Фальшивая техподдержка | Fake tech support
2017-03-16 666 5.0 2

Аферы фальшивых колл-центров.

Обман начинается с появившегося предупреждения на мониторе вашего компьютера, часто имитирующее синий экран смерти или мигающего уведомления о проникновении вредоносных программ.

Fake tech support

 

Это самозваное окно информирует вас, что ваш компьютер имеет проблемы безопасности.
Пугающая надпись может содержать множество страшных для любого пользователя угроз, начиная от украденных данных для кредитных карт, о возможности кражи семейные фотографий или о злодеях наблюдающих за вами через веб - камеру. И предлагает бесплатный номер линии поддержки "Microsoft" или другого из софтверных гигантов.

Вы, надеюсь, прекрасно знаете что делать с таким номером?

Но исследователи безопасности из Университета штата Нью-Йорк в Стони Брук (англ. State University of New York at Stony Brook) Позвонили.

Снова и снова, в течение нескольких часов подряд, они разыгрывали свой спектакль, взывая о помощи к этим мошенникам из техподдержки, которые "проанализировали" безопасность их компьютеров якобы с помощью удаленного подключения.

Каждый раз жулики, естественно, обнаруживали что компьютер "заражен вирусами и шпионским ПО", и предлагали вычистить это все за отдельную плату, в среднем около $ 300.

обман от техподдержки наивных людей

К чему же они пришли после всех этих звонков? Самым тревожным было, это масштабы деятельности этих так называемых "сервисов поддержки". И команда решила опубликовать некоторые подсказки о том, как уберечься наивным людям от получения убытков от жульничества, обмана, преступных центров обработки вызовов.

Скамминг во имя науки

На Distributed Systems Security Symposium (Симпозиум системы безопасности (NDSS)) команда Stony Brook показала, как они вычислили мошеннические схемы вызова техподдержки.

С помощью инструмента автоматического веб-сканирования, они посетили десятки тысяч интернет страниц жертв пострадавших в этой афере.
А потом набрав 60 из предложенных номеров, затратив в общей сложности более 22 часов разговоров по телефону с мошенниками, делали вид, что они являются пострадавшие, и просят помощи ИТ специалистов справочных служб.

Их исследование раскрывает методы для выявления самых крупных центров обработки вызовов для фальшивой техподдержки. И намекает, что лучший способ решения данной проблемы это предотвращение создания новых телефонных линий для жульнических вызовов.

Ник Nikiforakis
Факультет компьютерных наук Stony Brook University "Мы хотели бы знать, насколько была велика эта афера, как мошенники могут достучаться до людей, как они убеждают их тратить сотни долларов за исправления поддельных вредоносных ПО,
говорит Ник Nikiforakis Факультет компьютерных наук Stony Brook University, профессор возглавляющий исследование.
"Это был способ автоматически найти масштабные жульничества технической поддержки и понять их строение."

В рамках этого анализа, три исследователя каждый звонил по 20 номерам жуликов от техподдержки и записывали результаты.

Ученые обнаружили, что мошенники совершали весьма предсказуемую серию шагов:

1. Спрашивали информацию о вредоносных программах, которые якобы вызвали предупреждение браузера.

2. Затем они просили жертву посетить свой веб-сайт, загрузить инструмент для удаленного администрирования.

3. Требовали предоставить удаленный доступ чтобы они могли проводить "лечение" на компьютере жертвы. (Для того, чтобы не дать себя обнаружить мошенникам, исследователи приглашали их подключаться к поддельной виртуальных машине, с предварительно установленным программным обеспечением.)

4. После получения удаленного доступа, мошенники осматривали компьютер будущей жертвы и расспрашивали о последних действиях, которые могли привести к "захвату" машины.

Они нахваливали основные аппаратные средства компьютера, чтобы дать жертве понять, что очистка ее инфекции будет стоить денег.

5. Затем они указывают на абсолютно нормальные, но малоизвестные особенности операционной системы

- SERVICE_CONTROL_STOP (Остановка службы. Программа управления услугами может остановить службу, используя функцию ControlService, отправив запрос SERVICE_CONTROL_STOP)

- Netstat scans Windows (Команда netstat отображает статистику активных подключений TCP, портов, прослушиваемых компьютером, статистики Ethernet, таблицы маршрутизации IP, статистики IPv4), и так далее, в качестве доказательства существования вредоносных программ или хакерских вторжений.

- Или что DOS-команда verify, которая якобы должна подтверждать подлинность лицензии (на самом деле нет), ничего не выдает, а значит, лицензия не подлинная.

6. И наконец, они рассказывают жертвам о ценах и планах по услугам очистки ПК, которые в среднем составляют $ 291.

Исследователи проследили IP адреса мошеннических инструментов удаленного администрирования, и выяснили:

флаг индии анимированный.gif

 

85 процентов - Индия, логичное местоположение, учитывая низкую зарплату, индийцев владеющих английским языком.

Флаг Соединенных Штатов

 

10 процентов мошеннических техподдержек были из Соединенных Штатов.

Флаг Коста Рики

 

Пять процентов фейковых ИТ специалистов из Коста-Рики.

Эти вызовы, и полученные данные о ценообразовании были лишь одним из компонентов исследования.
Для того чтобы найти, как можно больше мошенников, исследователи создали программный инструмент "ROBOVIC" (роботизированная жертва) который автоматически посещает миллионы сайтов в поисках страниц жуликов из техподдержки.

Они были нацелены на поиск Typosquatting Typosquatting англ. typo (опечатка) + cybersquatting регистрация доменных имён, близких по написанию с адресами популярных сайтов в расчёте на ошибку части пользователей. Например, «wwwsite.ru» в расчёте на пользователя, который хотел попасть на «www.site.ru».
Тайпосквоттер может собрать на своём сайте достаточно большой процент «промахнувшихся» посетителей и заработать за счёт показа рекламы. Или, если пользователь собрался ввести логин и пароль на оригинальном сайте, а ввёл их на подложном, то тайпосквоттер-злоумышленник может получить эти данные для дальнейшего несанкционированного доступа к чужой информации.
страниц, созданных преступниками, которые показывают рекламу и спам для посетителей.
Typosquatting
Страницы с адресом близким по написанию с адресами популярных сайтов в расчёте на ошибку пользователей


Из пяти миллионов страниц, которые посетила ROBOVIC обнаружено около 22 000 страниц технических поддержек аферистов, размещенных на примерно 8700 доменах.

По счастливой случайности они обнаружили, что модуль Apache на 142 страницах вел подсчет трафика, что позволило исследователям оценить количество посетителей этих страниц.
Поскольку предварительное исследование фальшивых антивирусных служб показывают что около двух процентов людей попадают в подобные ловушки, было подсчитано что каждый домен получает около $ 2000 в день.

Периодически посещая сайты мошенников, исследователи увидели, как долго эти страницы оставались в Интернете прежде чем исчезнуть.
Вероятно хостинг компании обнаруживают мошенничество и удаляют их. Около 70 процентов существовали в течение от одного до трех дней, около 7 процентов работали более месяца. На основании всех этих данных исследователи примерно подсчитали, что домены аферисты зарабатывают около $ 75 млн в год. Но учитывая, что они нашли лишь часть жульнических сайтов и не отслеживают общее количество кампаний создающих их, они не претендуют на оценку для всей промышленности фальшивой техподдержки.

Как бороться с жуликами из техподдержки?

Несколько идей как власти могут помешать скамерам из техподдержки (support scams), или по крайней мере сделать их менее выгодными.

Они обнаружили, что что на 22000 страниц используется чуть более 1600 телефонных номеров, в основном IP-телефони́я от Twilio, WilTel, RingRevenue с хорошей пропускной способностью. "Если операторы внесут номера в черный список, вы можете сделать аферу более дорогой." говорит Nikiforakis.

Nikiforakis в прошлом году предоставил исследование Stony Brook в Федеральную комиссию по торговле, и FTC подала в суд один колл - центр во Флориде, оштрафовав их на 10 миллионов долларов .

Nikiforakis считает, что только обучение может наиболее эффективно решить проблему с аферистами от техподдержки. Жертвы должны научиться отличать мошеннические онлайн-предупреждения о вирусной инфекции, задолго до звонков в поддельные справочные службы телефонных разводил.

"Не верьте, что ваш браузер может что то говорить вам о безопасности вашей системы," говорит Nikiforakis. "Люди должны понимать, что нет никакого законного сценария, при котором ваш компьютер начнет подавать звуковой сигнал и попросит вас позвонить по бесплатному номеру."



источник Wired — ежемесячный журнал

адаптированный перевод


Теги:Wired, Windows, начинающему, безопасность в интернете, техподдержка

Читайте также:
Комментарии
0
2  
аватар ex-hort.ruОткровенно говоря мошеннических схем с использованием интернета бесчисленное множество, что только не придумано сегодня чтобы обмануть человека ради наживы. Буквально на днях был обманут через сайт фриланс, заказал дизайн для сайта у проверенного пользователя и перевел предоплату, оказалось что человека просто взломали отправив ему "техническое задание" которое он естественно открыл, после чего и произошла кража всех паролей и допусков. Поэтому советую всегда быть на чеку.

0
1  
аватар ex-hort.ruЯ давно хотела прочесть статью про аферы техподдержки, потому что ситуации такие были. Спасибо, что грамотно и содержательно написали про фальшивость с интернете.Поразили цифры.Важно правильно реагировать на мошеннические выпады, не паниковать, и действовать соответственно.

Имя *:
Email *:
Код *: