Вредоносные расширения: чем они опасны и как от них защититься

Когда-то для того, чтобы переписываться с друзьями, слушать музыку или смотреть кино, требовались отдельные программы. Сейчас большинство задач можно решить в браузере. Чем больше данных люди передают через браузер, тем больший интерес он представляет для злоумышленников. Вмешаться в работу браузера можно разными способами. Один из них — вредоносные браузерные расширения.

Что такое расширения

Расширения — это программы-модули, которые подключаются к браузеру и расширяют (отсюда и название) его возможности. С их помощью каждый может добавить в браузер те функции, которые нужны именно ему: например, блокировку неприятной рекламы, автоматический перевод текста на веб-страницах, ночной режим просмотра сайтов или экранную клавиатуру с эмодзи.

В чём опасность

Расширения привлекают злоумышленников по нескольким причинам. Во-первых, у них широкие полномочия. Расширения имеют доступ к данным, которыми обмениваются пользователь и сайт, могут влиять на отображение страниц и менять интерфейс браузера: добавлять новые кнопки, панели или закладки. Во-вторых, расширения живут внутри браузера: их установка никак не сказывается на операционной системе компьютера. Поэтому если с расширением что-то не так, вовсе не факт, что на это отреагирует обычная система антивирусной защиты.

Расширения, созданные злоумышленниками, проявляют себя по-разному. Иногда их действия просто неприятны, а иногда представляют непосредственную угрозу для пользователя. Самое распространённое поведение — это:

Подмена контента. Расширение изменяет содержимое веб-страницы. Злоумышленники могут заменить баннеры на популярных ресурсах или добавить на сайт дополнительные рекламные блоки — на этом можно неплохо заработать.

Под удар попадает не только реклама, но и смысловая составляющая страницы. Например, существуют расширения, которые подменяют тексты и картинки на «Авито» — вместо обычных объявлений человек видит сообщения мошенников.

Вторжение в интерфейс браузера. Расширение изменяет главную страницу или добавляет в закладки сайты, на которых человек никогда не был. Таким способом недобросовестные разработчики накручивают посещаемость своих ресурсов.

Слежка. Расширение собирает данные о действиях человека: например, на какие страницы он заходит. Эту информацию можно использовать для показа рекламы. Некоторые расширения перехватывают данные из форм на веб-страницах.

Активность в соцсетях. Расширение публикует посты от имени пользователя или ставит лайки под сомнительными публикациями. Зачастую жертва не замечает этого, пока ей не сообщают внимательные друзья. Не очень внимательные переходят по ссылкам в постах и тоже становятся распространителями спама.

Расширения могут выполнять сразу несколько нежелательных действий сразу. Некоторые умеют менять поведение, подчиняясь командам, которые отдают злоумышленники. Например, сегодня такое расширение может накручивать клики по рекламным объявлениям мошенников, а завтра — собирать данные о пользователях.

Распространение

Полезные расширения распространяются через магазины. Так называют каталоги, где собраны расширения от разных разработчиков. Как правило, каталогом управляет компания, выпустившая браузер. У магазинов есть системы проверки, которые блокируют нежелательные и вредоносные расширения. Поэтому мошенники продвигают свои программы окольными путями — например:

В комплекте с другими программами. Чаще всего нежелательные и вредоносные расширения люди получают вместе с каким-нибудь полезным файлом. Человек скачивает бесплатный фоторедактор, фильм, музыку или торрент и не замечает предупреждения, что вдобавок загрузится что-то ещё. В случае с программами такие «бонусы» даже могут упоминаться в лицензионном соглашении, но многие принимают условия не глядя.

Иногда в комплекте с загружаемым файлом идёт программа-установщик. Она протаскивает в браузер целый набор нежелательных расширений. Избавиться от них трудно — после удаления и перезагрузки компьютера они появляются снова.

В нагрузку к полезному контенту мошенники дают не только расширения и установщики, но и другой нежелательный и даже опасный софт: трояны, приложения для накрутки кликов, программы для доставки рекламы.

