną funkcją jest śledzenie zachowań użytkownika przeglądarki internetowej. Od pewnego czasu w podobnej roli występuje narzędzie OpenCandy, szmuglujące do systemu niechciane aplikacje. Niektó- re bezpłatne programy, np. Freemake Video Downloader, uruchamiają OpenCandy automatycznie, nie dając użytkownikowi żadnej możliwości zrezygnowania z niechcianego dodatku. Często musielibyśmy zagłębić się w warunki licencji, żeby zorientować się, że na dysk komputera trafi rozsiewający reklamy pasażer na gapę. OpenCandy uruchamia się już podczas instalacji właściwego programu, skanuje komputer użytkownika, umieszcza na Pulpicie nowe odnośniki i wyświetla na ekranie oferty pobrania kolejnych aplikacji.

Pola wyboru służące do wyrażenia na to zgody są domyślnie zaznaczone. Użytkownik musi zwrócić na to uwagę i usunąć zaznaczenia – inaczej w systemie wyląduje sterta śmieci. Jak twierdzą twórcy OpenCandy, narzędzie nie pozostawia w komputerze żadnych śladów po sobie, jednak w praktyce często bywa inaczej. Pozostaje po nim na przykład sterownik WinPcap, który umożliwia dostęp do karty sieciowej i jest wykorzystywany przez programistów aplikacji adware. Oczyszczenie systemu z odpadów po wybrykach OpenCandy to zadanie dla specjalistycznych narzędzi, takich jak AdwCleaner czy Malwarebytes Anti-Malware. Oba programy wykrywają i usuwają pozostałości po aplikacjach reklamowych. Po przeprowadzeniu oczyszczania warto zajrzeć na listę zainstalowanych programów i funkcji w Panelu sterowania i w razie potrzeby ręczne usunąć WinPcap.

Trujące łatki

Nawet kliknięcia wewnątrz systemu Windows mogą spowodować problemy. Microsoft od lat nie potrafi uporać się na przykład z aktualizacjami systemowymi, które ukazują się co miesiąc, regularnie przyprawiając użytkowników o ból głowy. W Windows 7 domyślnie aktywna jest opcja »Zainstaluj aktualizacje automatycznie (zalecane)«. Zaznaczone jest też pole wyboru »Udostępniaj zalecane aktualizacje tak samo, jak otrzymuję ważne aktualizacje«. Takie ustawienia oznaczają zgodę na to, żeby Microsoft bez powiadomienia pobierał i instalował wszystkie uaktualnienia, włącznie z opcjonalnymi i niekrytycznymi. Od października ubiegłego roku wspomniana konfiguracja powoduje też, że w systemie instalowane jest narzędzie GWX, występujące jako aktualizacja KB3035583. Ten niewielki program przygotowuje uaktualnienie systemu do wersji Windows 10, nawet jeśli użytkownik wcale tego nie chce. Co jakiś czas wyświetla na ekranie komunikaty zachęcające do instalacji Windows 10 i niepostrzeżenie pobiera na partycję systemową kilka gigabajtów plików instalacyjnych.

Lutowy Patch Day przyniósł kolejne problematyczne aktualizacje: KB3126587 oraz KB 3126593, których instalacja prowadzi czasem nawet do utraty stabilności systemu. Chcąc uniknąć takich nieprzyjemności, warto ograniczyć zakres automatycznych aktualizacji Windows 7 do minimum. W Windows 10 nie przewidziano nawet takiej możliwości – system bez pytania pobiera i instaluje wszystkie dostępne łatki. Ograniczyć samowolkę systemu potrafią tylko dodatkowe narzędzia, np. O&O ShutUp. Nie opłaca się też korzystać z „Szybkiego kręgu” (Fast Ring) aktualizacji Windows 10. „Szybki krąg” pozwala zaawansowanym użytkownikom testować próbne wersje systemu wyposażone w nowe funkcje, zanim jeszcze staną się one dostępne dla szerokiego grona odbiorców. Kłopotliwa jest na przykład opublikowana w marcu wersja Build 14279, która powoduje, że niektóre urządzenia przestają odpowiadać i wymagają zrestartowania. Problem dotyczy między innymi tabletów z serii Surface. Na szczęście w każdej chwili można opuścić „Szybki pierścień”. Zróbmy to, zanim będzie za późno – pochopne kliknięcie może mieć fatalne skutki.