Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Scareware

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
12.10.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Les Scareware sont des logiciels qui vous poussent à être achetés en vous faisant peur. Tous les logiciels de cette nature sont introduits dans la Crapthèque.

ScarewareScarewareScareware

Les scarewares sont des logiciels qui utilisent des méthodes de vente basées sur la peur. Ils tentent de vous faire peur pour vous inciter à acheter immédiatement le produit, sans vous laisser le temps de réfléchir.

Le principe général des scarewares repose sur l'instillation, dans votre esprit, d'une crainte :

  • Soit par la fourniture d'informations trompeuses et affolantes. C'est le cas de tous les sites d'informations sur les processus, qui prétendent qu'un processus sur lequel vous cherchez de l'information sur le Web est un processus à risque et qu'il faut télécharger immédiatement leur logiciel pour vous en assurer. Une fois le scareware installé, il va trouver des centaines de risques majeurs et dramatiques, imaginaires, etc. ... dzns votre ordinateur. Lorsqu'il sera question de cliquer sur le bouton " Supprimer les risques " ou " Corriger les erreurs ", il faudra passer à la caisse.
  • Soit par l'exécution gratuite d'une géniale analyse de votre ordinateur, en téléchargeant immédiatement leur scanner gratuit, primé, déjà utilisé par des millions d'internautes, depuis un site avec un logo " Microsoft Partner " qui ne veut rien dire, avec des témoignages, généralement forgés de toutes pièces (de clients satisfaits, bien sûr), etc. ... Cette version d'essai gratuite du scareware fera ressortir des centaines d'erreurs, de virus, de contaminations, de trucs mortels et dramatiques qu'il faut éradiquer immédiatement. Lorsqu'il sera question de cliquer sur le bouton " Supprimer les risques " ou " Corriger les erreurs ", il faudra passer à la caisse.

Typiquement :

Un archétype des scarewares est donné avec l'analyse approfondie de Simplitec Power Suite (avec indication des solutions gatuites et des fonctions natives de Windows, gratuites, auxquelles le scareware Simplitec Power Suite tente de se substituer, en vous faisant peur, et pour un coût exorbitant renouvelable tous les ans par abonnement automatique !

Des publicités comme celles-ci, sur un site, sont des faux !

C'est un mensonge et une tentative de faire peur à l'utilisateur.

Une publicité comme celle-ci est un faux, un mensonge et une tentative de faire peur à l'utilisateur. Le logiciel proposé au bout est un "scareware"
Une publicité comme celle-ci est un faux, un mensonge et une tentative de faire peur à l'utilisateur. Le logiciel proposé au bout est un "scareware"

Une publicité comme celle-ci est un faux, un mensonge et une tentative de faire peur à l'utilisateur. Le logiciel proposé au bout est un "scareware"
Une publicité comme celle-ci est un faux, un mensonge et une tentative de faire peur à l'utilisateur. Le logiciel proposé au bout est un "scareware"

Scareware - L'arrivée dans l'ordinateur de la victimeScareware première étape - L'arrivée du Scareware dans l'ordinateur de la victimeScareware - L'arrivée dans l'ordinateur de la victime

D'une manière générale, comment un Rogue, un Fake, un Scareware, un Crapware, une Barre d'outils, un PUP, etc. ... arrive à pénétrer mon ordinateur.

  • La malveillance peut avoir été téléchargée et installée par l'utilisateur lui-même car il l'a trouvé sur un site Internet après une recherche et a été convaincu par la présentation du produit. Les cybercriminels sont de bons informaticiens et savent obtenir une bonne indexation dans les moteurs de recherche. Des milliers de sites se font la guerre pour capturer les recherches et inciter les visiteurs à télécharger et installer leurs crapuleries.
  • L'utilisateur peut avoir cédé à la persuasion d'une Publicité trompeuse ou mensongère lui faisant croire qu'une faille de sécurité ou une malveillance, etc. ... a été détectée et qu'il convient de la corriger ou de poursuivre par une analyse complète de l'ordinateur, etc. ... L'internaute clique sur la publicité et installe, à son insu, la ou les malveillances. Lire et regarder les images de cet exemple d'une publicité trompeuse.
  • L'utilisateur peut avoir cédé à la persuasion d'une Publicité trompeuse ou mensongère lui faisant croire qu'une mise à jour d'un composant logiciel est disponible et qu'il est urgent de l'appliquer tout de suite. L'internaute clique sur la publicité et installe, à son insu, la ou les malveillances. Lire et regarder les images de cet exemple d'une publicité trompeuse. Typiquement :

