Egy régebb óta ismert netes csalástípus fejlettebb formában történő újjáéledéséről számolt be nemrég Don Jackson, a SecureWorks biztonsági cég kutatója. A nagy forgalmú webhelyek gyakran beágyazott hirdetések hordozásával egészítik ki működési költségeiket. A dinamikusan megjelenített reklám-tartalmat a portálok részesedés fejében külső média-ügynökségektől kapják, készen. Mivel a reklámok valódi tartalmára a webhely üzemeltetőinek nincs rálátása, ez a módszer sajnos lehetőséget nyújt a kiber-bűnözőknek arra, hogy beékelődjenek a folyamatba.

Az utóbbi időben szórakoztató-iparral és televíziózással kapcsolatos témájú elismert webportálok százain tűnt fel rosszindulatú hirdetés. Don Jackson legfeljebb ezerre teszi az érintett lapok számát, ezek azonban mind sok felhasználót vonzó, népszerű webhelyek. A hackerek, akik elektronikus hirdetésekkel foglalkozó kisvállalkozásnak adják ki magukat, veszélyes JavaScript kóddal fertőzött reklámokat küldenek ezekre a weblapokra.

Az ártalmatlannak látszó hirdetés mögött rejlő kártékony kódot olyan ügyesen tervezték meg, hogy ritkán és véletlenszerűen aktivizálódjon - a netezők által esetleg észlelt és bejelentett fertőzéseket a biztonsági kutatók így nem képesek egyszerűen reprodukálni. Ez nagyon megnehezíti a nyomozást, miközben a közismert, nagy látogatottságú webhelyeken még a kis százalékban előforduló támadások is komoly profitot termelnek a hackereknek.

A felhasználók számára az ártalmas kód elsősorban az első egérkattintásra felbukkanó agresszív hirdetések formájában mutatkozik meg. Ezek a villogó ablakok valótlanul állítják, hogy a látogató gépe súlyos biztonsági problémákkal küzd, amit csak az AntiVirGear, a MalwareAlarm vagy a Spy-Shredder fantázianevű szoftverek képesek orvosolni. A reklámra gyanútlanul rákattintó felhasználók gépére hátsó ajtó program települ, miközben ők hitelkártyával próbálják megvásárolni az értéktelen, kamu védelmi szoftvereket.

Oda kell figyelni a problémára
A SecureWorks kutatója a támadók által használt egyedi JavaScript-azonosítók naplóit elemezve úgy véli, hogy máris több ezren eshettek áldozatul ennek a támadásnak. A csalásnak bedőlő netezők három különböző módon is pórul járhatnak: komoly pénzt fizetnek ki használhatatlan, sőt káros szoftverért; bankkártya-adataik csalók kezére jutnak; a fertőzött számítógépeikből összeálló ún. botnet-hálózatok kapacitását pedig on-line támadásokkal és spam-terjesztéssel foglalkozó hackerek veszik bérbe a bűnözőktől.

Az IT-biztonsági cégek természetesen igyekeznek fellépni az ilyen típusú támadások ellen - Don Jackson-nak például két olyan szervert is sikerült bezáratnia, ahonnan fertőzött hirdetéseket küldtek ki a reklám-bannereket megjelenítő, ártatlan weblapokra. Sajnos jelenleg még legalább két ilyen rosszindulatú szerver üzemel, ezek nevét azonban a kutató nem volt hajlandó elárulni.

A felhasználók elsősorban éberséggel, illetve valódi védelmet nyújtó, márkás vírus- és kémprogram-ellenes szoftverek használatával védekezhetnek. Don Jackson figyelmeztetése szerint a webböngészőkbe beépített biztonsági mechanizmusokban nem szabad feltétel nélkül megbízni - ugyanis előfordul, hogy a kártékony kód a valódi tartalommal azonos helyen kerül hosztolásra.

Ebben az esetben még a biztonságosnak tekintett, szabad forráskódú Firefox böngésző és legerősebb blokkoló kiegészítése, a NoScript sem képes védelmet nyújtani, ha a felhasználó korábban valamilyen legitim okból - például az időjárás-előrejelzés megtekintése érdekében - engedélyezte a JavaScript használatát a weblapon.