Get best of the week

¿Yandex ayuda a propagar malware?

Por tipo de actividad, tengo que observar el trabajo de cientos de usuarios comunes de PC. Una persona que ha estado sosteniendo un mouse por más de un día encuentra cada vez más problemas con la descarga banal de software libre. Durante el análisis, resultó que él simplemente escribió Yandex "descargar Viber", y luego algo salió mal. He estado siguiendo la propagación de la infección durante mucho tiempo con la participación directa de Yandex. Una vez que estos fueron casos aislados, pero ahora el fenómeno ya se ha generalizado. Explicaré cuál es el punto. Ingresaremos en la solicitud el nombre de cualquier programa popular que el usuario doméstico condicional quiera descargar, y obtendremos algo como esto:

imagen

Cada línea marcada como "publicidad" es un anuncio pagado de una persona física o jurídica que está registrada en el servicio Yandex.Direct con todas las direcciones, números de teléfono y otros TIN. Cada uno de estos anuncios se modera manualmente, es decir, en este caso, el moderador no se sintió avergonzado por el hecho de que cinco sitios "oficiales" diferentes enviaron anuncios para descargar la aplicación gratuita. Y ciertamente el número verificado por el moderador (495) 111-22-33 no pertenece a Skype.

Y, lo más interesante, el orden de emisión de diferentes anuncios para una solicitud está determinado por la subasta. Si no entra en los detalles del área de administración de Yandex.Direct, los que establecen un costo por clic más alto se muestran arriba. Sí, cada clic en dicho enlace le cuesta al autor del anuncio ¡N rublos! Por lo que los anunciantes luchan exactamente en rublos, se desconoce que hay muchas opciones: desde la extracción relativamente inofensiva de criptomonedas en hardware extranjero hasta la interceptación de datos de pago de Sberbank, en línea o en Aliexpress. Pero es lógico que el altruismo aquí no huela.

imagen

upd2 En las dos capturas de pantalla anteriores, los resultados de búsqueda se desplazan para que el bloque de anuncios inferior esté al lado de la solicitud.

En Direct, el fraude no termina. A continuación se muestran los resultados de búsqueda habituales sin anuncios a petición de "anydesk", una aplicación popular del antiguo equipo TeamViewer. anydesk.com es un sitio real, que debería ser el primero en responder a esta solicitud. Y el segundo resultado (con punto ru) es falso. Una mirada a este sitio de una página con imágenes prediseñadas moralmente desactualizadas es suficiente para comprender que tenemos ante nosotros un falso pintado en mi rodilla en 15 minutos. PERO simplemente no para los moderadores de Yandex. Tenga en cuenta: la dirección de este sitio contiene letras mayúsculas y minúsculas (AnyDesk, no anydesk). Esto es posible solo en un caso: el autor del sitio está registrado en el servicio Yandex.Webmaster y ha pasado la moderación manual para cambiar el caso de los caracteres en la dirección de este "sitio oficial".

imagen

El volcado de basura en el tema se repite para cualquier software que solo se le ocurra, al menos pagado, incluso gratis. La posdata del "sitio oficial" no salva la situación, y la frase "descarga gratuita", popular entre los principiantes, por el contrario, solo ayuda a llegar a un sitio falso. Los maravillosos algoritmos de clasificación de Yandex, que se mejoran cada día, ayudan a los sitios sospechosos a subir más. Y como muestra la práctica, un usuario inexperto generalmente presiona el primer resultado de búsqueda, confiando en el mejor motor de búsqueda nacional.

Y un poco más sobre Direct. El servicio le permite orientar anuncios por diversos motivos. Por ejemplo, muéstrelo solo a los residentes de la región de Kirov de hombres de 25 a 45 años. Esto es conveniente para la publicidad honesta, por ejemplo, una tienda de herramientas eléctricas. O solo puede mostrarlo a los usuarios de Internet Explorer. Estos últimos generalmente están asociados con usuarios inexpertos de PC, por lo que puede pagar mucho más por esa "tetera": el enlace publicitario en el siguiente ejemplo se extiende incluso por encima del sitio web oficial. Esta solicitud se realizó en Internet Explorer, en un navegador alternativo el bloque de anuncios no aparece aquí.

imagen

upd3 Verifiquemos la teoría con la orientación: pasamos a * nix, y toda la publicidad paga por las mismas solicitudes desapareció; estos usuarios definitivamente desperdiciarán el costo del clic.

imagen

¿Qué hacer con esta información? Limite los derechos de las cuentas en las computadoras de sus familiares y explique que no se debe confiar en nadie.

Y la pregunta es para Yandex, si este texto llega a él: ¿vas a resolver de alguna manera este problema?
El carácter masivo del problema se confirma mediante las estadísticas de las solicitudes de wordstat.yandex.ru: para cada una de las palabras clave, miles y decenas de miles de solicitudes mensuales.

upd Originalmente elogiado por Google, pero me corrigió en los comentarios. Google hace lo mismo (el corte del banner instalado ocultó estos resultados).

upd4 En los comentarios hubo una respuesta de un representante de Yandex:
!

, . , , .

-, , . . : . .

, . , . , — .

En segundo lugar, como el autor señaló correctamente, Yandex verifica dichos anuncios. No solo manualmente, sino también con el uso de nuestras tecnologías en el campo del antifraude. En realidad, en los comentarios ya notamos que en ninguno de los ejemplos hay un veredicto inequívoco sobre la nocividad de cualquier escáner y base de datos. También verificamos estos ejemplos por si acaso. No hay signos de actividad maliciosa allí.

En general, no todo es tan aterrador. Pero si ve algo sospechoso, puede informarlo al soporte de Yandex o personalmente a mí, lo comprobaremos.

More articles:


All Articles