    • Pseudo (fausse) mise à jour de la technologie Java
    • Pseudo (fausse) mise à jour de la technologie Flash (Flash Player, Shockwave Flash)
    • Pseudo (fausse) mise à jour de la technologie SilverLight
    • Pseudo (fausse) mise à jour de sécurité de Windows
    • Pseudo (fausse) mise à jour des navigateurs Internet (fausses mises à jour de Firefox, Internet Explorer, Opera, Google Chrome, Safari, K-Meleon, etc. ...)
    • Pseudo (fausse) mise à jour de VLC
    • Pseudo (fausse) mise à jour d'Adobe Acrobat
    • Etc. ... avec, comme seule limite, celle de l'imagination (qui est illimitée)
  • L'utilisateur peut être victime de l'exploitation d'une faille de sécurité qui permet, par une action appelée « Drive-by Download », de télécharger et d'implanter une ou des malveillances. La recherche de failles de sécurité dans votre ordinateur à lieu :

    • En consultant des sites hackés à l'insu de leurs webmasters. Un cybercriminel à trouvé une faille de sécurité sur le serveur d'un site et, depuis, toutes les pages de ce site contiennent des scripts qui tentent de trouver et exploiter une faille de sécurité dans l'ordinateur du visiteur afin d'installer le Rogue.
    • En consultant des sites à contenus particuliers (pornographie, piraterie, hacking, cracking, etc. ...) développés spécialement par les cybercriminels pour attirer de nombreux visiteurs et les piéger. La moitié de la navigation sur le Web concerne ces contenus particuliers. Chaque page de ces sites contient des scripts qui tentent de trouver et exploiter une faille de sécurité dans l'ordinateur du visiteur afin d'y pénétrer.
    • En étant analysé par un scanner de recherches de failles de sécurité. Sans pare-feu, vous avez moins de 4 minutes pour survivre.
    • Historiquement, les « Drive-by Download » ont énormément sévi grâce à des « Contrôles ActiveX » dans des pages piégées de sites Internet que vous visitez, mais c'est moins vrais depuis que Microsoft a pris conscience de la capacité de nuisance de sa technologie et a introduit tout un arsenal de certificats. Toutefois, désactivez « ActiveX ».

