Get best of the week

O Yandex ajuda a espalhar malware?

Por tipo de atividade, tenho que observar o trabalho de centenas de usuários comuns de PC. Uma pessoa que segura o mouse por mais de um dia está cada vez mais enfrentando problemas com o download banal de software livre. Durante a análise, ele acabou de digitar o Yandex "download Viber", e então algo deu errado. Venho acompanhando a propagação da infecção há muito tempo com a participação direta do Yandex. Antigamente eram casos isolados, mas agora o fenômeno já se generalizou. Vou explicar qual é o objetivo. Digitaremos na solicitação o nome de qualquer programa popular que o usuário doméstico condicional deseja baixar e obteremos algo como isto:

imagem

Cada linha marcada como "publicidade" é um anúncio pago de uma pessoa física ou jurídica registrada no serviço Yandex.Direct com todos os endereços, números de telefone e outros NIFs. Cada um desses anúncios é moderado manualmente, ou seja, nesse caso, o moderador não ficou nem um pouco envergonhado pelo fato de cinco sites "oficiais" diferentes enviarem anúncios para baixar o aplicativo gratuito. E certamente o número verificado pelo moderador (495) 111-22-33 não pertence ao Skype.

E, o mais interessante, a ordem de emissão de anúncios diferentes para uma solicitação é determinada pelo leilão. Se você não entrar em detalhes da área administrativa do Yandex.Direct, aqueles que definem um custo por clique mais alto são mostrados acima. Sim, cada clique nesse link custa ao autor do anúncio N rublos! Pelo que exatamente os anunciantes estão lutando em rublos, não se sabe, existem muitas opções: desde a mineração relativamente inofensiva de criptomoeda em hardware estrangeiro até a interceptação de dados de pagamento do Sberbank Online ou Aliexpress. Mas é lógico que o altruísmo aqui não cheira.

imagem

upd2 Nas duas capturas de tela anteriores, os resultados da pesquisa são rolados para que o bloco de anúncios inferior fique ao lado da solicitação.

No Direct, a fraude não termina. Abaixo estão os resultados de pesquisa usuais sem anúncios, a pedido de "anydesk" - um aplicativo popular da antiga equipe do TeamViewer. O anydesk.com é um site real, que deve ser o primeiro a receber essa solicitação. E o segundo resultado (com dot ru) é falso. Uma olhada neste site de uma página com um clipart moralmente desatualizado é suficiente para entender que temos diante de nós um falso pintado no meu joelho em 15 minutos. MAS não apenas para moderadores Yandex. Observação: o endereço deste site contém letras maiúsculas e minúsculas (AnyDesk, não anydesk). Isso é possível apenas em um caso: o autor do site está registrado no serviço Yandex.Webmaster e passou por moderação manual para alterar o caso de caracteres no endereço deste "site oficial".

imagem

O depósito de lixo no problema é repetido para qualquer software que apenas lembre de você, pelo menos pago, até de graça. O postscript do “site oficial” não salva a situação, e a frase “download gratuito”, popular entre iniciantes, pelo contrário, apenas ajuda a acessar um site falso. Os maravilhosos algoritmos de classificação do Yandex, que estão sendo aprimorados todos os dias, ajudam sites suspeitos a subir mais. E, como mostra a prática, um usuário inexperiente geralmente pressiona o primeiro resultado da pesquisa, confiando no melhor mecanismo de pesquisa doméstico.

E um pouco mais sobre o Direct. O serviço permite que você segmente anúncios por vários motivos. Por exemplo, mostre-o apenas a residentes da região de Kirov de homens de 25 a 45 anos. Isso é conveniente para publicidade honesta, por exemplo, uma loja de ferramentas elétricas. Ou você só pode mostrá-lo aos usuários do Internet Explorer. Estes últimos são geralmente associados a usuários inexperientes de PC, para que você possa pagar mais por esse "bule": o link de publicidade no exemplo abaixo se arrasta ainda mais que o site oficial. Essa solicitação foi feita no Internet Explorer. Em um navegador alternativo, o bloco de anúncios não aparece aqui.

imagem

upd3 Vamos verificar a teoria com a segmentação: ficamos abaixo do * nix e toda a publicidade paga pelas mesmas solicitações desapareceu - esses usuários definitivamente desperdiçarão o custo do clique.

imagem

O que fazer com esta informação? Limite os direitos das contas nos computadores dos parentes e explique que ninguém deve ser confiável.

E a pergunta é para Yandex, se este texto chegar até ele: você vai de alguma forma resolver esse problema?
O caractere em massa do problema é confirmado pelas estatísticas das solicitações wordstat.yandex.ru: para cada uma das palavras-chave, milhares e dezenas de milhares de solicitações mensais.

upd Originalmente elogiado pelo Google, mas me corrigiu nos comentários. O Google faz a mesma coisa (o banner instalado oculta esses resultados).

upd4 Nos comentários, houve uma resposta de um representante do Yandex:
!

, . , , .

-, , . . : . .

, . , . , — .

Em segundo lugar, como o autor observou corretamente, o Yandex verifica esses anúncios. Não apenas manualmente, mas também com o uso de nossas tecnologias no campo antifraude. Na verdade, nos comentários, já observamos que em nenhum dos exemplos existe um veredicto inequívoco sobre a nocividade de qualquer scanner e banco de dados. Também verificamos esses exemplos por precaução. Não há sinais de atividade maliciosa lá.

Em geral, nem tudo é tão assustador. Mas se você vir algo suspeito, poderá denunciá-lo ao suporte da Yandex ou pessoalmente para mim - verificaremos.

More articles:


All Articles