De fausses critiques positives ont infiltré presque tous les coins de la vie en ligne ces jours-ci, déroutant les consommateurs tout en offrant un avantage indésirable aux fraudeurs et aux produits de qualité inférieure partout. Heureusement, identifier et suivre ces faux comptes de réviseurs est souvent le moyen le plus simple de repérer les escroqueries. Voici l’histoire de comment de faux avis sur une contrefaçon Authentificateur Microsoft L’extension de navigateur a exposé des dizaines d’autres extensions qui siphonnaient des données personnelles et financières.

Les commentaires sur la fausse extension de navigateur Microsoft Authenticator montrent que les critiques de ces applications sont positives ou très négatives – en la qualifiant essentiellement d’arnaque. Image: chrome-stats.com.

Après avoir entendu un lecteur parler d’une fausse extension Microsoft Authenticator apparue sur le Google Chrome Store, KrebsOnSecurity a commencé à examiner le profil du compte qui l’a créé. Il y avait un total de cinq avis sur l’extension avant qu’elle ne soit supprimée: trois utilisateurs de Google lui ont donné une étoile, avertissant les gens de rester loin d’elle; mais deux des critiques lui ont attribué entre trois et quatre étoiles.

« C’est génial! », Le compte Google Theresa Duncan enthousiasmé, improbablement. « Je n’ai eu que des problèmes très occasionnels avec ça. »

«Très pratique et pratique», a évalué Anna Jones, de manière incompréhensible.

Le Chrome Store de Google a déclaré que l’adresse e-mail liée au compte qui a publié l’extension Microsoft knockoff était également responsable de celle appelée « Peinture numérique iArtbook. » Avant d’être supprimé du Chrome Store, iArtbook n’avait recueilli que 22 utilisateurs et trois avis. Comme pour l’extension Microsoft imitation, les trois avis étaient positifs et tous ont été rédigés par des comptes avec des noms et des prénoms, comme Megan Vance, Olivia Knox, et Alison Graham.

Le Chrome Store de Google ne facilite pas la recherche par réviseur. Pour cela je me suis tourné vers Hao Nguyen, le développeur derrière chrome-stats.com, qui indexe et permet de rechercher un large éventail d’attributs sur les extensions disponibles auprès de Google.

En examinant les comptes Google qui ont laissé des critiques positives sur les extensions Microsoft Authenticator et iArtbook désormais disparues, KrebsOnSecurity a remarqué que chacun laissait des critiques positives sur une poignée d’autres extensions qui ont depuis été supprimées.

Les avis sur l’extension iArtbook provenaient tous de comptes Google apparemment faux qui ont chacun examiné deux autres extensions, dont l’une a été publiée par le même développeur. Ce même schéma a été observé dans 45 extensions aujourd’hui disparues.

Comme un toujours en expansion Diagramme de Venn, un examen des extensions commentées par chaque nouveau faux critique trouvé a conduit à la découverte d’encore plus de critiques et d’extensions bidons. Au total, environ 24 heures de fouille sur chrome-stats.com ont déniché plus de 100 critiques positives sur un réseau d’extensions manifestement frauduleuses.

Ces examens conduisent à leur tour à l’identification relativement simple de:

-39 critiques satisfaits des extensions qui ont usurpé de grandes marques et ont demandé des données financières -45 extensions malveillantes totalisant collectivement près de 100 000 téléchargements -25 comptes de développeur liés à plusieurs applications interdites

Les extensions ont usurpé une gamme de marques grand public, notamment Adobe, Amazone, Facebook, HBO, Microsoft, Roku et Verizon. L’examen des manifestes pour chacune de ces autres extensions a révélé à son tour que bon nombre des mêmes développeurs étaient liés à plusieurs applications promues par les mêmes faux comptes Google.

Certaines des fausses extensions n’ont qu’une poignée de téléchargements, mais la plupart en ont des centaines ou des milliers. UNE fausse extension Microsoft Teams a attiré 16 200 téléchargements au cours des deux mois environ disponibles sur le Google Store. UNE version contrefaite de CapCut, une suite logicielle professionnelle de montage vidéo, a enregistré près de 24 000 téléchargements sur une période similaire.

Plus de 16 000 personnes ont téléchargé une fausse extension de navigateur Microsoft Teams au cours des deux mois environ pendant lesquels elle était disponible au téléchargement sur la boutique Google Chrome.

Contrairement aux extensions de navigateur malveillantes qui peuvent transformez votre PC en botnet ou récoltez vos cookies, aucune des extensions examinées ici ne demande des autorisations spéciales aux utilisateurs. Une fois installés, cependant, ils invitent invariablement l’utilisateur à fournir des données personnelles et financières – tout en faisant semblant d’être associés aux grandes marques.

Dans certains cas, les faux critiques et les faux développeurs d’extensions utilisés dans ce schéma partagent des noms, comme le cas avec « glace de ruisseau», Le compte Google qui a évalué positivement les logiciels malveillants Adobe et Équipes Microsoft extensions. L’adresse e-mail brookice100@gmail.com a été utilisé pour enregistrer le compte développeur responsable de la production de deux des fausses extensions examinées dans cette revue (PhotoMath et Dollify).

Certaines des données qui ont alimenté ce rapport. La feuille de calcul complète est disponible sous forme de lien à la fin de l’histoire.

Comme nous pouvons le voir dans l’extrait de feuille de calcul ci-dessus, de nombreux comptes Google qui ont rédigé des critiques positives sur des extensions manifestement fausses ont laissé des commentaires sur plusieurs applications le même jour.

De plus, les outils de récupération de compte de Google indiquent que de nombreuses adresses e-mail de développeur différentes liées aux extensions examinées ici partagent le même e-mail de récupération, ce qui suggère qu’un nombre relativement faible d’utilisateurs anonymes contrôlent l’ensemble du système. Lorsque les données de la feuille de calcul ci-dessus sont triées par adresse e-mail du développeur de l’extension, le regroupement des avis par date devient encore plus clair.

KrebsOnSecurity a partagé ces résultats avec Google et mettra à jour cette histoire en cas de réponse. Quoi qu’il en soit, Google a déjà détecté toutes ces extensions comme frauduleuses et les a supprimées de son magasin.

Cependant, il peut y avoir un prochain article ici sur la durée de ce mauvais processus d’identification et de suppression d’extension. Dans l’ensemble, la plupart de ces extensions étaient disponibles pendant deux à trois mois avant d’être retirées.

Quant au « et alors? » ici? J’ai effectué cette recherche principalement parce que je pouvais, et je pensais que c’était assez intéressant pour partager. De plus, j’ai été fasciné par l’idée que trouver de fausses applications pourrait être aussi simple que d’identifier et de suivre les vrais faux critiques. Je suis convaincu qu’il y a plus dans ce réseau d’extensions frauduleuses que ce qui est documenté ici.

Comme cette histoire l’illustre, il vaut la peine d’être judicieux dans l’installation d’extensions. Laissant de côté ces extensions qui sont carrément frauduleuses, autant d’extensions légitimes être abandonné ou vendu chaque année à des spécialistes du marketing louches qu’il est sage de ne faire confiance qu’aux extensions qui sont activement maintenues (et qui ont peut-être une masse critique d’utilisateurs qui feraient du bruit si quelque chose de fâcheux se produisait avec le logiciel).

Selon chrome-stats.com, la majorité des extensions – plus de 100 000 d’entre elles – sont effectivement abandonnées par leurs auteurs, ou n’ont pas été mises à jour depuis plus de deux ans. En d’autres termes, il existe un grand nombre de développeurs susceptibles d’être ouverts à ce que quelqu’un d’autre achète leur création avec leur base d’utilisateurs.

Les données qui ont alimenté ce rapport sont consultables dans cette feuille de calcul Google.