Яндекс.Браузер умеет предупреждать пользователей о сайтах, распространяющих нежелательные программы. Предупреждение показывается заранее — до того, как компьютеру может быть нанесён вред. В 2016 году Браузер выдал 137 млн предупреждений, которые увидели более 15 млн человек.

Обманом — нежелательная программа выдаётся за полезную. В таких случаях мошенники утверждают, что их софт предоставляет пользователю ту или иную нужную возможность. Здесь возможны варианты: либо в дополнение к полезной функции программа обладает одной или несколькими неполезными, либо расширение даже не пытается делать то, что было обещано в описании.

Подобные программы часто распространяют через соцсети. Например, человек натыкается в Facebook на ролик с ярким описанием, но при попытке запустить видео ему говорят, что для просмотра нужен специальный видеоплеер.

Если пользователь соглашается на установку, обещанного он не получает — зато на сайтах появляется дополнительная реклама, а люди из его списка друзей видят у себя в лентах аналогичное сообщение. Впервые такое расширение обнаружили в 2014 году. С тех пор злоумышленники постоянно создают новые программы, которые распространяются и действуют точно так же.

Шантажом — пользователя вынуждают поставить расширение. Человек попадает на мошеннический сайт и не может его покинуть. При попытке закрыть вкладку ему сообщают, что это можно сделать только после установки дополнительной программы. Понятно, что от неё не стоит ждать ничего хорошего.

Даже если загружать расширения только из официального магазина, полная безопасность не гарантируется. Чтобы обмануть систему защиты, злоумышленники придумали множество уловок. Например, они создают расширение, которое выглядит невинно и успешно проходит проверку, но после установки догружает со сторонних сайтов дополнительный код. После этого его поведение меняется не в лучшую сторону — скажем, оно начинает встраивать в сайты дополнительную рекламу. Иногда мошенники покупают «хорошие» расширения, написанные энтузиастами, и постепенно превращают их в нежелательные или опасные.

Как защитить себя

Расширения — часть экосистемы браузера. Многие из них сильно упрощают жизнь, поэтому отказываться от расширений только из-за риска встретить злоумышленников не стоит. Чтобы обезопасить пользователей от нежелательных программ, в Яндекс.Браузере предусмотрено несколько механизмов защиты. Все они — часть комплексной системы Protect, встроенной в Браузер.

Во-первых, автоматическая система Яндекса регулярно обходит сайты и проверяет их на наличие нежелательных программ. Если сайт распространяет «плохое» расширение, он попадает в чёрный список. При попытке перейти по адресу из списка Браузер блокирует загрузку сайта и сообщает пользователю о возможных рисках.

Во-вторых, Браузер проверяет все файлы, которые загружает пользователь. Проверка выполняется в момент, когда файл загружен, но ещё не начал исполняться. Браузер изучает файл и его происхождение и выявляет характерные для него свойства — у каждого файла их более двухсот. Эти свойства анализирует система безопасности, основанная на машинном обучении. Она делает вывод о том, опасен файл или нет. Если есть угроза, файл блокируется. Каждый месяц через систему проходят более пяти миллионов уникальных файлов.

Иногда злоумышленники могут подменить установленное из магазина добропорядочное расширение на вредоносное. Такое обычно происходит с расширениями, которые пользователь запускает очень редко. Яндекс.Браузер регулярно сравнивает все установленные расширения с «оригиналами» из магазина. Если найдено несоответствие, программу заменяют на официальный вариант из магазина. Если расширения больше нет в магазине, оно блокируется.

***

Яндекс.Браузер предупреждает не только о нежелательных программах, но и об опасных сайтах и файлах, веб-страницах с платными мобильными подписками, смс-мошенничестве и фишинге. Сообщения об угрозах есть в компьютерном Браузере, а также в приложениях для Android и iOS.

