Вредоносные расширения: чем они опасны и как от них защититься

27 января, 10:35

Когда-то для того, чтобы переписываться с друзьями, слушать музыку или смотреть кино, требовались отдельные программы. Сейчас большинство задач можно решить в браузере. Чем больше данных люди передают через браузер, тем больший интерес он представляет для злоумышленников. Вмешаться в работу браузера можно разными способами. Один из них — вредоносные браузерные расширения.

Что такое расширения

Расширения — это программы-модули, которые подключаются к браузеру и расширяют (отсюда и название) его возможности. С их помощью каждый может добавить в браузер те функции, которые нужны именно ему: например, блокировку неприятной рекламы, автоматический перевод текста на веб-страницах, ночной режим просмотра сайтов или экранную клавиатуру с эмодзи.

В чём опасность

Расширения привлекают злоумышленников по нескольким причинам. Во-первых, у них широкие полномочия. Расширения имеют доступ к данным, которыми обмениваются пользователь и сайт, могут влиять на отображение страниц и менять интерфейс браузера: добавлять новые кнопки, панели или закладки. Во-вторых, расширения живут внутри браузера: их установка никак не сказывается на операционной системе компьютера. Поэтому если с расширением что-то не так, вовсе не факт, что на это отреагирует обычная система антивирусной защиты.

Расширения, созданные злоумышленниками, проявляют себя по-разному. Иногда их действия просто неприятны, а иногда представляют непосредственную угрозу для пользователя. Самое распространённое поведение — это:

Подмена контента. Расширение изменяет содержимое веб-страницы. Злоумышленники могут заменить баннеры на популярных ресурсах или добавить на сайт дополнительные рекламные блоки — на этом можно неплохо заработать.

Под удар попадает не только реклама, но и смысловая составляющая страницы. Например, существуют расширения, которые подменяют тексты и картинки на «Авито» — вместо обычных объявлений человек видит сообщения мошенников.

Вторжение в интерфейс браузера. Расширение изменяет главную страницу или добавляет в закладки сайты, на которых человек никогда не был. Таким способом недобросовестные разработчики накручивают посещаемость своих ресурсов.

Слежка. Расширение собирает данные о действиях человека: например, на какие страницы он заходит. Эту информацию можно использовать для показа рекламы. Некоторые расширения перехватывают данные из форм на веб-страницах.

Активность в соцсетях. Расширение публикует посты от имени пользователя или ставит лайки под сомнительными публикациями. Зачастую жертва не замечает этого, пока ей не сообщают внимательные друзья. Не очень внимательные переходят по ссылкам в постах и тоже становятся распространителями спама.

Расширения могут выполнять сразу несколько нежелательных действий сразу. Некоторые умеют менять поведение, подчиняясь командам, которые отдают злоумышленники. Например, сегодня такое расширение может накручивать клики по рекламным объявлениям мошенников, а завтра — собирать данные о пользователях.

Распространение

Полезные расширения распространяются через магазины. Так называют каталоги, где собраны расширения от разных разработчиков. Как правило, каталогом управляет компания, выпустившая браузер. У магазинов есть системы проверки, которые блокируют нежелательные и вредоносные расширения. Поэтому мошенники продвигают свои программы окольными путями — например:

В комплекте с другими программами. Чаще всего нежелательные и вредоносные расширения люди получают вместе с каким-нибудь полезным файлом. Человек скачивает бесплатный фоторедактор, фильм, музыку или торрент и не замечает предупреждения, что вдобавок загрузится что-то ещё. В случае с программами такие «бонусы» даже могут упоминаться в лицензионном соглашении, но многие принимают условия не глядя.

Иногда в комплекте с загружаемым файлом идёт программа-установщик. Она протаскивает в браузер целый набор нежелательных расширений. Избавиться от них трудно — после удаления и перезагрузки компьютера они появляются снова.

В нагрузку к полезному контенту мошенники дают не только расширения и установщики, но и другой нежелательный и даже опасный софт: трояны, приложения для накрутки кликов, программы для доставки рекламы.

Яндекс.Браузер умеет предупреждать пользователей о сайтах, распространяющих нежелательные программы. Предупреждение показывается заранее — до того, как компьютеру может быть нанесён вред. В 2016 году Браузер выдал 137 млн предупреждений, которые увидели более 15 млн человек.

Обманом — нежелательная программа выдаётся за полезную. В таких случаях мошенники утверждают, что их софт предоставляет пользователю ту или иную нужную возможность. Здесь возможны варианты: либо в дополнение к полезной функции программа обладает одной или несколькими неполезными, либо расширение даже не пытается делать то, что было обещано в описании.

Подобные программы часто распространяют через соцсети. Например, человек натыкается в Facebook на ролик с ярким описанием, но при попытке запустить видео ему говорят, что для просмотра нужен специальный видеоплеер.

Если пользователь соглашается на установку, обещанного он не получает — зато на сайтах появляется дополнительная реклама, а люди из его списка друзей видят у себя в лентах аналогичное сообщение. Впервые такое расширение обнаружили в 2014 году. С тех пор злоумышленники постоянно создают новые программы, которые распространяются и действуют точно так же.

Шантажом — пользователя вынуждают поставить расширение. Человек попадает на мошеннический сайт и не может его покинуть. При попытке закрыть вкладку ему сообщают, что это можно сделать только после установки дополнительной программы. Понятно, что от неё не стоит ждать ничего хорошего.

Даже если загружать расширения только из официального магазина, полная безопасность не гарантируется. Чтобы обмануть систему защиты, злоумышленники придумали множество уловок. Например, они создают расширение, которое выглядит невинно и успешно проходит проверку, но после установки догружает со сторонних сайтов дополнительный код. После этого его поведение меняется не в лучшую сторону — скажем, оно начинает встраивать в сайты дополнительную рекламу. Иногда мошенники покупают «хорошие» расширения, написанные энтузиастами, и постепенно превращают их в нежелательные или опасные.

Как защитить себя

Расширения — часть экосистемы браузера. Многие из них сильно упрощают жизнь, поэтому отказываться от расширений только из-за риска встретить злоумышленников не стоит. Чтобы обезопасить пользователей от нежелательных программ, в Яндекс.Браузере предусмотрено несколько механизмов защиты. Все они — часть комплексной системы Protect, встроенной в Браузер.

Во-первых, автоматическая система Яндекса регулярно обходит сайты и проверяет их на наличие нежелательных программ. Если сайт распространяет «плохое» расширение, он попадает в чёрный список. При попытке перейти по адресу из списка Браузер блокирует загрузку сайта и сообщает пользователю о возможных рисках.

Во-вторых, Браузер проверяет все файлы, которые загружает пользователь. Проверка выполняется в момент, когда файл загружен, но ещё не начал исполняться. Браузер изучает файл и его происхождение и выявляет характерные для него свойства — у каждого файла их более двухсот. Эти свойства анализирует система безопасности, основанная на машинном обучении. Она делает вывод о том, опасен файл или нет. Если есть угроза, файл блокируется. Каждый месяц через систему проходят более пяти миллионов уникальных файлов.

Иногда злоумышленники могут подменить установленное из магазина добропорядочное расширение на вредоносное. Такое обычно происходит с расширениями, которые пользователь запускает очень редко. Яндекс.Браузер регулярно сравнивает все установленные расширения с «оригиналами» из магазина. Если найдено несоответствие, программу заменяют на официальный вариант из магазина. Если расширения больше нет в магазине, оно блокируется.

***

Яндекс.Браузер предупреждает не только о нежелательных программах, но и об опасных сайтах и файлах, веб-страницах с платными мобильными подписками, смс-мошенничестве и фишинге. Сообщения об угрозах есть в компьютерном Браузере, а также в приложениях для Android и iOS.

30 комментариев
Подписаться на комментарии к посту
Зачем же обзываться на Google Docs? Для вас это, конечно, нежелательное расширение, но зачем людей-то обманываете?
Света Чистякова
27 января, 13:16
Здравствуйте. Это ненастоящие Google Docs. То есть это вредоносное расширение, которое позаимствовало у сервиса название.
Света Чистякова
27 января, 13:19
Все три расширения затащены в браузер комплектом, через программу-установщик.
Когда вернёте работоспособность MusicSig?
Ым?..
Обновлено 27 января, 13:32
Магадум,
а что с ним сейчас? 
Магадум,
сейчас версия с сайта устанавливается без проблем. Но, похоже, это новая версия. Старая заблокирована не только у нас, но и из Chrome Web Store удалена. Был у нее "сюрприз" с монетизацией пользователей довольно спорным методом. 
Ну как бы ничего нового не узнал. А вот бы не отказался от списка самых популярных вредоносных программах.
Порадовало:
"В комплекте с другими программами. Чаще всего нежелательные и вредоносные расширения люди получают вместе с каким-нибудь полезным файлом."

