Technical support scam

Z MruczekWiki

Technical support scam - jedna z form scamu, polegająca na tym, że oszust najczęściej podaje się za pracownika pomocy technicznej, często dzwoniąc telefonicznie do osób nieznanych i niespodziewających się telefonu (cold calling). Najczęściej tech support scam kierowany jest do użytkowników systemów Microsoft Windows, gdzie osoba dzwoniąca podaje się za przedstawiciela pomocy technicznej Microsoftu.

W krajach anglojęzycznych takie formy scamu występowały już w 2008 roku i najczęściej pochodzą z tak zwanych call center działających w Indiach.

Zadaniem scammera jest uzyskanie zdalnego dostępu do komputera ofiary. Po zdobyciu dostępu, scammer stosuje confidence tricks (sztuczki zaufania) wykorzystując narzędzia wbudowane w system Windows w celu zbudowania poczucia, że komputer ofiary jest zagrożony i zawirusowany. Jednocześnie oferuje usługi "supportu", podczas których scammer próbuje ukraść dane karty kredytowej ofiary lub przekonać ofiarę do dokonania płatności.

Sposób działania

Tech support scams wykorzystują najczęściej metody socjotechniki działające na osobach nieposiadających wiedzy komputerowej. Zadaniem scammera jest przekonanie ofiary do instalacji oprogramowania pulpitu zdalnego (np. TeamViewer).

Po zdalnym podłączeniu się do komputera ofiary oszust wykorzystuje wbudowane narzędzia systemu Windows aby przekonać ofiarę, że jej komputer jest zawirusowany.

  • Najczęściej wykorzystuje się do tego Podgląd zdarzeń (ang. Event Viewer) gdzie wyświetlane są mało znaczące błędy podczas start-upu (które nie są zagrożeniem dla systemu). Chociażby zakładka Zdarzenia administracyjne (Administrative Events) może posiadać tysiące błędów bądź ostrzeżeń nazbieranych w ciągu miesiąca.
  • Innym narzędziem może być msconfig.exe, gdzie w zakładce Usługi (Services) pokazują się również usługi zatrzymane (Stopped). Scammer może wówczas przekonać, że świadczy to o tym, że komputer ofiary jest zawirusowany i nie działa poprawnie.
  • Warto również zwrócić uwagę, że od razu po podłączeniu się zdalnie scammer przy użyciu kombinacji Windows + R uruchamia program syskey.exe i od razu ustawia hasło aby odebrać użytkownikowi dostęp do komputera[! 1]. Jest to wykorzystywane w celach okupu - aby odzyskać dostęp, ofiara musi zapłacić.
  • Scammerzy także często używają funkcji przesyłania plików aby przejrzeć osobiste pliki ofiary, takie jak dokumenty czy obrazy, które wówczas są przekopiowywane aby uzyskać więcej informacji o ofierze. Okno z logiem (w aplikacji TeamViewer jest nazywane File Transfer Eventlog) scammerzy często tłumaczą jako skanowanie w poszukiwaniu wirusów, podczas gdy tak naprawdę przeglądają prywatne pliki i kopiują je na swój komputer.
  • Scammer może także wyświetlić foldery zawierające pliki nazwane nietypowo, jak na przykład foldery systemowe Temp i Prefetch.
  • Często wykorzystywana jest także komenda wiersza poleceń tree lub dir /s, która wyświetla listę plików i katalogów. Scammer może przekonać ofiarę, że tak naprawdę jest to program skanujący system pod względem malware; może także w tym czasie ręcznie wpisać tekst w wiersz poleceń świadczący o błędach (np. "Ostrzeżenie! Znaleziono ... wirusów").
  • Scammer może użyć komendy netstat, która służy do wyświetlania aktywnych połączeń sieciowych; następnie może przekonać ofiarę, że adresy znajdujące się pod tekstem Foreign Adress należą do hackerów.
  • Jednym z narzędzi wykorzystywanych przez scammerów to tzw. keyloggery, które przechwytują wprowadzane klawisze podczas zdalnego połączenia. Mogą być wykorzystywane aby pozyskać dane ofiary do konta bankowego.

Walka z tech scammerami

Wśród społeczności YouTube na popularności zdobywają filmiki ukazujące walkę ze scammerami, czasem clickbaitowo nazywane "reverse scam". W praktyce opierają się na zdobycie jak najwięcej informacji o scammerze, aby móc zgłosić jego działalność do odpowiednich służb cyberbezpieczeństwa. Mogą również opierać się na celowym zajmowaniu czasu scammerom, podczas gdy w tym czasie mogliby oscamować znacznie więcej ludzi.

Aby móc jednak walczyć ze scammerem, trzeba samemu zabezpieczyć własny komputer aby nie paść samemu w ten sposób ofiarą.

  • Konieczne jest korzystanie z maszyny wirtualnej (VM, Virtual Machine). W ten sposób nawet jeżeli scammer będzie w stanie narobić bałaganu, będzie można swobodnie przywrócić wcześniejszy punkt kontrolny maszyny. Warto jednak poświęcić trochę czasu aby ukryć fakt korzystania z VM przed scammerem - ostatnio często scammerzy uruchamiają devmgmt.msc (Menedżer urządzeń), w przypadku korzystania z maszyny wirtualnej dysk twardy może nosić przykładową nazwę VMware Virtual SCSI Disk Device; scammer wówczas może poczuć, że coś jest nie tak i rozłączy się. Można jednak za pomocą edytora rejestru wyedytować nazwy urządzeń. Podobnie warto również ukryć narzędzia takie jak chociażby VMware Tools lub zmienić nazwę.
  • Scammer może także dać dostęp zdalny do swojego komputera użytkownikowi, aby następnie przekonać potencjalną ofiarę do zamienienia się stronami (funkcja Switch sides with partner) wzbudzając w ten sposób zaufanie[! 2]. Można w tym krótkim momencie szybko przejrzeć notatki, pliki czy otwarte programy scammera, jednakże trzeba być ostrożnym, gdyż scammer może się zorientować, co próbujemy zrobić.
  • Podczas dawania zdalnego dostępu można użyć sniffera (programu przechwytującego dane przepływające w sieci), na przykład programu Wireshark. Wówczas podczas nawiązania zdalnego połączenia jesteśmy w stanie przechwycić adres IP scammera. Wówczas za pomocą WHOIS jesteśmy w stanie poznać mało szczegółową lokalizację scammera.
  • Alternatywnie gdy scammer zachęci nas do wejścia na jego stronę w celu dokonania spreparowanej płatności jesteśmy w stanie za pomocą WHOIS określić, kto jest rejestratorem domeny.
  • Zalecane jest używanie keyloggera, w ten sposób nawet jeśli scammer ustawi hasło w narzędziu syskey.exe nie będzie to stanowiło problemu[! 1].

Uwagi

  1. 1,0 1,1 Narzędzie syskey.exe nie jest dostępne od wersji Windows 10 Fall Creators Update.
  2. 11 stycznia 2019 funkcja Switch sides with partner została wyłączona w darmowej wersji programu TeamViewer aby zapobiegać scamom wraz z funkcjami Disable remote input i Remote printing - TeamViewer Community