62 комментария
Зачем же обзываться на Google Docs? Для вас это, конечно, нежелательное расширение, но зачем людей-то обманываете?
Света Чистякова
27 января 2017, 13:16
Здравствуйте. Это ненастоящие Google Docs. То есть это вредоносное расширение, которое позаимствовало у сервиса название.
Света Чистякова
27 января 2017, 13:19
Все три расширения затащены в браузер комплектом, через программу-установщик.
Когда вернёте работоспособность MusicSig?
Ым?..
Обновлено 27 января 2017, 13:32
Magadum-Ekb,
а что с ним сейчас? 
Magadum-Ekb,
сейчас версия с сайта устанавливается без проблем. Но, похоже, это новая версия. Старая заблокирована не только у нас, но и из Chrome Web Store удалена. Был у нее "сюрприз" с монетизацией пользователей довольно спорным методом. 
Сергей Владимирович Смирнов
27 января 2017, 14:17
Ну как бы ничего нового не узнал. А вот бы не отказался от списка самых популярных вредоносных программах.
Порадовало:
"В комплекте с другими программами. Чаще всего нежелательные и вредоносные расширения люди получают вместе с каким-нибудь полезным файлом."

А разве яндекс не так себя ведёт? 
L.A.,
ну Яндекс скажет, что его расширения добрые :)
Это конечно всё хорошо, но как это понимать? - https://yadi.sk/i/t16uvCV03Bxf8F
Обновлено 31 января 2017, 07:43
unit4670,
не можем у себя повторить. Лучше этот вопрос задать разработчикам Google Chrome (это же он на скриншоте?). 
Тимур,
Такая проблема была в разных браузерах, и даже в приложении Я.Метрики. Это продолжалось в течении нескольких часов. Сейчас всё ок. 
vladimir krivonogov
31 января 2017, 14:48
ерунда ваша защита в браузере ,если в андроиде в системе вирусы которые подменяют в поиске или копируют ипароли и подмену сайтов ,
ANDROID.gEWPB1234(PUP)
ANDROID-PUA.SN-SURE36373246233837576144080650[GENERAL]
ваш поисковик даже не знает таких ,а должен на сайт wraitearmor антивируса отправлять 
vladimir krivonogov,
Браузер не заменяет собой антивирус. Его задача предотвращать проблемы, а не искать вирусы в системе. К тому же возможности мобильной версии еще и технологически ограничены.


Яндекс.Браузер для Android проверяет загружаемые файлы, предупреждает о посещении опасных сайтов и сайтов с мобильными подписками, умеет шифровать Wi-Fi трафик и защищать данные от перехвата. Но это не значит, что не нужно использовать отдельный антивирус.
Статья хорошая, но самое интересное, что всякий хлам с вирусами лезет как раз от Яндекса, и, как здесь в статье упоминалось, при установке полезных программ. Ест и такие вирусы, что и не удалить.
Павлик,
пользуюсь яндексом и гуглом -- ни разу никакого "хлама", как Вы пишете, не было. А вот мэйл.ру -- это какое-то жуткое вирусное пространство. Давно уже не храню там файлы, ничего не скачиваю и прошу, чтобы ссылки на "облако" мэйла мне не присылали, потому как потом ещё попробуй очисть компьютер от всех их "расширений". Не представляю, чем Вам не угодил яндекс.. по мне так это самый дружественный ресурс из ему подобных.
Обновлено 2 февраля 2017, 16:04
morerechi,

Мэйл Ру это отдельная тема. А по поводу вирусов от Яндекса, то, к примеру, Вы хотите установить какую нибудь программу и не сняли галочку дополнительных предложений от Яндекса, которые пичкают везде и всюду, и установили, к примеру, менеждер браузеров и кинопоиск. Это и есть вирусы. Первое хоть и можно удалить и очистить систему от этой пакости, если конечно хорошо знать где и что удалять в системе, а вот второе -  вирус такого плана, что его не удалить. Мало того что он интегрируется в IE и не удаляется, но и ещё создаёт неизвестную учётную запись, которая блокирует все права Администратора переведя их на себя, и одному Богу известно что эта пакость творит в системе. Такая ситуация была на корпоративной семёрке. Пришлось сносить систему и ставить заново.
Павлик,
У меня все ставилось и удалялось без последствий. 
Я конечно все понимаю, но этого я не понимаю. Google Docs. Зачем вы обманываете людей? 
Света Чистякова
2 февраля 2017, 20:23
Здравствуйте. На скриншоте — не настоящие Google Docs, а поддельное расширение, которое использует чужое имя, чтобы обмануть пользователей. Посмотрите подпись под картинкой  :)
Фёдор Тимофеев
3 февраля 2017, 16:18
Нормальная, позитивная реклама, для Яндекс.Браузера. 
Но ведь есть много програмок и антивирусов бесплатных и с пробной версией для удаления вредоносов. 


