Яндекс браузер предупреждает об опасных сайтах

Анализ данных Яндекс.Браузера / Опасности и угрозы в сети Интернет

Яндекс браузер предупреждает об опасных сайтах

Десктопные и мобильные пользователи Яндекс.Браузера всегда предупреждены об интернет-угрозах.

Согласно статистике веб-браузера, каждый восьмой владелец настольного компьютера, ноутбука или мобильного устройства (на базе Android и iOS) не менее одного раза в месяц получает предупреждение об интернет-угрозе.

По данным от Watermillsky общее число информированных пользователей составляет порядка 4 000 000 человек.

Специалисты Яндекса изучили статистику веб-браузера, предоставили информацию обо всех главных угрозах, рассказали о реакции пользователей и выявили сайты, с которых отмечаются наиболее частые переходы на потенциально опасные веб-ресурсы.

Какие угрозы подстерегают интернет-пользователей в 2016 году

Технология активной защиты Protect встроена в функционал Яндекс.Браузера и своевременно информирует о возможных угрозах.

  • Вредоносные веб-страницы – способны запустить автоматически исполняемый программный код, который нанесет вред при посещении веб-сайта с вредоносными страницами; например, происходит кража конфиденциальных личных данных или показ рекламных материалов, которые нарушают требования поисковой системы; при попытке посещения вредоносной интернет-страницы через Яндекс.Браузер показывает соответствующее предупреждение. 
  • Нежелательное программное обеспечение – это программы с неприятным сюрпризом; они «любят» демонстрировать навязчивые рекламные материалы или перенаправлять на сторонние веб-ресурсы через открытие новых страниц; Яндекс.Браузер собирает статистику подобных интернет-сайтов, дабы оградить беспечных пользователей от общения с нежелательными сайтами.
  • Опасные дополнения для веб-браузера – хитроумные злоумышленники пытаются расширить возможности браузера за счёт установки опасных мини-программ или замены достоверных дополнений на вредоносные; Яндекс.Браузер выявляет подозрительные веб-ресурсы и блокирует загрузку опасных дополнений; ранее установленные дополнения проходят постоянную проверку на подлинность.
  • Зараженные файлы – загружая любой файл из сети Интернет ничего не подозревающий пользователь подвергает опасности свой компьютер, ноутбук или смартфон; в скачиваемых файлах или архивах может находиться вирус; Яндекс.Браузер проверяет весь загружаемый контент и выявляет потенциально опасные объекты.
  • Платная подписка для мобильных устройств – отдельные интернет-страницы поднаторели в навязывании платных услуг; платная подписка оформляется незаметно, часто для этого нужно нажать всего одну кнопку и с мобильного счёта списывается круглая сумма; Яндекс.Браузер знает о таких страницах и предупреждает пользователей о возможном списании денежных средств.
  • Мошенничество с SMS-сообщениями – сетевые злоумышленники отличаются богатой фантазии и патологическим интересом к номерам чужих сотовых телефонов; под разными предлогами они пытаются добраться до владельца мобильного гаджета, чтобы навязать ему платные услуги или завалить рекламными сообщениями; Яндекс.Браузер стоит на страже интересов Mobile, моментально блокируя опасные страницы и предупреждая о сработавшей защите.
  • Фишинговые сайты – чтобы узнать пароль пользовательского аккаунта и получить доступ к персональным данным или денежным средствам, интернет-мошенники подделывают сайты; невнимательные пользователи не замечают подмены и вводят конфиденциальную информацию на фишинговых сайтах; Яндекс.Браузер выявляет фишинговыев веб-ресурсы и предупреждает о подстерегающей опасности; каждый четвертый пользователь Яндекс.Браузера (4 700 000 человек) регулярно пользуется интернет-банкингом или проводит платежи через Интернет.

Когда пользователи пытаются выполнить потенциально опасные действия, Яндекс.

Браузер каждый раз напоминает об вредоносных веб-страницах, предостерегает от установки нежелательного программного обеспечения и дополнений к браузерам, предупреждает от скачивания зараженных файлов, показывает предупреждения на страницах с платными услугами, при подозрении на sms-мошенничество и при переходе на фишинговые сайты.

  • 370 000 тысяч интернет-сайтов с опасными веб-страницами содержится в базе данных Яндекс.Браузера; этот перечень каждый день пополняется новыми объектами.
  • Из 1 100 000 скачанных файлов при помощи Яндекс.Браузера 42 000 файлов признаны опасными для компьютеров и мобильных устройств.

Угрозы для десктопных пользователей

  • Вредоносные программы – угроза №1 для владельцев десктопных компьютеров и ноутбуков; нежелательные программы предлагаются у установке на сайтах, на которые попадают более 6% пользователей Яндекс.Браузера для настольных компьютеров (1 240 000 человек).
  • SMS-мошенничество – это веб-ресурсы, которые обманным способом желают заполучить номер сотового номера; каждый месяц Яндекс.Браузер отводит эту угрозу от 800 000 пользователей (4%).
  • Опасные веб-страницы – угрожают безопасности 2,5% владельцев компьютеров и ноутбуков; Яндекс.Браузер всегда предупреждает пользователей, когда они пытаются открыть страницы с вредоносным программным кодом.
  • Платные мобильные подписки – эта угроза замыкает список опасностей, которые подстерегают компьютерных пользователей Яндекс.Браузера (менее 0,5 %); защита от платных мобильных подписок пригодится тем, кто посещает интернет-сайты при помощи мобильного роутера.

Угрозы для мобильных пользователей

  • Мобильные подписки – наиболее распространённый тип интернет-угроз для мобильных устройств на любой платформе; чаще всего такие сообщения получают пользователи гаджетов с Android и владельцы iPhone.
  • Нежелательные программы – Яндекс.Браузер предупреждает мобильных пользователей о сайтах, которые распространяют нежелательное программное обеспечение для десктопных и мобильных компьютеров; владельцы iPad в 2 раза чаще получают подобные предупреждения.
  • SMS-мошенничество – этому виду угроз больше всего подвержены владельцы гаджетов под управлением операционной системы Андроид; они получают больше всего сообщений об SMS-мошенниках.
  • Вредоносные страницы – наиболее редкий вид угроз для мобильных пользователей; предупреждения о вредоносных страницах больше всего «радуют» тех, кто владеет мобильными устройствами с ОС Android.

Реакция пользователей на предупреждения

Доля пользователей Яндекс.Браузера, которые не реагируют на предупреждения:

  • Устройства – всего 6% пользователей мобильных устройств не обращают внимание на предупреждения Яндекс.Браузера; для настольных компьютеров эта цифра возрастает до 29%.
  • Пол – по сравнению с мужчинами (34%) женщины (15%) более внимательны к предупреждениям.
  • Возраст – молодые пользователи (до 18 лет) игнорируют чаще (34%), чем пользователи с богатым жизненным опытом: 18-24 (30%), 25-34 (30%), 35-44 (22%), старше 45 лет (24%). 
  • Мобильные устройства – владельцы iPad (7%) возглавляют рейтинг рискованных мобильных пользователей, которые чаще всего игнорируют предупреждения Яндекс.Браузера.

Опасные переходы

Специалисты Яндекса выделили типы сайтов, с которых пользователи переходят на потенциально опасные интернет-страницы:

  • (23%) – веб-сайты для скачивания видео или онлайн-просмотра видеоконтента.
  • Поиск и порталы (13%) – поисковые системы и крупные сайты с дополнительными пользовательскими сервисами.
  • Сайты «18+» (12%) – веб-ресурсы для взрослых, подборки скабрезного и неприличного контента, каталоги ссылок на подобные ресурсы.
  • Социальные сети (8%) – сайты для интернет-знакомств и сайты социальных сетей.
  • Игры (6%) – сайты для онлайн-игр, сайты для скачивания игр и дополняющего контента.
  • Объявления (5%) – доски для коммерческих и бесплатных объявлений, сайты для поиска работы.
  • СМИ и блоги (4%) – новостные сайты и личные блоки с обновляемым контентом.
  • Учёба (4%) – образовательные сайты для школьников и студентов.
  • Торренты (3%) – пиринговые файлообменные сети.
  • Софт (2,5%) – интернет-сайты с программным обеспечением для десктопных компьютеров и мобильных устройств (кроме игр). 
  • Прочий контент (2,5%) – сайты с гороскопами, анекдотами, книгами, музыкой, комиксами, поздравлениями и др. 
  • Интернет-магазины (2,5%) – сайты сегмента e-commerce и торговые площадки для электронной торговли.
  • Организации (2%) – корпоративные и государственные сайты, веб-ресурсы некоммерческих организаций.
  • Файлообменники (2%) – облачные онлайн-сервисы для хранения различных файлов.
  • Сервисы (2%) – веб-ресурсы для решения практических задач или получения полезной информации.
  • Азартные игры (2%) – сайты для проведения лотерей, азартных игр, букмекерские сайты.
  • Справочники (менее 2%) – веб-ресурсы справочного характера (кроме образовательных сайтов).

Кому приглянулся Яндекс.Браузер

Аудитория Яндекс.Браузера в России (данные на октябрь 2016 года):

  • Дневная аудитория – 12 000 000 десктопных и 6 000 000 мобильных пользователей.
  • Недельная аудитория – 19,4% пользователей заходят с настольных компьютеров и 4,7% используют мобильные устройства (данные счётчиков LiveInternet).

Яндекс.Браузер занимает почётное 2-е место в рейтинге популярных веб-браузеров у российских пользователей и возглавляет список альтернативных непредустановленных браузеров для мобильных гаджетов. Ежедневная аудитория Яндекс.Браузера составляет свыше 18 000 000 человек. Поэтому анализ обобщенных данных даёт актуальную, релевантную картину поведения российских пользователей в сети Интернет.

WM+

Источник: https://www.watermillsky.ru/2016/12/06/%D1%87%D1%82%D0%BE-%D0%B7%D0%BD%D0%B0%D0%B5%D1%82-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%B1%D1%80%D0%B0%D1%83%D0%B7%D0%B5%D1%80-%D0%BE%D0%B1-%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8F%D1%85-%D0%B8-%D1%83%D0%B3%D1%80%D0%BE%D0%B7%D0%B0%D1%85/

«Вирус» в браузере: как «Яндекс» отключил расширения Savefrom и Frigate за скрытую рекламу и перехват доступа к соцсетям — Технологии на TJ

Яндекс браузер предупреждает об опасных сайтах

Популярные расширения скрытно запускали рекламу, накручивали просмотры онлайн-кинотеатрам и могли получить доступ к соцсетям.

«Яндекс» отключил для пользователей «Яндекс.Браузера» расширения Savefrom.net, Frigate и несколько других. Совокупная аудитория проектов превышает восемь миллионов пользователей, но они тайно воспроизводили видео и могли перехватывать авторизацию в соцсетях. Сотрудники «Яндекса» провели расследование и рассказали о нём в блоге на «Хабре».

На расширения обратили внимание после жалоб пользователей — они начали сообщать о странных звуках, похожих на рекламу, но при этом не видели самих видео. Разработчики «Яндекса» решили, что видео проигрывается в другой вкладке или за пределами видимости экрана, но эта гипотеза не подтвердилась, поэтому у пользователей начали выяснять подробности.

Оказалось, что всех пострадавших объединяло одно и то же — установленное расширение от сервиса SaveFrom.net, который позволяет скачивать ролики или музыку из соцсетей «в один клик». При отключении расширения пропадал и шум, поэтому в «Яндексе» связались с разработчиками инструмента. Те предположили, что дело в «ошибках конвертера», внесли исправления, и жалобы прекратились.

В ноябре 2020 года «Яндекс» получил сигнал, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. При этом пользователи не видели самих роликов, потому что они проигрывались в фоне, но видео потребляли трафик и занимали ресурсы компьютеров.

Команда антифрода «Яндекса» заподозрила, что с этим могут столкнуться и пользователи «Яндекс.Браузера». Вскоре догадку подтвердили в Службе информационной безопасности компании: оказалось, что проблема затрагивает не только пользователей, но и самих сотрудников «Яндекса».

Так специалисты получили прямой доступ к устройствам с вредоносными расширениями и смогли детально разобраться в происходящем. На всех ноутбуках было установлено одно из трёх расширений — SaveFrom.net, Frigate Light или Frigate CDN. В «Яндексе» изучили код каждого инструмента и выяснили, как именно они могут скрытно запускать видео и перехватывать сессии пользователей из соцсетей.

Все расширения из семейства Frigate содержали один и тот же код для динамической подгрузки и исполнения JS-скриптов. При этом сама функциональность была спрятана в коде под видом безобидных строчек — это запрещено в Chrome Web Store, через который в том числе можно скачать Frigate.