    Un site Internet sur 62 (selon une étude de 2006 dont la trace a disparue) est piégé. Ce taux de sites piégés semble en très nette augmentation depuis. Selon les statistiques de NetCraft, il y aurait, en mars 2015, 878 346 052 domaines (sites) dont 178 164 215 seraient réellement actifs (ces nombres ne tiennent pas compte des centaines de millions de sites existant en sous-domaine (typiquement, les hébergements gratuits de sites personnels).
    • Sites populaires développés spécialement pour piéger les visiteurs
    • Sites hackés à l'insu de leurs webmasters
  • Il a existé une exploitation d'une faille de sécurité de « Microsoft Internet Explorer » dans les « IFRAME » - Cette faille est corrigée. Mettez-vous toujours à jour avec « Windows Update » (le mécanisme Microsoft de mise à jour de Windows) (et n'utilisez jamais « Internet Explorer » mais « Firefox »).
  • Exploitation d'une vulnérabilité de la « Machine virtuelle JAVA » de Sun (Oracle). Cette technologie est indispensable et est partout, mais c'est une usine à gaz. Des failles de sécurité y sont découvertes sans cesse et corrigées immédiatement. Toujours appliquer immédiatement les « Mise à jour de Java » (ou, mieux, cliquez une à deux fois par jour sur Vérification et mise à jour de tous les plugins dans tous les navigateurs). Toujours installer Secunia PSI pour être alerté rapidement des évènements corrigeant des failles dans tous les composants logiciels installés.
  • Installeur piégé par Repack (tactique de monétisation par les grands sites, malveillants, de téléchargements, conduisant à l'implantation d'innombrables Rogues, Fakes et Scarewares). C'est l'internaute lui-même qui, en ne décochant pas quelques cases de l'installeur, choisi d'installer la malveillance.
  • Installeur piégé par Sponsoring (tactique de monétisation par les développeurs, conduisant à l'implantation d'innombrables Rogues, Fakes et Scarewares). C'est l'internaute lui-même qui, en ne décochant pas quelques cases de l'installeur, choisi d'installer la malveillance.
  • Downloader (utilitaire de téléchargement inutile et imposé) piégé (tactique de monétisation par les grands sites, malveillants, de téléchargements, conduisant à l'implantation d'innombrables Rogues, Fakes et Scarewares).
  • Cheval de Troie (logiciel, légitime (ou non - par exemple, logiciel qui prétend être obligatoire pour lire un document média à contenu particulier, comme une vidéo pornographique, etc. ..., localement ou en ligne) embarquant d'innombrables Rogues, Fakes et Scarewares).
  • Spam avec Ingénierie sociale dans le corps du message, arrivant à convaincre ou tromper l'internaute.
  • Spam avec pièce jointe piégée dont l'ouverture provoque l'implantation d'un parasite. Cette technique est exploitée par d'innombrables Rogues, Fakes et Scarewares. De véritables familles de parasites furieux et particulièrement hargneux, comme ZLob, Vundo, Virtumonde, VirtuMundo, etc. ... sont développés, particulièrement difficiles à éradiquer.
  • Par canaux IRC
  • Par Peer to Peer (P2P)
  • Par « Codec » piégés. La quasi totalité des « Codecs », exceptés ceux sur les sites officiels, sont des pièges.
  • Etc. ...

Dans tous les cas, le Rogue, le Fake ou le Scareware est installé et son lancement est automatisé par inscription dans la liste de démarrage de Windows, ou la modification du comportement du suffixe .exe dans le Registre Windows, ou la modification des raccourcis de lancement des applications, etc. ... Toutes ces modifications de vos réglages sont appelées des Hijack.

Scareware - L'analyse fictive effectuée par le Scareware doit faire peur à la victimeScareware deuxième étape - L'analyse fictive effectuée par le Scareware doit faire peur à la victimeScareware - L'analyse fictive effectuée par le Scareware doit faire peur à la victime

Dans un second temps, le Scareware, inscrit dans la liste de démarrage de Windows, se lance systématiquement.

Le Scareware trompe l'internaute en affichant des résultats d'analyse trompeurs, totalement imaginaires et fictifs, dans le domaine dans lequel il prétend agir (en ce sens, le Scareware est, simultanément un Rogue). Exemple de classe revendiquée :

  • Antivirus
  • Anti-adwares
  • Anti-malwares
  • Anti-barres d'outils
  • Recherches d'erreurs dans le Registre Windows
  • Recherches de fichiers inutiles et/ou temporaires à détruire pour gagner de la place
  • Recherches de failles de sécurité
  • Effacement des traces de données privées
  • Etc. ...

Une pseudo analyse, à base de simple image animée, ou utilisant l'interface graphique du Scareware, affiche quelque chose de trompeur dans l'esprit de cette animation.

Démarche typique d'un Fake (Fake Alert - FakeAlert) de type Scareware tentant de vous vendre son escroquerie (ou tentant de vous faire télécharger et installer une malveillance de n'importe quelle nature, y compris les dramatiques cryptowares avec demande de rançon, ou l'injection dans un BotNet, etc. ...)
Démarche typique d'un Fake (Fake Alert - FakeAlert) de type Scareware tentant de vous vendre son escroquerie (ou tentant de vous faire télécharger et installer une malveillance de n'importe quelle nature, y compris les dramatiques cryptowares avec demande de rançon, ou l'injection dans un BotNet, etc. ...)