Яндекс.Браузер, forever.
Обновлено 3 февраля 2017, 17:01
Здравствуйте. В Последнее время у меня яндекс стал всплывать во время боя. И пока я его закрываю я убит. Хочется удалить браузер. Ваше мнение ?
Света Чистякова
14 февраля 2017, 15:24
Здравствуйте. Речь (надеемся) идёт об онлайн-игре? Что именно «всплывает» во время боя?
yura380,
Хочется - удаляйте. После удаления будет всплывать другой браузер, установленный по-умолчанию. Думаю, проблема в системе или игре, а не в браузере.
Статья полезная, понравилась. Теперь буду просматривать Ваш блог чаще.
Перебрал, наверное, все расширения от Яндекса. Как ставилось легко, так и удалялось в пару кликов. Не знаю что там у людей страшного происходило в системе после установки. Ни с чем подобным не сталкивался.
Почему никогда не реализовывали в браузере шифрование данных синхронизации с помощью кодовой фразы? Убрали эту возможность как "ненужную" или "слишком сложную" для новых пользователей?
I was using google chrome from a long time and a lot of extensions are automatically start running and showing annoying things, then i move on to yandex for any type of searches. now as i am having 2 websites examminds and examjobresult i have to put content to these websites. I have been using the yandex browser from last 2 year and i am happy with it. I have posted this comment just to let people know that how i get rid of these silly extensions. Keep in mind to use only those extensions which are most useful otherwise don't install them or don't allow any software to install any of them.
Thanks to Yandex 
Обновлено 9 марта 2017, 14:26
bedencko.nikolai2016
14 марта 2017, 17:10
Спасибо  за полезную информацию , впредь буду более внимательным ко всякого рода приложениям .
Надо быть осторожней
А вот могут в ваши Яндексовские расширения мошенники добавить всякие ненужные и  опасные соты или коды?
Caramellia,
*софты
не все расширения поддерживаются ян. браузером , например на могу установить расширение от сервиса где посылка .  
Все,что Вы пишете-это здорово и полезно,но я не обладаю достаточным знанием компьютера, и мне практически невозможно  понять все эти тонкости ( к тому же у меня солидный возраст, но научилась и пользуюсь интернетом во всю, и жить без него уже не могу). В связи с физическими ограничениями заказываю все по интернету,
В частности, я не понимаю,что нужно отключать, а что включать, никак не пойму как отключать (не помню название расширения,кажется, AddBlock)  в LetyShops и поэтому не могу пользоваться. Была бы благодарна, если бы кто-нибудь научил. Спасибо
пользовался гугл браузером и бфли все перечисленные сверху проблемы/, установил яндекс браузер (раньше им пользовался на своем буке) все проблемы ушли касаемо вирусняков в браузере, более того сегодня выкинуло на страницу которая очень подробно объяснила суть проблемы и посоветовала прогу которая удалила все вирусы с хрома.... прога канеш платная но 7 дней дается бесплатно... так что яндекс красавчики.. принципиально буду пользоваться вашим продуктом, даже почту создал на ваших ресурсах. красава
В плане расширений советую посмотреть это https://slaq777.github.io/ помогает отслеживать изменения информации на любом сайте
ВАЛЕРИЙ ЗАЙЧЕНКО
24 ноября 2017, 00:03
я балбес,мне неоднократно приходили подобные предупреждения,видимо где-то подхватил этот триппер,теперь мудохаюсь.как избавиться от него!
luzgina-alexanra2012
14 января 2018, 04:30
у меня выходит надпись ,максимальная степень защиты не гарантирована.
А что делать я не знаю.Так как я не очень владею этой техникой.Подскажите пожалуй ста.Спаибо
чем расширения опасны вычитал а вот 2ю половину вашей статьи как защититься и не вычитал и не вызнал что то 
у меня хозяйничает mail ru   и  казино вулкан
помогите

Татьяна Уткина
2 апреля 2018, 19:00
Спасибо
Вера Мишина(Вострикова)
22 апреля 2018, 09:49
у меня тоже есть реклама. по моему мнению вредоносная...т где Андрей Малахов рекламирует  секс. т.е. таблетки. для его повышения.... как убрать эту рекламу?
Валентина Коновалова (Мясникова)
18 сентября 2018, 07:03
Вера Мишина(Вострикова),
Надо найти то расширение, с которым вы эту рекламу притащили и удалить.
Валентина Коновалова (Мясникова)
18 сентября 2018, 06:57
спасибо разработчикам защиты!
Татьяна Фокина
18 сентября 2018, 18:01
что мне делать как устранить этот микроб
Татьяна Фокина
18 сентября 2018, 18:06
 как удалить вредоносное расширение
Странный мессидж выдал мне только что Яндекс:
Ваш компьютер под угрозой
Скорее всего, вредоносная программа на вашем компьютере подменяет содержимое страниц. Сервисы Яндекса могут работать некорректно, на страницах может показываться непристойная или отталкивающая реклама.
Запустил полную проверку Касперским - "УГРОЗЫ НЕ ОБНАРУЖЕНЫ".
Так что этот мессидж расцениваю как фейк и рекламу своего неудачного браузера.
Я.Браузер в принципе неплох, но...
Для него вообще нет тем оформления, настроить под себя нельзя.
Число доступных расширений - минимум и даже нет резалки рекламы!!! В результате любой сайт в Я.Б обсижен рекламой как лампочка под потолком мухами!
К Яндексу отношусь с большим уважением, но, во-первых, совсем не понял "караул, зловреды заели!" А во-вторых, Я.Б, увы, полная неудача, провал. имхо.
как же конкретно избавиться от нежелательных программ и реклам при входе в Яндекс?
у меня хозяйничает mail ru и казино вулкан
помогите
Галина Щелканова (Климова)
19 декабря 2018, 10:08
Добрый день и что делать
Галина Щелканова (Климова),
1) Необходимо установить надёжный антивирус + firewall, скорее всего, платный. Некоторые популярные антивиры сами несут в себе нежелательные проги, которые не дают работать, а то и шпионят! Это типа Comodo - сходу предлагает установить массу ерунды, и всё равно ставит какого-то дурацкого "помощника Buddy Geek", который постоянно вмешивается и рекомендует позвонить по телефону в США. А также устанавливает свой браузер, переназначает домашнюю страницу, поиск и т.д. Мрак!
2) Если есть признаки вирусов, поможет бесплатный AVZ и AdwCleaner.
3) Осторожно подходить к установке бесплатных прог - свою бесплатность они компенсируют показом рекламы, навязыванием бестолковых расширений браузеров и других отвратных прог. Ну например, неплохая утилита дефрагментации дисков Auslogics Disk Defrag навязывает утильку обновления драйверов, та с помпой крутит баннеры, навязывает ещё бурду, а в конце-концов заявляет, что надо заплатить.
4) Можно пользоваться почтой mail.ru, но только не их прогами!!! Уже давно идут жалобы, что они вредят и шпионят!
5) Избегать подозрительные и ненадёжные сайты! Вы сами не заметите, как они установят вам мерзость, пропишутся в автозагрузку в реестре. Здесь неплохую службу сослужит расширение для браузеров Web of Trust - оно покажет репутацию сайта.
6) Попробуйте установить на домашнем роутере Яндекс.DNS - весь трафик будет идти через фильтр Я.DNS.
7) Регулярно смотрите что висит в памяти - Sysnternals ProcessExplorer, и что прописалось в автозагрузке - Sysnternals AutoRuns.
Я давно использую Anvir Task Manager - это индикаторы загрузки ресурсов ПК, первый страж по защите от прописывания чего-либо в автозагрузку. Можно также смотреть что висит в памяти, автозагрузке, проверять на вшивость и удалять гадов.
8) Очень полезно чистить комп от мусора, корректно и полностью удалять проги (нередко проги оставляют в реестре тысячи следов, способных открыть заднюю калитку для гадов), чистить реестр и т.д. Это платный Reg Organizer.
Maicl.alegarch5
25 января, 00:20
как сменить тëмную тему на светлую
в яндексе на тв

Maicl.alegarch5,
никак. В Я.Браузер смены оформления не предусмотрено, нет и таких расширений.
Ещё раз перечитал статью. В целом, информативно.
Одна из фишек темы состоит в бедности движков браузеров: Chromium, Mozilla (FireFox) и IE-Edge и всё! Из них на Chromium построено подавляющее кол-во браузеров. Соответственно, как ни пыжатся разработчики, но их браузеры вместе с движком приобретают и все их недостатки. Это, например, для хромоножек: несколько копий браузера в памяти, которой занимается немало. Затем, это только движок, а оформление, поведение браузера отдаётся на откуп разработчикам. Но строить браузеры приходится по правила Гугля - если оформление ещё можно сделать своё, то поведение и функционал конкретного браузера приходится лепить "из того, что было", т.е. из расширений. В одних браузерах резалка рекламы AdBlock уже встроена, в других - ставь сам. В одних браузерах темы оформления встроены в настройки и можно поставить из магазина расширений, а в других, как в Я.Б., вообще нет вообще тем оформления.
Для большинства браузеров расширения ставятся из магазина chrome, а некоторые изобретают свои магазины с собственными расширениями - это новая Опера, Я.Б.
Недавно Гугуль объявил об ужесточении требований к расширениям на предмет безопасности; ненадёжные и подозрительные расширения из магазина уже удалены, для новых расширений введён карантин на их изучение.
Ёжику понятно, что ставить левые расширения непонятно откуда нельзя! Ответственность за расширения должна лежать на хозяевах магазинов! Они должны блюсти безопасность - проверять расширения и удалять подозрительные.
И ещё замечание авторам материала. Как здесь отмечено, в основном цель зловредов - реклама. Нет "доброжелательной" или "хорошей рекламы"!!! Меня забодало, когда я в Я.Маркет ищу что-то, даже покупаю, например, принтер, а уже на следующий день реклама многих сайтов упрашивает меня купить тот же самый принтер!
Авторам Яндекса: почему очень часто бесплатные прилады навязывают установку Я.Браузера, Менеджера браузеров и т.п.?!
Обновлено 25 января, 12:24
Яндекс команда! Растёшь! Мудреешь! Это радует! 'Вирусы' и т.д.и т.п.продукт ума далеко не глупого человека... И не каждому дано знать "ходы выходы"... Да и команды не дают на уничтожение под корень этих вредителей  :)) и Одно радует Ваш подход, отношение к работе, забота и внимание к пользователям интернета. Самое трудное при любых событиях, обстоятельствах, оставаться ЧЕЛОВЕКОМ/А перемены в качестве продуктов, сервиса услуг, ощутимы в плюсе Яндекс Команда 
спасибо
Ну что я могу сказать... Здорово то что вы заботитесь о нас недолеких людях..... Спасибо вам Яндекс 🇷🇺😉👍👍👍
Яндекс, а с какого будуна мне как бы само установилось некое приложение Яндекс.Музыка???!!! Оно перехватило на себя ассоциации аудиофайлов. Я.М. мне нужен, снёс в баню. Но откуда оно взялось?
И мне не нравится, что из Я.Б тянется ворох рекламы! Не бывает позитивной рекламы! Вся реклама - паразиты.
А ещё не забавно, что на многих сайтах Я вешает баннер: установи  Я.Б, ну установи...
Виктор Судаков
27 мая, 17:35
Спасибо за полезную информацию
владимир кузнецов
4 сентября, 14:07
Вы делаете благое дело спасибо Вам.
Не понятно, только одно, откуда это берется: ru/searchapp?text=
Это тоже расширение? В компе searchapp этого не нашла. На сайте вообще не знаю где искать. Что делать?