https://mruczek.wiki/index.php?action=history&feed=atom&title=Technical_support_scamTechnical support scam - Historia wersji2026-06-04T04:20:46ZHistoria wersji tej strony wikiMediaWiki 1.45.3https://mruczek.wiki/index.php?title=Technical_support_scam&diff=13943&oldid=prevAngelfrost: Utworzono nową stronę "'''Technical support scam''' - jedna z form scamu, polegająca na tym, że oszust najczęściej podaje się za pracownika pomocy technicznej, często dzwoniąc telef..."2019-06-07T10:59:52Z<p>Utworzono nową stronę "'''Technical support scam''' - jedna z form <a href="/Scam" title="Scam">scamu</a>, polegająca na tym, że oszust najczęściej podaje się za pracownika pomocy technicznej, często dzwoniąc telef..."</p>
<p><b>Nowa strona</b></p><div>'''Technical support scam''' - jedna z form [[scam]]u, polegająca na tym, że oszust najczęściej podaje się za pracownika pomocy technicznej, często dzwoniąc telefonicznie do osób nieznanych i niespodziewających się telefonu (''cold calling''). Najczęściej tech support scam kierowany jest do użytkowników systemów Microsoft Windows, gdzie osoba dzwoniąca podaje się za przedstawiciela pomocy technicznej Microsoftu.<br />
<br />
W krajach anglojęzycznych takie formy scamu występowały już w 2008 roku i najczęściej pochodzą z tak zwanych ''call center'' działających w Indiach.<br />
<br />
Zadaniem scammera jest uzyskanie zdalnego dostępu do komputera ofiary. Po zdobyciu dostępu, scammer stosuje ''confidence tricks'' (sztuczki zaufania) wykorzystując narzędzia wbudowane w system Windows w celu zbudowania poczucia, że komputer ofiary jest zagrożony i zawirusowany. Jednocześnie oferuje usługi "supportu", podczas których scammer próbuje ukraść dane karty kredytowej ofiary lub przekonać ofiarę do dokonania płatności.<br />
<br />
== Sposób działania ==<br />
Tech support scams wykorzystują najczęściej metody socjotechniki działające na osobach nieposiadających wiedzy komputerowej. Zadaniem scammera jest przekonanie ofiary do instalacji oprogramowania pulpitu zdalnego (np. TeamViewer).<br />
<br />
Po zdalnym podłączeniu się do komputera ofiary oszust wykorzystuje wbudowane narzędzia systemu Windows aby przekonać ofiarę, że jej komputer jest zawirusowany.<br />
<br />
* Najczęściej wykorzystuje się do tego Podgląd zdarzeń (ang. ''Event Viewer'') gdzie wyświetlane są mało znaczące błędy podczas start-upu (które nie są zagrożeniem dla systemu). Chociażby zakładka Zdarzenia administracyjne (''Administrative Events'') może posiadać tysiące błędów bądź ostrzeżeń nazbieranych w ciągu miesiąca.<br />
* Innym narzędziem może być {{Kod|msconfig.exe}}, gdzie w zakładce Usługi (''Services'') pokazują się również usługi zatrzymane (''Stopped''). Scammer może wówczas przekonać, że świadczy to o tym, że komputer ofiary jest zawirusowany i nie działa poprawnie.<br />
* Warto również zwrócić uwagę, że od razu po podłączeniu się zdalnie scammer przy użyciu kombinacji <code>Windows</code> + <code>R</code> uruchamia program {{Kod|syskey.exe}} i od razu ustawia hasło aby odebrać użytkownikowi dostęp do komputera<ref group="!" name="syskey">Narzędzie {{Kod|syskey.exe}} nie jest dostępne od wersji Windows 10 Fall Creators Update.</ref>. Jest to wykorzystywane w celach okupu - aby odzyskać dostęp, ofiara musi zapłacić.<br />
* Scammerzy także często używają funkcji przesyłania plików aby przejrzeć osobiste pliki ofiary, takie jak dokumenty czy obrazy, które wówczas są przekopiowywane aby uzyskać więcej informacji o ofierze. Okno z logiem (w aplikacji TeamViewer jest nazywane {{Nowrap|''File Transfer Eventlog''}}) scammerzy często tłumaczą jako skanowanie w poszukiwaniu wirusów, podczas gdy tak naprawdę przeglądają prywatne pliki i kopiują je na swój komputer.<br />
* Scammer może także wyświetlić foldery zawierające pliki nazwane nietypowo, jak na przykład foldery systemowe Temp i Prefetch.<br />
