Neptelefoontjes van zogezegd Microsoft
David Jacoby, een van de Kaspersky experts, was de neptelefoontjes van "Microsoft Security Support" helemaal zat. Hij speelde dus het spelletje mee en probeerde zo de nep support-oplichters te ontmaskeren. Een grappig verhaal, maar met een serieuze boodschap!
Opmerking: Dit is in naam van Jacoby David geschreven!
Ik ben er vrij zeker van dat de meesten van jullie over de recente telefoon zwendel, die op dit moment in de omloop is, gehoord hebben. Ze hebben een heleboel mensen in landen als Duitsland, Zweden, het Verenigd Koninkrijk en waarschijnlijk nog veel meer, opgebeld. De zwendel is vrij simpel, ze doen alsof ze van de afdeling Microsoft zijn, die aanwijzingen heeft gevonden waarbij uw computer is geïnfecteerd met malware. Zij zijn bereid om te controleren of dit het geval is. Als het slachtoffer het eens is, zullen ze vragen om bepaalde acties uit te voeren en het typen van bepaalde commando's, die zal tonen dat uw computer 'geïnfecteerd' is.
Ik wil alleen vermelden dat er geen afdeling van Microsoft is, en ze jou nooit zouden opbellen. Dus als je ooit een oproep krijgt van Microsoft dat er enkele aanwijzingen zijn dat uw computer kapot is of geïnfecteerd - gelieve op te hangen!
Nou, ze belden me een paar keer, en uiteindelijk kreeg ik er genoeg van en begon ik het spel mee te spelen. Tegelijkertijd had ik mijn virtuele machines draaien en was het een kwestie van opnemen van alles wat ze deden. Het doel was om uit te vinden wie ze waren en precies wat de zwendel was. Gelukkig kon ik informatie, zoals hun interne IP-adressen, de
PayPal-rekeningen die ze gebruikten, en de nummers die zij gebeld hadden in handen krijgen.
Laten we doen alsof we een tijdje geleden een oproep gekregen hebt, en je speelt mee (met het hele idee), dat je computer geïnfecteerd is. Hun volgende stap is proberen om u te overtuigen dat uw computer geïnfecteerd is. Dit gebeurt in meerdere stappen. Hieronder vindt u de onderstaande stappen, inclusief screenshot.
1. Men zal u uitleggen dat uw computer aan het werken is met zeer lage resultaten, omdat de infectie alles aan het aantasten is. Dat is helemaal niet waar! Want het beeld in feite laat zien dat uw computer alleen zeer weinig middelen gebruikt op dit moment.
2. Daarna zal men vragen om de Event Manager te openen om te proberen om fouten, waarschuwingen en andere informatie te vinden die kan gebruikt worden om u te laten denken dat uw computer geïnfecteerd is. De Event Manger toont wel foutmeldingen, maar niet direct gerelateerd aan een infectie. Bijna alle computers hebben fouten in de logbestanden, vooral als de computer niet in de laatste tijd opnieuw geïnstalleerd is en omdat er een hoop programma's draaien.
3. Op dit moment zijn ze je echt onder druk aan het zetten dat je computer geïnfecteerd is, en wat er moet gedaan worden om te bevestigen dat het zo is. Zij zullen dan proberen om uw computer te koppelen aan een uniek nummer, een nummer dat ze bellen met de Consumer License ID, bekend als de CLSID. Maar de CLSID is eigenlijk een Klasse-id. Op de foto hieronder kun je zien welk programma of CLSID gekoppeld is met een specifieke extensie. Zij zullen dan vragen om de opdracht "ASSOC" in een DOS-prompt uit te voeren, en dan vragen of de consument 'Licentie-ID' gelijk aan '888DCA60-FC0A-11CF8F0F-00C04FD7D062' is. Dat is eigenlijk de CLSID voor de 'ZFSendToTarget' bestand-extensie.
4. Op dit punt hebben ze je niet alleen geprobeerd om u te overtuigen dat de computer geïnfecteerd is, maar ook dat de computer die ze zien in hun systeem, eigenlijk uw computer is. Zij zullen u nu nog een DOS-opdracht laten uitvoeren om nog eens "te controleren" of het zo is. Zij beweren dat als de 'output' van het Verify-commando "uit" is, dat uw computer licentie niet is geverifieerd. Deze opdracht heeft absoluut niets te maken met uw licentie, het betekent alleen dat je de controle uit of aan kan zetten van het systeem dat controleert of de gegevens correct op de schijf geschreven worden.
Op dit punt was de vrouw, waarmee ik aan het bellen was, aan het schreeuwen in mijn oor 'OH MY GOD!, ze was super boos dat mijn licentie niet was geverifieerd. volgens haar betekende dit dat er geen security patches geïnstalleerd kon worden. Ze stelde toen dat er een technicus toegang tot mijn computer nodig had om al die problemen op te lossen.