А разве яндекс не так себя ведёт? 
kaya8,
ну Яндекс скажет, что его расширения добрые :)
Это конечно всё хорошо, но как это понимать? - https://yadi.sk/i/t16uvCV03Bxf8F
Обновлено 31 января, 07:43
unit4670,
не можем у себя повторить. Лучше этот вопрос задать разработчикам Google Chrome (это же он на скриншоте?). 
Тимур,
Такая проблема была в разных браузерах, и даже в приложении Я.Метрики. Это продолжалось в течении нескольких часов. Сейчас всё ок. 
vladimir krivonogov
31 января, 14:48
ерунда ваша защита в браузере ,если в андроиде в системе вирусы которые подменяют в поиске или копируют ипароли и подмену сайтов ,
ANDROID.gEWPB1234(PUP)
ANDROID-PUA.SN-SURE36373246233837576144080650[GENERAL]
ваш поисковик даже не знает таких ,а должен на сайт wraitearmor антивируса отправлять 
vladimir krivonogov,
Браузер не заменяет собой антивирус. Его задача предотвращать проблемы, а не искать вирусы в системе. К тому же возможности мобильной версии еще и технологически ограничены.


Яндекс.Браузер для Android проверяет загружаемые файлы, предупреждает о посещении опасных сайтов и сайтов с мобильными подписками, умеет шифровать Wi-Fi трафик и защищать данные от перехвата. Но это не значит, что не нужно использовать отдельный антивирус.
Статья хорошая, но самое интересное, что всякий хлам с вирусами лезет как раз от Яндекса, и, как здесь в статье упоминалось, при установке полезных программ. Ест и такие вирусы, что и не удалить.
FM-radio93,
пользуюсь яндексом и гуглом -- ни разу никакого "хлама", как Вы пишете, не было. А вот мэйл.ру -- это какое-то жуткое вирусное пространство. Давно уже не храню там файлы, ничего не скачиваю и прошу, чтобы ссылки на "облако" мэйла мне не присылали, потому как потом ещё попробуй очисть компьютер от всех их "расширений". Не представляю, чем Вам не угодил яндекс.. по мне так это самый дружественный ресурс из ему подобных.
Обновлено 2 февраля, 16:04
morerechi,

Мэйл Ру это отдельная тема. А по поводу вирусов от Яндекса, то, к примеру, Вы хотите установить какую нибудь программу и не сняли галочку дополнительных предложений от Яндекса, которые пичкают везде и всюду, и установили, к примеру, менеждер браузеров и кинопоиск. Это и есть вирусы. Первое хоть и можно удалить и очистить систему от этой пакости, если конечно хорошо знать где и что удалять в системе, а вот второе -  вирус такого плана, что его не удалить. Мало того что он интегрируется в IE и не удаляется, но и ещё создаёт неизвестную учётную запись, которая блокирует все права Администратора переведя их на себя, и одному Богу известно что эта пакость творит в системе. Такая ситуация была на корпоративной семёрке. Пришлось сносить систему и ставить заново.
FM-radio93,
У меня все ставилось и удалялось без последствий. 
viktoria.tian2017
2 февраля, 20:13
Я конечно все понимаю, но этого я не понимаю. Google Docs. Зачем вы обманываете людей? 
Света Чистякова
2 февраля, 20:23
Здравствуйте. На скриншоте — не настоящие Google Docs, а поддельное расширение, которое использует чужое имя, чтобы обмануть пользователей. Посмотрите подпись под картинкой  :)
Нормальная, позитивная реклама, для Яндекс.Браузера. 
Но ведь есть много програмок и антивирусов бесплатных и с пробной версией для удаления вредоносов. 


Яндекс.Браузер, forever.
Обновлено 3 февраля, 17:01
Здравствуйте. В Последнее время у меня яндекс стал всплывать во время боя. И пока я его закрываю я убит. Хочется удалить браузер. Ваше мнение ?
Света Чистякова
14 февраля, 15:24
Здравствуйте. Речь (надеемся) идёт об онлайн-игре? Что именно «всплывает» во время боя?
yura380,
Хочется - удаляйте. После удаления будет всплывать другой браузер, установленный по-умолчанию. Думаю, проблема в системе или игре, а не в браузере.
Статья полезная, понравилась. Теперь буду просматривать Ваш блог чаще.
Перебрал, наверное, все расширения от Яндекса. Как ставилось легко, так и удалялось в пару кликов. Не знаю что там у людей страшного происходило в системе после установки. Ни с чем подобным не сталкивался.
Почему никогда не реализовывали в браузере шифрование данных синхронизации с помощью кодовой фразы? Убрали эту возможность как "ненужную" или "слишком сложную" для новых пользователей?
I was using google chrome from a long time and a lot of extensions are automatically start running and showing annoying things, then i move on to yandex for any type of searches. now as i am having 2 websites examminds and examjobresult i have to put content to these websites. I have been using the yandex browser from last 2 year and i am happy with it. I have posted this comment just to let people know that how i get rid of these silly extensions. Keep in mind to use only those extensions which are most useful otherwise don't install them or don't allow any software to install any of them.
Thanks to Yandex 
Обновлено 9 марта, 14:26
bedencko.nikolai2016
14 марта, 17:14
Спасибо  за полезную информацию , впредь буду более внимательным ко всякого рода приложениям .