Voorbeeld: Fake AV ziet er ontzettend herkenbaar uit.
Wij worden regelmatig gevraagd wat nu de intentie van een virusschrijver is. Vroeger was dat voornamelijk de "kick", maar tegenwoordig wordt er serieus geld verdiend aan het schrijven van malware. Denk aan het verhuren van een Botnet om spam te versturen of een ddos aanval uit te voeren en het verkopen van een "Malware Toolkit". Dat laatste is iets waar zelfs de EU zich druk over maakt. Het FakeAV-businessmodel is een trend van de laatste jaren, en blijkt erg succesvol. Het is zelfs aan te nemen dat er in veel gevallen uiteindelijk sprake is van een gevoelsmatige win-win situatie. Het slachtoffer betaalt en heeft daarna een "virus-vrije" PC.
Klassieke Anti-Virus software heeft de grootste moeite om de ontwikkeling van nieuwe FakeAV varianten bij te houden. Dat betekent dat gebruikers een redelijke kans hebben tegen een nieuwe variant aan te lopen als ze zicht te vrij op het internet begeven. De introductie van nieuwe varianten op het internet gaat in een moordend tempo, en vereist een extra, meer pro-actieve manier van beveiliging.
Proactief beveiliging van uw internetverkeer kan bijvoorbeeld op de volgende manieren:
1. URL Filtering; blokkeer schadelijke sites
De meest eenvoudige manier om het internetgebruik aan banden te leggen, is door te bepalen welk type websites voor u een zakelijk karakter hebben, of anders gezegd: gewenst zijn. Bijkomend voordeel is minder afleiding en dus verhoogde productiviteit alhoewel er al snel een discussie kan ontstaan over wat zakelijk en niet-zakelijk, bijvoorbeeld als het gaat om Social Media. Feit is dat het bijna noodzakelijk is om een bepaald niveau van URL filtering toe te passen. Het zal nooit een probleem zijn als websites met een schadelijke reputatie worden geblokkeerd. Een heel simpele "quick-win" en het hoeft niet duur te zijn.
Ons Advies: endpoint / gateway
2. Intrusion Prevention
De Nep Virusscanners worden vaak (automatisch) geïnstalleerd wanneer een gebruiker op een schadelijke website komt. Dat automatische zit hem in het misbruiken van een beveiligingslek in bijvoorbeeld Internet Explorer. Internet Explorer wordt in voorbeelden van beveiligingslekken vaak aangehaald, maar het is een feit dat Adobe (Flash Player, Acrobat Reader, etc.) en Java tegenwoordig steeds vaker worden aangevallen. Wanneer al die (internet-gerichte) software op elk moment volledig up-to-date is met de laatste beveiligingspatches, dan is de kans op besmetting vele malen kleiner. Echter: het is haast niet te doen om dat voor al die software onder controle te houden, om maar niet te spreken over de tijd en dus geld die je daarvoor uit zou moeten trekken.
Een oplossing voor dit probleem is Intrusion Prevention (IPS). Die technologie kent de lekken op het systeem en plaatst daar een virtueel vangnet voor. We spreken dan wel van "Virtual Patching": u patcht niet, maar bent toch veilig.
Wanneer FakeAV en soortgelijke programma's geen gebruik kan maken van dit soort lekken, dan zal de infectiekans bij toekomstige versie afnemen - of ze nu wel of niet als zodanig herkend worden door Anti-Virus.
Ons advies: endpoint / gateway.
3. User Awareness
En natuurlijk niet te onderschatten is om begrip te kweken bij gebruikers. Dit gaat echter hand in hand met technologie want de aanvallen zijn dusdanig dat gebruikersinteractie soms niet eens nodig is om geïnfecteerd te raken of dat zelfs de systeembeheerders erin zouden kunnen trappen.
Het is natuurlijk belangrijk dat gebruikers gewaarschuwd worden voor dit soort trucs. Laat hen zien welk merk Anti-Virus u gebruikt. Druk hen op het hart dat zij alleen van dat merk Anti-Virus serieuze meldingen zullen ontvangen en zeg dat ze nooit - maar dan ook nooit - zelfstandig in moeten gaan op verzoeken om te betalen voor software.
Extra Uitleg
Goede uitleg over "Scareware" is hier te vinden, inclusief een video. Weliswaar in het Engels.
Geen opmerkingen:
Een reactie posten