Natuurlijk, een technicus mag dit doen om het op te lossen - Ik was alleen alles aan het draaien een een lege virtuele machine :).
5. Zij maken gebruik van een Remote Administration Software, AMMYY genoemd. Ik had nog nooit gehoord van deze software voor dit incident. Het lijkt vrij eenvoudig. Vanaf een unieke ID konden ze verbinding maken met mijn computer en ermee werken. Ik kon ook alles zien wat ze deden. Een operator met het ID "10878203" was aangesloten op mijn computer, en hieronder bevindt zich de machtigingen die hij/zij vraagt.
6. Op dit punt was de beheerder aangesloten op mijn computer en was in staat alles te gebruiken. Hij opende de Certification Manger en selecteerde een oude certificaat. Ik had nog steeds de vrouw aan de telefoon, en ze legde uit dat de operator nu had ontdekt dat mijn computer niet was bijgewerkt sinds 2011 omdat deze certificaat ongeldig was.
7. Nu begon het echt verdacht te worden, ze vertelde dat de enige oplossing hiervoor is om het systeem te activeren en het installeren van beveiligingssoftware, die mij zal beschermen tegen virussen, malware, Trojaanse paarden, hackers en meer. Ze vroeg me aan de telefoon of dit is wat ik wilde doen. Ze zei dat dit alleen $250 USD zou kosten.
8.De operator installeerde vervolgens een programma genaamd: 'G2AX_customer_downloader_win32_x86.exe' van de website www.fastsupport.com.
Toen dit gedaan was, kwam een chat pop-up tevoorschijn. Het was een persoon met de naam "David Stone" die me vertelde dat mijn computer niet meer in gevaar was.
9. Ze vertelde me dat sinds ik ingestemd had om mijn software up-te daten, nu een formulier moest invullen en $250 moest betalen. Vervolgens opende een PayPal-formulier. Ik was in staat om verschillende PayPal-rekeningen te verzamelen, onder meer: [email protected] en [email protected]
10. Omdat ik wist dat dit een zwendel was, wilde ik zien of ik wat meer informatie over deze mensen kon krijgen. Dus heb ik verschillende keren geprobeerd om valse VISA en MasterCard kaarten in te voeren en ik zei ook dat ik geen toegang heb om dingen te kopen op het internet met mijn kaart. Ze raakte behoorlijk gefrustreerd met mij op dit punt.
Dan vraag ik hen om naar een website te gaan, welke ik doe alsof het de website van een vriend is, die zijn kaart informatie op de website heeft staan. De website is eigenlijk maar een tekstbestand met een statische tekst: “Hi, please connect from a different IP since your behind a proxy”.
11. We hebben meerde malen vanaf mijn computer geprobeerd, met behulp van verschillende browsers, maar toen vroeg ik hen om hun site na te gaan, en tot mijn verbazing deden ze daadwerkelijk wat ik vroegen. Ik was op zoek in mijn logbestand en zodra ze verbonden waren, kreeg ik hun IP-adres :)
101.xxx.xxx.197 - - [01/Aug/2012:13:44:31 +0200] "GET //.txt HTTP/1.1" 200 413 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
12. Op dit punt heb ik een paar keer de verbinding verbroken met de telefoon toen we aan het praten waren, want ik wilde zien vanaf welke nummers ze belde. Ik was in staat om de volgende nummers te verzamelen:
00441865589771, 008028, 002127773456 en ook een verborgen nummer.
Na het verzamelen van alle informatie, heb ik inmiddels contact opgenomen met alle geschikte mensen, zoals het security-team bij PayPal, de verschillende wetshandhavingsinstanties met de hoop dat we deze mensen kunnen stoppen. Ze stelen veel geld van onschuldige mensen. Ik weet dat die mensen zijn gewaarschuwd over deze oplichting, maar mijn conclusie is dat ze nog steeds mensen bellen omdat ze nog steeds geld verdienen.
De software die ze gebruikten was niet kwaadaardig op welke wijze dan ook, wat betekent dat geen beveiligingssoftware kan worden gedetecteerd van dit soort oplichtingen. Dit is een van de belangrijkste redenen voor dit artikel en andere - we moeten de mensen blijven informeren zodat de cybercriminelen gedwongen worden om te stoppen.
Bron: https://www.securelist.com/en/blog/208193750/Trying_to_unmask_the_fake_Microsoft_support_scammers
Gerelateerde nieuwsberichten
23/10/2022 Microsoft lekte gegevens van klanten door fout in server
05/06/2018 Microsoft neemt GitHub over
29/05/2017 Microsoft-diensten moeilijk bereikbaar via Firefox
Er zijn 27 reacties op 'Neptelefoontjes van zogezegd microsoft'
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu