תרמית חדשה: הקורבנות נדרשים לשלם עבור תוכנה חינמית של מיקרוסופט

למאמר הבא
אמיר כרמי
לפני מספר ימים פנה אלי לקוח בשאלה תמימה - משתמשת שלו רצתה להתקין את התוכנה המוכרת של מיקרוסופט Movie Maker, והתבקשה לשלם עבור רישיון.
הדבר נשמע לי חשוד, שכן אני מכיר את התוכנה כחינמית של מיקרוסופט לאורך כל השנים. ואכן, בבדיקה שלי התברר שמיקרוסופט הפסיקה להפיץ את התוכנה בחינם בשנה שעברה, ומאז קשה למצוא מקורות להורדה שלה. בנוסף, התוכנה כלולה כברירת מחדל ב Windows 8.1, אבל לא ב Windows 7 ולא ב Windows 10. בחיפוש בגוגל של המונח "Movie Maker" מתקבלת התוצאה האורגנית הראשונה (לא ממומנת), שמובילה לאתר תרמית שממנו ניתן להוריד את התוכנה.
האתר בנוי בצורה מקצועית, מציע תמיכה טכנית, מדריכים, ותומך ב 8 שפות שונות.
כמו כן, נעשה כמובן שימוש ב Black hat SEO על מנת להעלות את האתר בתוצאות החיפוש של גוגל, כך שתוכנה חינמית של מיקרוסופט מופיעה באתר זה לפני האתר של מיקרוסופט עצמה.
לאחר הורדת התוכנה, ניתן לראות ששונתה ההתקנה המקורית של מיקרוסופט, ונוצר installation wizard ברירת מחדל.
לאחר ההתקנה מופיע חלון שמתריע שמדובר בגרסת ניסיון של התוכנה.
אם המשתמש לוחץ על Later, תופעל התוכנה המקורית של מיקרוסופט.
אם המשתמש לוחץ על Register או על Buy Now, הוא יופנה לדף רכישה שאין אליו גישה מהאתר עצמו.
התשלום מתבצע באמצעות שירות BlueSnap, שהוא שירות מוכר שנמצא בשימוש ע"י חברות תוכנה מהגדולות בעולם.
כך גם הסכום מתורגם לש"ח ומאפשר את מרבית אמצעי התשלום.
לאחר רכישה של רישיון והכנסת הפרטים שהתקבלו בטופס, ניתן לפתוח את התוכנה, שהיא התוכנה המקורית החינמית של מיקרוסופט, ולעבוד איתה.
כמו כן, לא יופיע יותר החלון המתריע על גרסת ניסיון ומבקש תשלום עבור רישיון.
בהתקנת התוכנה נוצר קישור דרך על שולחן העבודה, שמפנה לקובץ שמופעל טרם הפעלת Movie Maker.
ניתן לראות בתיקיית ההתקנה את קובץ ההפעלה המקורי, ואת הקובץ שהוסיפו התוקפים, שאליו גם מפנה קיצור הדרך על שולחן העבודה.
כך בכל פתיחה של התוכנה מקיצור הדרך, יופעל קודם החלון הדורש הפעלת הרישיון, ורק לאחר מכן יופעל קובץ ההפעלה של Movie Maker. על פי האתר Semrush, שמספק פרטים סטטיסטיים על טראפיק של אתרי אינטרנט, לאתר הזה היו 13 אלף כניסות בממוצע בחודש מישראל.
התרמית מזוהה ע"י מוצרי ESET בתור:
Win32/Hoax.MovieMaker ניתן לראות שהיום נמצא במקום השני של זיהויים בישראל בשבוע האחרון, משמע שאלפי גולשים ניסו להוריד את התוכנה המזויפת.
* תודה מיוחדת לאמיר שדאד, מנהל מחשוב ומערכות מידע של ביה"ח נצרת, שעזר לנו לאתר את התרמית.