Oszuści każą do siebie dzwonić. Zadzwonił

Dla tych, którzy śledzą aktualności z zakresu bezpieczeństwa, oszustwa telefoniczne nie są niczym nadzwyczajnym. Zaskoczyć może co innego – oszuści, zamiast dzwonić i przedstawiać swoje oferty, zaczęli sami prosić o kontakt. Nie spodziewali się jednak, że napotkają kogoś, kto jest obeznany w kwestii zabezpieczeń IT. Do Eddy’ego Willemsa (specjalisty ds. bezpieczeństwa) zgłosił się jeden z oszustów. Willems oddzwonił i wtedy się zaczęło...

Jedną z metod nawiązywania kontaktu jest wysłanie e-maila lub wiadomości w oknie przeglądarki. Inne metody to złośliwe reklamy lub inne złośliwe oprogramowanie. W tym konkretnym przypadku użytkownik zobaczył na swoim monitorze wiadomość podającą kod błędu “DW6VB36” oraz numer infolinii, na którą powinien zadzwonić. Dodatkowo nagrano wiadomość głosową ostrzegającą go, by nie zignorował powiadomienia, gdyż w przeciwnym razie komputer “będzie musiał zostać dezaktywowany”, a do “jednostki zarządzającej bezpieczeństwem sieci przesłana zostanie kopia raportu, by zatrzymać rozprzestrzenianie się szkód”.

Reklama

Sposób działania

Każde oszustwo zaczyna się od nawiązania kontaktu. Przy nękających połączeniach ma to miejsce w momencie, gdy telefon dzwoni, a ty go odbierasz. Ostatnimi czasy oszuści próbują jednak działać w inny sposób z uwagi na fakt, że coraz więcej osób jest obeznanych w temacie oszustw telefonicznych. Doświadczenie pokazuje, że dzwoniący nie marnują czasu i przechodzą prosto do sedna sprawy. Podają się za przedstawicieli Microsoftu (lub, jak sami mają w zwyczaju się przedstawiać, „Windowsa”), czy innej poważnej firmy. Następnie wymieniają (w różnych kombinacjach), problemy, jakie stwarza komputer użytkownika i mówią, że pomogą w ich rozwiązaniu. W tym celu „pilnie” potrzebują uzyskać dostęp na odległość do komputera ofiary. Często podkreślają, że to oni (i tylko oni) są w stanie zapobiec kolejnym problemom.

Gdy rozmówca nie współpracuje, straszą, mniej lub bardziej bezpośrednio, postępowaniem karnym, zamrożeniem kont bankowych, kart kredytowych lub innych zasobów online. Są też przypadki, gdy oszuści po prostu blokują użytkownikowi dostęp do systemu. Gdy tylko ofiara zostanie przekonana, że powinna powierzyć „zaufanej osobie” dostęp do systemu, oszustom otwiera się droga między innymi do:

- Zakodowania bazy danych użytkownika przy pomocy narzędzia typu Syskey dla systemu Windows  (tłumaczą, że w ten sposób „blokują hackerów”).

- Otwarcia normalnych logów systemowych lub okna „Serwis” (przekonują wtedy ofiarę, że „wyraźnie widać obecność wirusa” – którego są oczywiście w stanie usunąć).

- Poruszenia tematu „skanu systemu”.

- Zaoferowania wsparcia w postaci „umowy”.

Sedno sprawy tkwi w tym, że wszelkie „usługi” oferowane przez oszustów kosztują. Popularna strategia działania polega na zawarciu „umowy o wsparcie i konserwację”, która oczywiście również kosztuje. W niektórych przypadkach oszuści instalują na urządzeniu darmowe programy i utrzymują, że są one częścią ich „produktu” – mogą także zainstalować oprogramowanie, które pociągnie za sobą kolejne szkody. Gdy ofiara kategorycznie odmawia dokonania jakichkolwiek płatności, niektórzy oszuści usuwają kluczowe pliki lub doprowadzają system do bezużytecznego stanu. W przypadku, gdy użytkownikowi zablokowano dostęp do systemu (np. poprzez zablokowanie bazy danych konta użytkownika), oszustwo przeradza się w bezpośredni szantaż, a ofiara może odzyskać dostęp do swojego komputera wyłącznie po wpłaceniu pieniędzy (o ile w ogóle dostęp ten odzyska).