Scareware - Faire passer la victime à l'acte d'achatScareware troisième étape - Faire passer la victime à l'acte d'achatScareware - Faire passer la victime à l'acte d'achat

Maintenant que l'utilisateur, qui n'y connaît strictement rien et pense, en toute confiance, que le Web et un outil fantastique qui lui rend des services, est inquiet, a peur, voire est totalement affolé, le Scareware l'invite à cliquer sur un bouton ou un lien pour passer de la phase de détection à la phase de suppression des pseudos menaces ou de correction des pseudos erreurs, etc. ... Le Scareware affiche alors l'invitation à acquérir la version complète (la clé de licence) du Scareware afin de décontaminer / réparer immédiatement son ordinateur, le tout entouré de messages alarmants.

L'internaute, effrayé, paye et, en trois coups de cuillère à pot, le Scareware efface toutes ses élucubrations et ne trouve plus aucune menace. Il est probable, en plus, que, si vous installez une véritable menace, il ne la verra jamais car le Scareware est une coquille vide ou, parfois, un faux logiciel (copie pirate d'un vieux logiciel périmé, abandonné, ou volé (code et bases de signatures), dont la charte graphique a été légèrement modifiée pour ne pas être immédiatement reconnu).

L'internaute vient de se faire avoir par un cynercriminel et, simultanément, l'internaute vient de donner ses identifiants de paiement en ligne à un cybercriminel.

Fabrication des Scareware - Développement de matrices générant des clones mutantsFabrications de Scareware - Développement de matrices générant des clones mutantsFabrication des Scareware - Développement de matrices générant des clones mutants

L'une des grandes méthodes de fabrication des dizaines de milliers de Scareware qui inondent le Web est la fabrication d'une matrice de Scareware à partir de laquelle des milliers de versions, aux apparences différentes, vont être produites sous des noms différents. Ces matrices sont utilisées par leur éditeur, pour produire ses propres mutants et des copies de la matrice peuvent également être vendues à d'autres cybercriminels qui vont, eux aussi, produire d'autres mutants.

Il en est ainsi des matrices :

  • Winfixer
  • Avsystemcare (AV System Care)
  • Contra
  • Braviax
  • ErrorSafe
  • FakeHDD
  • FakeRean
  • FakeVimes
  • OneClean
  • PCDefPlus
  • PCRaiser
  • Privacy Center
  • WinWebSec
  • Etc. ...

Scareware - L'arrivée dans l'ordinateur de la victimeL'argent que rapportent les ScarewaresScareware - L'arrivée dans l'ordinateur de la victime

Il est rare d'attraper les éditeurs de Scarewares qui savent parfaitement se dissimuler sur le Web, voire résident et / ou font résider leurs serveurs dans des zones totalement hors des circuits policiers et judiciaires quelconques, par exemple sur une île du Pacifique, etc. ... Le cas de la clique Winfixer (ErrorSafe), totalement analysé dans notre article " Winfixer ", donne une idée du nombre de victimes touchées par un Scareware et de l'argent que rapporte un Scareware :

La FTC (Federal Trade Commission) estime à 1.000.000 (un million) de clients trompés par les crapwares et scarewares de cette clique, dont WinFixer, WinAntivirus, DriveCleaner, ErrorSafe, et XP Antivirus, ce qui représente un revenu d'environ 40 millions d'US$ par an (puisque le principe est celui d'un abonnement annuel), le produit étant annoncé à environ 40 US$ mais la facturation étant arbitrairement de 60 US$ sous prétexte d'un second produit livré en bundle et d'autres explications incompréhensibles. La FTC (Federal Trade Commission) estime le revenu total de cette mafia à 163 millions US$.

Contre mesuresContre-mesures" Contre mesures "

  • Contre-mesures préventives (Avant, pour empêcher que cela n'arrive)

    En amont, avant de vous faire avoir, il n'y a normalement besoin d'aucun outil. Il y a besoin de votre seul bon sens.