* Często wykorzystywana jest także komenda wiersza poleceń {{Kod|tree}} lub {{Kod|dir /s}}, która wyświetla listę plików i katalogów. Scammer może przekonać ofiarę, że tak naprawdę jest to program skanujący system pod względem malware; może także w tym czasie ręcznie wpisać tekst w wiersz poleceń świadczący o błędach (np. "Ostrzeżenie! Znaleziono ... wirusów").<br />
* Scammer może użyć komendy {{Kod|netstat}}, która służy do wyświetlania aktywnych połączeń sieciowych; następnie może przekonać ofiarę, że adresy znajdujące się pod tekstem ''Foreign Adress'' należą do hackerów.<br />
* Jednym z narzędzi wykorzystywanych przez scammerów to tzw. keyloggery, które przechwytują wprowadzane klawisze podczas zdalnego połączenia. Mogą być wykorzystywane aby pozyskać dane ofiary do konta bankowego.<br />
<br />
== Walka z tech scammerami ==<br />
Wśród społeczności [[YouTube]] na popularności zdobywają filmiki ukazujące walkę ze scammerami, czasem clickbaitowo nazywane "reverse scam". W praktyce opierają się na zdobycie jak najwięcej informacji o scammerze, aby móc zgłosić jego działalność do odpowiednich służb cyberbezpieczeństwa. Mogą również opierać się na celowym zajmowaniu czasu scammerom, podczas gdy w tym czasie mogliby oscamować znacznie więcej ludzi.<br />
<br />
Aby móc jednak walczyć ze scammerem, trzeba samemu zabezpieczyć własny komputer aby nie paść samemu w ten sposób ofiarą.<br />
<br />
* Konieczne jest korzystanie z maszyny wirtualnej (VM, ''Virtual Machine''). W ten sposób nawet jeżeli scammer będzie w stanie narobić bałaganu, będzie można swobodnie przywrócić wcześniejszy punkt kontrolny maszyny. Warto jednak poświęcić trochę czasu aby ukryć fakt korzystania z VM przed scammerem - ostatnio często scammerzy uruchamiają {{Kod|devmgmt.msc}} (Menedżer urządzeń), w przypadku korzystania z maszyny wirtualnej dysk twardy może nosić przykładową nazwę ''VMware Virtual SCSI Disk Device''; scammer wówczas może poczuć, że coś jest nie tak i rozłączy się. Można jednak za pomocą edytora rejestru wyedytować nazwy urządzeń. Podobnie warto również ukryć narzędzia takie jak chociażby ''VMware Tools'' lub zmienić nazwę.<br />
* Scammer może także dać dostęp zdalny do swojego komputera użytkownikowi, aby następnie przekonać potencjalną ofiarę do zamienienia się stronami (funkcja ''Switch sides with partner'') wzbudzając w ten sposób zaufanie<ref group="!">11 stycznia 2019 funkcja ''Switch sides with partner'' została wyłączona w darmowej wersji programu TeamViewer aby zapobiegać scamom wraz z funkcjami ''Disable remote input'' i ''Remote printing'' - [https://community.teamviewer.com/t5/TeamViewer-General/How-to-reenable-disable-remote-input-on-Free-version/td-p/51843 TeamViewer Community]</ref>. Można w tym krótkim momencie szybko przejrzeć notatki, pliki czy otwarte programy scammera, jednakże trzeba być ostrożnym, gdyż scammer może się zorientować, co próbujemy zrobić.<br />
* Podczas dawania zdalnego dostępu można użyć sniffera (programu przechwytującego dane przepływające w sieci), na przykład programu Wireshark. Wówczas podczas nawiązania zdalnego połączenia jesteśmy w stanie przechwycić adres IP scammera. Wówczas za pomocą WHOIS jesteśmy w stanie poznać mało szczegółową lokalizację scammera.<br />
* Alternatywnie gdy scammer zachęci nas do wejścia na jego stronę w celu dokonania spreparowanej płatności jesteśmy w stanie za pomocą WHOIS określić, kto jest rejestratorem domeny.<br />
* Zalecane jest używanie keyloggera, w ten sposób nawet jeśli scammer ustawi hasło w narzędziu {{Kod|syskey.exe}} nie będzie to stanowiło problemu<ref group="!" name="syskey"/>.<br />
<br />
== Uwagi ==<br />
<references group="!"/><br />
<br />
[[Kategoria:Oszustwa_internetowe]]</div>Angelfrost