„O” jak Oszustwo

"Oto co zrobiłem: uruchomiłem urządzenie w środowisku laboratoryjnym i podłączyłem je do rejestratora ekranu" - mówi Eddy z G DATA.  "Adres IP, z jakiego komputer łączył się z internetem nie znajduje się na czarnej liście hackerów – przestępcy nie są głupi i doskonale wiedzą, które adresy IP należy wiązać z firmami działającymi w sektorze zabezpieczeń. Zastosowano sprzęt natywny, to znaczy „prawdziwy komputer”, a nie maszynę wirtualną, ponieważ niektórzy oszuści upewniają się, czy nie zostali zwabieni do maszyny wirtualnej. Funkcja identyfikacji rozmówcy została wyłączona i zainicjowano połączenie z numerem wyświetlającym się we wiadomości na monitorze. Telefon odebrała kobieta o sympatycznym głosie z wyraźnym akcentem. Wytłumaczyła mi, co się „stało” i dlaczego należało zadzwonić pod ten numer. Następnie poprosiła mnie o podanie numeru telefonu, na który mogłaby oddzwonić. Podałem jej numer komórkowy, a ona niezwłocznie oddzwoniła. Następnie poinstruowała mnie, żebym wszedł na stronę oferującą wsparcie na odległość (w tym wypadku „helpme.net”; jest to legalna strona ze wsparciem) i opisała, jak uruchomić połączenie na odległość, a następnie przekazała rozmowę jednemu ze swoich wykwalifikowanych inżynierów"- dodaje.

Peter z Windowsa przy telefonie

"Inżynier przedstawił się jako Peter. On też mówił z silnym akcentem, ale był bardzo miły. Mniej miły okazał się fakt, że gdy tylko się zalogował, od razu zablokował bazę danych konta użytkownika. Łatwo było śledzić jego poszczególne ruchy. Gdybym na tym etapie odłożył słuchawkę i przerwał połączenie, mój komputer byłby bezużyteczny. Peter tłumaczył, że w ten sposób zabezpiecza komputer przed dostępem niepowołanych osób. Było to nawet zgodne z prawdą, ja oczywiście nie otrzymałbym jednak dostępu do mojego własnego komputera" - tłumaczy.

"Następnie Peter otworzył dziennik operacji i pokazał wirusy, których pełno było na komputerze. Wszystkie błędy i ostrzeżenia, które się tam pojawiły, miały świadczyć o obecności wirusa. Towarzysząca im data i godzina miały przedstawiać moment, w którym zostały ściągnięte. To jeszcze nie wszystko: Peter otworzył okno wiersza polecenia i wpisał komendę „netstat”. Po jej wpisaniu wyświetla się lista połączeń z urządzeniem. W większości przypadków nie ma w niej nic godnego uwagi, ale Peter zapewniał, że za wszystkimi przedstawionymi tam połączeniami stali hackerzy mający w każdej chwili dostęp do komputera. W tym kontekście zastanowił mnie typ lokalnego adresu IP – nigdy nie widziałem do tej pory domowej sieci, której adres IP zaczynałby się od „10.x.x.x”. Peter oczywiście pomieszał także prywatne i publiczne adresy IP, ale to tylko szczegół. W każdym razie czasem było mi ciężko zachować spokój i pewność siebie i było mi bardzo na rękę, że nie prowadziliśmy video rozmowy" - mówi Eddy. 

W tym momencie zaczęło się robić ciekawie: Peter zaczął opowiadać o „Koobface” – złośliwym oprogramowaniu, które zbierało żniwo w 2010 roku. Twierdził, że komputer został zainfekowany tym właśnie wirusem. Niezgrabnie odczytał kilka pierwszych linijek artykułu o Koobface na Wikipedii (najpierw zrobił szybki research w Google), a potem przekonywał, że należy działać, by zaradzić temu problemowi. W tym celu, powiedział, że jeden z jego „Ekspertów Trzeciego Stopnia” z zakresu wsparcia przeprowadzi skan systemu, który zajmie 60 do 90 minut. Do tego potrzebne jest wykupienie specjalistycznego oprogramowania. I tu zrobiło się jeszcze ciekawiej. Peter otworzył plik tekstowy i zapisał ceny (patrz: zrzut ekranu). Za jednorazowe czyszczenie brał 150 euro. Roczna umowa kosztowała 349 euro, i tak dalej. Była nawet „umowa na czas nieokreślony” za 888 euro plus VAT. 

Przeszliśmy do metod płatności. Eddy od razu zaznaczył, że nie ma karty kredytowej, a Peter powiedział, że to żaden problem, ponieważ przyjmowali także płatności przelewem lub kartą Apple iTunes. Eddy chciał wyciągnąć od niego numer konta – był nawet gotowy podać mu swój, tak, by mógł pobrać pieniądze z konta, ale tu ze skruchą przyznał, że tej metody płatności nie obsługują i że bardzo przeprasza. Po raz kolejny chciał uzyskać numer konta, ale Peter nagle zaczął nalegać na kartę iTunes. Zaczął pytać, jak daleko miał do najbliższego supermarketu i w jakim czasie mógłby do niego dotrzeć. Powiedział mu, że w najbliższej okolicy mam stację benzynową, a on zapytał, ile mi to zajmie. Zaczęło robić się dziwnie… Eddy wciąż naciskam na płatność przelewem, ale on mówi mi, że to będzie kosztowało 29 euro więcej. Totalnie zafiksował się na karty iTunes, mimo że zapewniałem go, że dodatkowa opłata nie stanowi dla problemu.

Dowiedz się więcej na temat: cyberbezpieczeństwo

Reklama

Najlepsze tematy

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje