Kaspersky ürünleri belirli yazılımları “Aldatmaca (Hoax)” olarak sınıflandırıyor. Bu yazıda bu kanının ne anlama geldiğini, hangi durumlarda ürünlerimizin bu kanıya vardığını ve kullanıcıların bu tarz programlara neden dikkat etmesi gerektiğini inceliyoruz.
Astrologlara göre bu yıl Aldatmaca yılı: Tespit edilen Aldatmaca sayısı ikiye katlandı
Bu yazıyı yazmamızın sebebi, ürünlerimizin tespit ettiği Aldatmaca sayısındaki artış. Geçtiğimiz yıl bu tür yazılımlarla karşılaşan kullanıcı sayısı ikiye katlandı. Uzun lafın kısası, gitgide daha fazla kişi kendini risk alanında buluyor. Bu yüzden, işin arka planına da kısaca bakarak sorunu incelemenin zamanı geldi.
Birçok kullanıcı, bilgisayarlarının yavaş çalıştığından, uygulamaların yavaş açıldığından, hatta hatalar yüzünden sistemlerinin çöktüğünden şikayet eder. Bunlar herkesin zaman zaman karşılaştığı sorunlardır. Bu sorunlar, bilgisayarın işlem yaparken çeşit çeşit veriyle tıkanması yüzünden işletim hızının düşmesi sonucu gerçekleşiyor.
Talep, arzı doğuruyor; dolayısıyla bilgisayarı temizleyip hızlandıracağını iddia eden programlar çoğalmaya başlıyor. Bu tarz yazılımlardaki hızlı artış 2000’lerin sonunda başladı ve o günden bu yana durmadı.
Temizleme programları genellikle geçici dosyalar, kayıt anahtarları, başlangıç programları gibi şeyler arar ve kullanıcıya bu tarz “dijital çöpleri” bildirir. Kullanıcı da bunun üzerine programın bilgisayarını temizlemesine karar verebilir. Bu temizlik, sistem performansını belirli ölçüde iyileştirir.
Ne yazık ki tüm temizleme/hızlandırma yazılımları aynı derecede iyi huylu değil. Kullanıcılara gerçekten yardımcı olacak programlar yaratan dürüst geliştiricilerin yanı sıra piyasada çok sayıda siber suçlu da var.
Aldatmaca nedir?
Bilgisayarı temizleyerek performansı iyileştirmeye yönelik bazı programlar, tespit edildiği iddia edilen tehditleri bertaraf etmek için kullanıcıyı para ödemeye zorluyor. İyi adamlarla kötü adamları birbirinden ayırmamıza yardımcı olan iki önemli özellik var:
Birincisi, kötü adamlar riski kasıtlı biçimde daha yüksek göstererek, hatta olmayan hatalar bildirerek, kullanıcıyı yanlış yönlendiriyor.
İkincisi, kullanıcılara programı satın almayı teklif etmiyorlar; ödeme yapılmadan sorunun çözülmeyeceğini beyan ederek kullanıcıları satın almak zorunda bırakıyorlar.
Kaspersky’de bu tür programlara Aldatmaca, yani kasıtlı olarak kullanıcıyı yanlış yönlendiren yazılım diyoruz. Aşağıda Kaspersky ürünlerinin böyle programlarla ilgili vardığı bazı kanılara dair örnekleri bulabilirsiniz:
- HEUR:Hoax.Win32.Uniblue.gen
- Hoax.Win32.PCFixer.gen
- Hoax.Win32.DeceptPCClean.*
- Hoax.Win32.PCRepair.*
- HEUR:Hoax.Win32.PCRepair.gen
- HEUR:Hoax.MSIL.Optimizer.gen
- Hoax.Win32.SpeedUpMyPC.gen
Aldatmaca programları nasıl çalışır
Aldatmaca programları kurulumun ardından bir sistem taraması gerçekleştiriyor. Düzgün çalışan temizleyici programların taradığı her şeyi tarıyorlar. Taramanın ardından kullanıcı, tespit edilen sorunlarla ilgili bilgileri içeren bir pencere görüyor.
Bu yazılım türünün esas sorunu da tam burada başlıyor. Kullanıcıya sistemde bulunan çok sayıda hata ile ilgili korkutucu mesajlar gösteriliyor. Kayıt anahtarlarıyla ilgili potansiyel sorunları olduğundan çok daha büyük göstermeye çalışan bir “temizleyici” örneği:
Bazen de araç bazı gerçek hatalar bulabiliyor; fakat bu sefer de yanıltıcı bir dil kullanarak bunların önem düzeyini olduğundan yüksek gösteriyor. Örneğin bu sürücü güncellemesinde sürücünün durumu “eski” ile “antik” arasında değişiyor:
Bazı programlar, kullanıcı çarpı işaretine tıkladığında kapanmayı reddederek bunun yerine “Tehlike düzeyi: yüksek” gibi korkutucu mesajlar içeren başka bir pencere gösteriyor.
Aldatmaca programları kendilerini otomatik çalışma listesine ekleyerek kullanıcıyı bilgisayarla ilgili bir şeylerin yanlış gittiğine dair bildirimlere boğmayı da seviyor.
Aldatmaca programları yalnızca Windows’ta karşımıza çıkmıyor. İşte MacOS’a yönelik bir tanesi: Hafif yüksek günlük/önbellek kullanımı, kritik tehlike olarak bildiriliyor.
Bu sorunu çözmek için kullanıcıya yazılım tam sürümünü edinmesi söyleniyor. Bu programların çoğu, tam sürüm satın alındığında gerçekten de bilgisayarı buldukları şeylerden temizliyor. Fakat yukarıda da dediğimiz gibi, bu tür hizmetler, ifade ettikleri kadar gerekli değil. Bazı aldatmaca programları ise bilgisayarı temizlemiyor bile. Yani en iyi ihtimalle kullanıcı gereğinden fazla para ödüyor; en kötü ihtimalle ise paralarının karşılığında hiçbir şey alamıyorlar.
Reklam yazılımı paketi ve Truva Atı kazanma şansı
Sahte temizleme programlarının yaratıcılarından bazıları, açgözlülüklerine kapılıp bir adım daha ileri giderek kullanıcının bilgisayarına kendi programlarının yanı sıra başka programlar da kurabiliyor. Bunlar çoğunlukla reklam yazılımları, zaman zaman da Truva Atları olabiliyor.
Örneğin, Aldatmaca bir hizmete bulaşmak, kullanıcının bilgisayarının kısmen bloke edilmesiyle sonuçlanabiliyor. Aşağıda gösterilen program, tam ekran boyutuna genişliyor; araç çubuğunun üstüne biniyor; Alt+Tab’a basarak programlar arasında geçiş yapma ve F11’e basarak geri dönme seçeneklerini bloke ediyor.
Ardından kilitlenen bilgisayarı açmak için kullanıcının bir kod girmesi ya da kolayca ulaşılabilmesi için hemen pencerenin sağına simgeleri yerleştirilen TeamViewer, AnyDesk ve/veya benzeri bir uzaktan erişim programı aracılığıyla bilgisayarı uzaktan erişime açması isteniyor.
Aldatmaca bilgisayara nasıl girer
Aldatmaca programı geliştiricilerin hedef kitlesi, cihaz işletim sistemlerine fazla aşina olmayan veya “çöpleri atmak” ve sistemi güncellemek isteyen deneyimsiz ev kullanıcıları.
Bilgisayar fark edilebilir şekilde yavaşlamaya başladığında birçok kullanıcı bir çözüm bulmak için çevrimiçi arama yapıyor ve dikkatli olmazlarsa bir Aldatmaca uygulamasına denk gelebiliyorlar.
Fakat başka bir yayılma yöntemi daha var. Aldatmaca programlar bazen promosyon teklifleri ya da dolandırıcılık siteleri aracılığıyla da indirilebiliyor. Reklam yazılımı bazlı bir virüs şu şekilde görünebiliyor:
Şüpheli siteleri ziyaret ettiğinizde de temizleme/hızlandırma “hizmetleri” teklif eden dolandırıcılık sayfalarıyla karşılaşabilirsiniz. Örneğin bu sayfa, bilgisayarda casus yazılım tespit edildiğine dair bir bildirim gösteriyor
Kullanıcıdan genellikle ya “teknik desteği” araması (burada para sözlü olarak alınıyor) ya da bir Aldatmaca hizmeti indirmesi isteniyor. Böyle sayfalara bir an için bile güvenmeyin; derhal kapatın.
Aldatmaca yazılımları yaymanın giderek daha yaygın hale gelen yollarından biri de bazı kullanıcıların düşünmeden kabul ettiği açılan tarayıcı bildirimleri. Şu sıralar (dolandırıcılar arasında da) çok popüler olan tarayıcı bildirimleri, kullanıcıların başını ağrıtmaya başladı.
Herkes bu bildirimlerin nasıl çalıştığını, nereden geldiğini ve nasıl devre dışı bırakılacağını anlayamayabiliyor. Kullanıcılar bazen bu bildirimleri tarayıcının gösterdiğini ve kötü niyetli internet sitelerinden geliyor olabileceğini bile fark edemeyebiliyorlar.
Kullanıcılar bu bildirimlere tıklayınca güvenlik bileşeni gibi görünen dolandırıcılık sayfalarına yönlendiriliyorlar. Windows Defender arayüzünü taklit eden bir dolandırıcılık sitesi örneği:
Kullanıcı, bilgisayarındaki tüm görünen sorunlardan yeterince korktuktan sonra, bir Aldatmaca indirme sayfasına yönlendirilir.
Aldatmaca yazılımlarının yayılma istatistikleri ve coğrafya
Yazının başında belirttiğimiz gibi, istatistiklerimize göre 2018’in sonunda piyasadaki sahte performans optimizasyonu yazılımlarında bir patlama yaşandı ve bu patlama hala sürüyor. Etkilenen kullanıcıların ve şikayetlerin sayısı geçen yılın başından bu yana ikiye katlandı.
İstatistiklerimize göre Aldatmaca yaratıcıları ve dağıtıcıları için hedefteki en popüler ülke, son yıllarda her sekiz kullanıcıdan birinin bu yazılımla karşılaştığı Japonya. Japonya’yı Almanya ve şaşırtıcı biçimde Beyaz Rusya takip ediyor. İtalya ve Brezilya’yla birlikte ilk beş tamamlanıyor.
Bunun üzerine bazı Aldatmaca dağıtıcıları, "korkutma yollu" dağıtım modelini bırakıp kullanıcıları daha doğru bilgilendirmeye, buldukları sorunların ciddiyetini abartmamaya ve ürünlerinin ücretsiz deneme sürümlerini sunmaya başladı. Yine de mücadele henüz bitmedi.
Aldatmaca uygulamaları neden tehlikeli?
Neden kullanıcıları Aldatmaca kategorisinde yer alan programlara karşı uyarmayı önemli buluyoruz? Bunun birkaç nedeni var:
- Bu tür yazılımların geliştiricileri, tespit ettikleri sorunların risklerini abartarak, hatta var olmayanları bile rapor ederek kullanıcıları kasıtlı olarak yanlış yönlendirir.
- Bu tür “hizmetler” saçma bir şekilde pahalı olabilir.
- Bazı Aldatmaca programları hiçbir gerçek sorunla ilgilenmiyor bile; yalnızca hataları onarıyormuş illüzyonu yaratıyorlar.
- Bir dizi Aldatmaca geliştiricisi ayrıca, reklam yazılımlarından düpedüz kötü amaçlı yazılımlara, programları ile birlikte değişen yazılımlar da yükler.
Aldatmaca yazılımlarından nasıl korunulur
Aşağıdaki ipuçları, potansiyel tehditlere karşı korunmanıza yardım edecek:
- Web siteleri tarafından gösterilen, bilgisayarınızdaki virüsler ya da hatalara dair korkutucu uyarıları görmezden gelin. İndirmek ve kurmak bir yana, bu uyarılara tıklamayın bile.
- Kullanmak istiyorsanız kaliteli bir temizleme aracı seçmeye özen gösterin;
- Biraz araştırma yapın ve bilinen bilgisayar yayınlarının tavsiyelerine uyun.
- Aldatmacalarla karşı karşıya gelmemek için sizi dolandırıcı programlar hakkında uyaracak güvenilir bir antivirüs çözümü kurun.