Расширения совершали запрос к адресу fri-gate.org/config.txt, откуда получали адрес командного сервера для дальнейшей работы — это позволяет менять адрес сервера без обновления самого расширения. На момент анализа сервер базировался на домене gatpsstat.com.

При этом каждый час расширения Frigate делают запрос к командному серверу в обработчик /ext/stat. При первом запросе они получают cookie с идентификатором пользователя, ответ декодируется и попадает в функцию debug(), которая является завуалированной функцией eval() для исполнения произвольного JS-кода.

Savefrom.net устроен по такому же принципу, но получает адрес командного сервера с сайта sf-helper.com/static/ffmpegsignature — соответствующий блок начинается на 19122-й строке файла background.js.

В приложении есть строка «x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)”», полностью совпадающая с Frigate, а за загрузку и выполнение JS-кода отвечает длинный switch().

Как выяснили в «Яндексе», на момент изучения оба расширения получали один и тот же адрес — gatpsstat.com.

Когда разработчики узнали, что все расширения могли выполнять произвольный код, они заподозрили, что скрытая реклама может быть одним из самых безобидных «симптомов». Чтобы поймать и задокументировать другие вредоносные проявления, в «Яндексе» попытались собрать трафик через инструменты браузера, но ничего не нашли.

Тогда специалисты обратились к медленному, но надёжному варианту — весь трафик изучили через Burp Suite — платформу для анализа безопасности веб-приложений. Детальный анализ трафика принёс плоды: выяснилось, что до этого сотрудники ничего не замечали из-за особого списка ограничений — он содержал адреса, после которых расширения прекращали вредоносную деятельность.

В «стоп-листе» помимо прочего были адреса поддержки «Яндекс.Браузера» и служебная страница для анализа трафика. Таким образом даже технически подкованные пользователи не смогли бы сходу догадаться, в чём дело.

В «Яндексе» решили изучить обработчик ext/up, которому передавались данные. Но его ответ оказался сжат и зашифрован под видом gif-картинки, а код обфусцирован, поэтому сотрудникам компании пришлось заняться реверс-инжинирингом.

Из расшифрованного ответа специалисты узнали, что именно в этом обработчике происходило получение и внедрение в страницы iframe-кода с видео. А в одном из файлов содержался код для перехвата сессий авторизации «ВКонтакте».

Самая скрытая часть кода расширений исполнялась в трёх случаях — на фоновой странице расширения, для инъекций в просматриваемые страницы и для передачи кода другому обработчику в /ext/stat. При этом код для страниц bg.

js и page.js позволяет внедрять iframe с видео, а в bg.js есть функциональность для перехвата oAuth-токенов во «ВКонтакте».

Как отметили в «Яндексе», нельзя однозначно утверждать, что его применяли, но возможность присутствует в коде.

В bg.js также обнаружили код для подмены браузерного API, чтобы просмотры засчитывались даже при скрытом видео. А два других обработчика — /ext/def/ и /ext/beacon/ — отвечают за отдачу задач по открутке видео и запись отчётов о заданиях соответственно.

«Яндекс» отключил Savefrom.net, Frigate Light, Frigate CDN в своём «Браузере» для всех пользователей. При этом пока их всё же можно включить вновь вручную и установить через официальные сайты, либо на сторонних площадках вроде Chrome Web Store.

Мы считаем описанное поведение потенциально опасным и недобросовестным. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).

«Яндекс» также передал результаты технического анализа в «Лабораторию Касперского» и Google. В «Лаборатории Касперского» подтвердили наличие потенциально вредоносного кода и начали распознавать расширения как угрозу, а также блокировать связанные с ними URL-адреса и фрагменты скриптов.

Во время исследования компания также обнаружили более двух десятков менее популярных расширений, которые использовали аналогичный код. Их тоже решили отключить, а экспертов и пользователей призвали присоединиться к поиску других потенциально опасных расширений. Для этого компания попросила присылать результаты наблюдений через специальную форму.

Источник: https://tjournal.ru/tech/252748-virus-v-brauzere-kak-yandeks-otklyuchil-rasshireniya-savefrom-i-frigate-za-skrytuyu-reklamu-i-perehvat-dostupa-k-socsetyam

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.