De fausses critiques positives se sont infiltrées dans presque tous les coins de la vie en ligne ces jours-ci, déroutant les consommateurs tout en offrant un avantage indésirable aux fraudeurs et aux produits de qualité inférieure partout. Heureusement, identifier et suivre ces faux comptes d’examinateurs est souvent le moyen le plus simple de repérer les escroqueries. Voici l’histoire de la façon dont les fausses critiques sur une contrefaçon Authentificateur Microsoft L’extension de navigateur a exposé des dizaines d’autres extensions qui ont siphonné des données personnelles et financières.
Après avoir entendu un lecteur parler d’une fausse extension Microsoft Authenticator apparue sur le Google Chrome Store, BreachTrace a commencé à regarder le profil du compte qui l’a créé. Il y avait un total de cinq critiques sur l’extension avant qu’elle ne soit supprimée : trois utilisateurs de Google lui ont donné une étoile, avertissant les gens de rester loin d’elle ; mais deux des critiques lui ont attribué entre trois et quatre étoiles.
« C’est génial ! », le compte Google Thérèse Duncan enthousiasmé, improbablement. « Je n’ai eu que des problèmes très occasionnels avec. »
« Très pratique et maniable », évalué Anna Jonesincompréhensible.
Le Chrome Store de Google a déclaré que l’adresse e-mail liée au compte qui a publié l’extension Microsoft contrefaite était également responsable de celle appelée « Peinture numérique iArtbook.” Avant d’être supprimé du Chrome Store, iArtbook n’avait attiré que 22 utilisateurs et trois avis. Comme pour l’extension Microsoft contrefaite, les trois critiques ont été positives et toutes ont été rédigées par des comptes avec des prénoms et des noms, comme Megan Vance, Olivia Knoxet Alison Graham.
Le Chrome Store de Google ne facilite pas la recherche par réviseur. Pour cela je me suis tourné vers Hao Nguyênle développeur derrière chrome-stats.comqui indexe et rend consultable un large éventail d’attributs sur les extensions disponibles auprès de Google.
En regardant les comptes Google qui ont laissé des avis positifs sur les extensions Microsoft Authenticator et iArtbook, aujourd’hui disparues, BreachTrace a remarqué que chacun avait laissé des avis positifs sur une poignée d’autres extensions qui ont depuis été supprimées.
Comme un Diagramme de Venn, un examen des extensions commentées par chaque nouveau faux examinateur trouvé a conduit à la découverte d’encore plus d’examinateurs et d’extensions bidons. Au total, environ 24 heures de recherche sur chrome-stats.com ont permis de découvrir plus de 100 avis positifs sur un réseau d’extensions manifestement frauduleuses.
Ces examens conduisent à leur tour à l’identification relativement simple de :
-39 évaluateurs qui étaient satisfaits des extensions qui usurpaient les grandes marques et demandaient des données financières
-45 extensions malveillantes totalisant près de 100 000 téléchargements
-25 comptes de développeur liés à plusieurs applications interdites
Les extensions ont usurpé une gamme de marques grand public, y compris Adobe, Amazone, Facebook, HBO, Microsoft, Roku et Verizon. L’examen des manifestes de chacune de ces autres extensions a révélé à son tour que bon nombre des mêmes développeurs étaient liés à plusieurs applications promues par les mêmes faux comptes Google.
Certaines des fausses extensions n’ont qu’une poignée de téléchargements, mais la plupart en ont des centaines ou des milliers. UNE fausse extension Microsoft Teams a attiré 16 200 téléchargements au cours des deux mois environ où il était disponible sur la boutique Google. UNE version contrefaite de CapCutune suite logicielle de montage vidéo professionnelle, a enregistré près de 24 000 téléchargements sur une période similaire.
Contrairement aux extensions de navigateur malveillantes qui peuvent transformer votre PC en un botnet ou récolter vos cookies, aucune des extensions examinées ici ne demande d’autorisations spéciales aux utilisateurs. Une fois installés, cependant, ils invitent invariablement l’utilisateur à fournir des données personnelles et financières, tout en prétendant être associés à de grandes marques.
Dans certains cas, les faux réviseurs et les faux développeurs d’extensions utilisés dans ce schéma partagent des noms, comme dans le cas de « glace de ruisseau« , le compte Google qui a évalué positivement les programmes malveillants d’Adobe et Équipes Microsoft extensions. L’adresse e-mail [email protected] a été utilisé pour enregistrer le compte développeur responsable de la production de deux des fausses extensions examinées dans cette revue (PhotoMath et Dollify).
Comme nous pouvons le voir dans l’extrait de feuille de calcul ci-dessus, de nombreux comptes Google qui ont rédigé des critiques positives sur des extensions manifestement fausses ont laissé des commentaires sur plusieurs applications le même jour.
De plus, les outils de récupération de compte de Google indiquent que de nombreuses adresses e-mail de développeurs différentes liées aux extensions examinées ici partagent le même e-mail de récupération, ce qui suggère qu’un nombre relativement restreint d’utilisateurs anonymes contrôlent l’ensemble du système. Lorsque les données de la feuille de calcul présentées ci-dessus sont triées par adresse e-mail du développeur de l’extension, le regroupement des avis par date devient encore plus clair.
BreachTrace a partagé ces découvertes avec Google et mettra à jour cette histoire en cas de réponse. Quoi qu’il en soit, Google a déjà détecté toutes ces extensions comme frauduleuses et les a supprimées de sa boutique.
Cependant, il y aura peut-être un futur article ici sur la durée de ce processus d’identification et de suppression des mauvaises extensions au fil du temps. Dans l’ensemble, la plupart de ces extensions étaient disponibles pendant deux à trois mois avant d’être supprimées.
Quant au « et alors ? ici? J’ai effectué cette recherche principalement parce que je le pouvais, et je pensais que c’était assez intéressant pour être partagé. De plus, j’ai été fasciné par l’idée que trouver de fausses applications pourrait être aussi simple que d’identifier et de suivre les faux examinateurs probables. Je suis certain qu’il y a plus dans ce réseau d’extensions frauduleuses que ce qui est documenté ici.
Comme l’illustre cette histoire, il vaut la peine d’être judicieux lors de l’installation d’extensions. Laissant de côté ces extensions qui sont carrément frauduleuses, tant d’extensions légitimes sont abandonnées ou vendues chaque année à des spécialistes du marketing louches qu’il est sage de ne faire confiance qu’aux extensions qui sont activement maintenues (et qui ont peut-être une masse critique d’utilisateurs qui feraient du bruit si quelque chose de fâcheux se produisait avec le logiciel).
Selon chrome-stats.com, la majorité des extensions – plus de 100 000 d’entre elles – sont effectivement abandonnées par leurs auteurs ou n’ont pas été mises à jour depuis plus de deux ans. En d’autres termes, il existe un grand nombre de développeurs susceptibles d’être ouverts à l’achat par quelqu’un d’autre de leur création avec leur base d’utilisateurs.
Les informations qui ont alimenté ce rapport sont consultables dans cette feuille de calcul Google.