Giornalmente ricevo segnalazioni da parte di amici e utenti relative a vari antivirus fake presenti in rete e sugli store di Google ed Apple.
Analizziamo, ad esempio, un paio di ultime segnalazioni: TOTAL AV e SCANGUARD
Innanzitutto per analizzare degli antivirus bisogna lavorare sempre su macchine virtuali e con sistemi operativi appena installati.
I test che ho fatto sono stati eseguiti su due macchine virtuali:
- Windows 7;
- Windows 10.
Già compare qualcosa di anomalo. I layout grafici sono praticamente identici!
Entrambi gli Antivirus, per poter funzionare, richiedono l'attivazione a pagamento! In maniera gratuita eseguono solo la scansione/diagnosi, ma non la rimozione del virus.
Le prossime due immagini rappresentano le schermate per l'attivazione di TOTAL AV, con tanto di richiesta di numeri e codice di sicurezza della carta di credito.
Da notare la mancanza di Paypal!
E le prossime due immagini rappresentano le schermate per l'attivazione di SCANGUARD, con tanto di richiesta di numeri e codice di sicurezza della carta di credito.
Da notare, anche qui, la mancanza di Paypal!
Anche per il processo di attivazione e pagamento le 2 procedure sono identiche!
Proviamo a fare i 2 processi di registrazione per vedere cosa accade. Sorpresa! A rispondere con un risponditore automatico è sempre un certo DEAN! Sia per Total AV che per SCANGUARD!
Da notare il linguaggio altamente convincente...
Analizzando l'immagine dell'AVATAR attraverso lo strumento di Google Immagini viene fuori che il nostro DEAN è presente su una serie di siti web. Strano anche questo!
Commenti, recensioni e post di vario genere. Tutti con l'avatar di DEAN.
Per approfondire il tutto ho cercato la proprietà dei 2 domini totalav.com e scanguard.com:
- Whois privato! Non è possibile risalire alle proprietà. Come mai? Provate a far un whois dei grandi marchi come Sophos o Trend Micro. I domini appaiono intestati alle 2 società. Perché questi si sono nascosti?
- Per gestire il sistema di registrazione e ticketing, utilizzano i sistemi CRM di FORTIFI.IO con server in cloud e sistemi SENDGRID per l'invio della posta. Queste notizie le ho tirate fuori analizzando un po di header dei vari messaggi di posta elettronica che inviano con i sistemi di registrazione e ticketing. Nessun IP a loro intestato! Strano anche questo.
- Ho analizzato con strumenti come webarchive.org la storia del dominio e del sito internet di totalav.com.
- Nel 2004 il dominio totalav.com era intestato ad una società indiana che si occupava di Audio Video.
- Successivamente il dominio è stato fatto scadere ed è stato acquistato dalle classiche società che si occupano di fare business con i domini scaduti, questo fino al 2016, anno in cui compare il sito di Total AV.
Un ritorno della stessa organizzazione o una nuova che sta utilizzando il vecchio nome?
Continuo le ricerche sul web e vengono fuori altre notizie:
- Sembra essere una nuova società che si chiama SSPROTECT LTD con sede in UK.
- La società è attiva e sul suo sito promuove 3 antivirus: Total AV, Scanguard e PC Protect.
- E' una società partner di Microsoft, riconosciuta dalla casa di Redmond come costruttrice di Antivirus (con un altro sito: www.protected.net ).
- Web Reputation molto bassa.
Vuoi approfondire le tematiche di sicurezza informatica e di Ethical Hacking?
Scopri il corso di Ethical Hacker & Security Manager targato Musa Formazione.