    • On ne clique pas n'importe où.
    • On décoche les cases des inutilitaires qui tentent de s'installer en même temps (en Bundle) que vous installez un logiciel.
    • On se méfie de tout ce qui prétend améliorer, accélérer, réorganiser, optimiser, compresser, défragmenter, nettoyer et tout autre bidule au mieux inutiles, au pire dangereux, voire destructeurs. On regarde si ce n'est pas présent dans la Crapthèque (liste de logiciels crapuleux).
    • Un virus bien connu est souvent la cause de l'arrivée d'un PUP dans un ordinateur.

    Pour vous aider, toujours en amont, et empêcher ces escroqueries de pénétrer dans votre machine :

    • Bloquez complètement la totalité des mécanismes publicitaires - ils servent de vecteurs de diverses formes d'attaques
    • Installez Unchecky.
    • N'ouvrez jamais aucune pièce jointe d'un e-Mail, même d'un interlocuteur connu (enregistrez la pièce jointe, puis faites-la analyser avec VirusTotal ou VT Hash Check, et seulement enfin, si tout va bien (et encore...), vous pouvez l'ouvrir.
    • Méfiez-vous de TOUS les codecs (presque tous sont piégés) et de TOUS les lecteurs de média (presque tous sont piégés sauf VLC). En particulier, les lecteurs de média prétendument spécifiques que l'on vous oblige à installer pour lire des documents média à contenus spécifiques, tels que les vidéo pornographiques, etc. ..., sont tous des pièges. A ce stade, l'extension de fichier n'a plus aucune signification et un fichier .avi pour lequel on vous oblige à utiliser un lecteur spécifique, sera un programme malveillant exécuté et non pas un document média lu. Vous pouvez d'ailleurs utiliser TrID pour vérifier, AVANT de l'ouvrir, quel est le type réel d'un fichier, sans tenir compte de son extension. Une fois ces chevaux de Troie introduits, ils lâchent leurs charges actives qui prennent en charge, silencieusement, le transport et l'installation de logiciels non sollicités dont les Rogue et les Fake.
    • Ayez un excellent antivirus en version complète (fonctionnant en temps réel). En particulier, les antivirus n'aiment pas du tout les Fake antivirus et Fake antispywares qui détournent leurs clients. Ils les détectent très bien.
    • Utilisez la version professionnelle de Malwarebytes anti-malware, en accompagnement (pas en remplacement !) de votre vigilance.
    • Respectez les recommandations du SafeCex - Safe Computer Exploitation
    • Activez l'antivirus PEBCAK
    • Ayez une machine toujours à jour, en particulier par application des derniers correctifs connus aux failles de sécurité.
    • Accessoirement, utilisez MalwareDomains.
  • Contre-mesures curatives (Après, pour réparer, lorsque c'est arrivé)

    Lorsque qu’une malveillances (un crapware ou scareware ou rogue ou fake, etc. ...) c'est installée, il est généralement impossible de la désinstaller par les voies normales. L'escroquerie s'accroche, gène le fonctionnement de votre ordinateur jusqu'à vous pousser à bout de nerfs et vous faire acheter la pseudo " version complète " de l'escroquerie qui va enfin cesser de vous importuner. C'est assez proche d'une demande de rançon !

    Décontaminez :
    Utiliser la procédure de décontamination anti-malwares qui contient, entre autre, l'exécution de :

    Cherchez ce qui c'est passé en amont et prenez les précautions nécessaires pour ce qui risque de se passer en aval :
    Safe Attitude - Agir dans 3 directions

  • Risque juridique du propriétaire d'une machine mal protégée

    Vous courrez un risque juridique de condamnation pour complicité passive si votre machine, mal protégée et / ou mal mise à jour, est pénétrée par un cybercriminel et est utilisée pour lancer des attaques.


RéférencesRéférences" Références "


RessourcesRessources" Ressources "


 Requêtes similairesRequêtes similaires" Requêtes similaires "

vente forcée par intimidation