Несколько раз в блоге мы затрагивали тему фальшивых антивирусных программ, рассказывали, как с помощью технологий Black SEO злоумышленники заставляют поисковые системы перенаправить пользователей на сайты фальшивых антивирусов.
Недавно мы заметили, что распространяемые фальшивые антивирусы снабжены кнопкой Online Support. Посмотрите в правый верхний угол:
Нажимаете эту кнопку и оказываетесь в чате фальшивой техподдержки, предлагаемой фальшивым антивирусом. Нам стало интересно — отвечал ли на вопросы бот, распознающий ключевые слова, или реальные люди. Оказалось, что это реальные люди!
Мы выяснили, что они предлагали техническую поддержку через чат, а еще по телефону и электронной почте. Электронная почта особенно полезна, если вы не говорите по-английски. В чате вам предложат (на английском) прислать письмо на вашем родном языке на указанный адрес и получить поддержку опять же на вашем родном языке.
Если вы заразились фальшивой антивирусной программой через поисковик (опять этот Black SEO) и связались с их службой поддержки, вас обязательно спросят, для какой антивирусной программы вам нужна поддержка. Когда вы ответите, они предоставят вам «бесплатную пробную версию» программы, которая удалит вредоносные программы, обнаруженные первыми (у них очень похожие названия).
Фальшивый антивирус будет «разговаривать» на языке вашей операционной системы. То есть, если вы, например, используете French Windows XP, то пользовательский интерфейс фальшивого антивируса будет на французском, что выглядит еще более убедительно.
Пробная версия выглядит так:
Эта программа имеет интерфейс, похожий на интерфейс первого фальшивого антивируса — с такой же кнопкой Online support, — а вот ее имя немного отличается.
В процессе переговоров с так называемой техподдержкой мы выяснили, что первый фальшивый антивирус — это всего лишь «бесплатный сканер», а вот «пробная версия» — это уже полноценный продукт, только срок его действия составляет один (!) день. Кроме того, пробная версия не удаляет первый продукт, поэтому у них есть также специальные клинеры:
Это деинсталлятор. Для каждого продукта, который они «продают», он свой. И он на самом деле удаляет фальшивый антивирус с вашего компьютера, по крайней мере, частично. В зависимости от клинера, все может кончиться тем, что у вас в компьютере останутся какие-то файлы. Не исключено, что они могут дать кое-кому возможность снова запустить фальшивый антивирус. После чистки компьютер не возвращается к своему прежнему состоянию: в системном реестре все равно остаются изменения.
После того, как вы почистили свой компьютер, вас привлекают к участию в онлайн-опросе:
Создается впечатление, что эти ребята очень серьезно относятся к мнению своих клиентов и делают все возможное для обеспечения их самыми лучшими продуктами и услугами.
Общаясь с их техподдержкой, я предпринял ряд действий, чтобы убедиться, что я разговариваю не с умным ботом. Первое, что я сделал, — задал простой математический вопрос:
Мы хотели определить местонахождение людей, которые стоят за этой техподдрежкой, и выяснили, что, скорее всего, они базируются на Украине.
Пытаясь убедиться, что это люди, а не боты, мы прибегли к маленькой хитрости. И поскольку это несложно, я ею с вами поделюсь, т.к. она подтверждает ход наших мыслей.
Итак, я стал просить прислать мне смайлик, для того, чтобы понять, реальный ли это человек или бот:
Я знал, что они пришлют мне стандартный смайлик, поэтому попросил прислать мне длинный. И я объясню почему. Мои коллеги из «Лаборатории Касперского» рассказали мне, что в России (и, как показал поиск, в некоторых социальных сетях на Украине), многие чаттеры не используют «глазки» («:»). С этим я больше нигде не сталкивался. Как правило, для длинного смайлика используется «:)))». Но чаттеры в этих странах прислали бы просто «))))», что подтвердило бы нашу гипотезу относительно их месторасположения.
Вот что я получил:
Эти «))))» и есть тот длинный смайлик, который я просил мне прислать. Забавно, у их смайликов не было «глазок», как я и предполагал. То есть месторасположение чаттеров мы угадали правильно.
Заключение:
Я связывался с их техподдержкой в 4 часа утра, и они действительно отвечали на вопросы, тем самым подтверждая, что оказывают помощь круглосуточно 7 дней в неделю. Они предлагают поддержку по электронной почте, по телефону, через чат. И вообще они очень хорошо организованы. Вы можете получить деинсталляторы для более старых версий их продуктов, а также пробные версии для новых. Их новые продукты, в отличие от предыдущих, «чистят» компьютер.
Я решил записать пару сессий. Почему бы вам не посмотреть?
[youtube https://www.youtube.com/watch?v=x9McPpnKxlI&hl=ru_RU&fs=1&rel=0]
[youtube https://www.youtube.com/watch?v=YQxZQ7fEGVE&hl=ru_RU&fs=1&rel=0]
Техподдержка — это не всегда хорошие парни