Oszustwo związane z pomocą techniczną -Technical support scam

Przykład wyskakującego okienka oszustwa pomocy technicznej

Oszustwo pomocy technicznej lub oszustwo związane z pomocą techniczną to rodzaj oszustwa , w którym oszust twierdzi, że oferuje legalną usługę pomocy technicznej . Ofiary kontaktują się z oszustami na różne sposoby, często za pomocą fałszywych wyskakujących okienek przypominających komunikaty o błędach lub za pośrednictwem fałszywych „linii pomocy” reklamowanych na stronach internetowych należących do oszustów. Oszuści zajmujący się pomocą techniczną wykorzystują socjotechnikę i różne sztuczki , aby przekonać ofiarę o problemach na ich komputerze lub urządzeniu mobilnym , takich jak złośliwe oprogramowanie .infekcja, gdy nie ma problemów z urządzeniem ofiary. Oszust przekonuje następnie ofiarę, aby zapłaciła za naprawienie fikcyjnych „problemów”, które rzekomo znalazła. Płatności są dokonywane na rzecz oszusta za pomocą sposobów, które są trudne do wyśledzenia i mają mniej ochrony konsumenta, co może umożliwić ofierze odzyskanie pieniędzy, zwykle za pomocą kart podarunkowych .

Oszustwa związane z pomocą techniczną miały miejsce już w 2008 r. Badanie oszustw związanych z pomocą techniczną z 2017 r. wykazało, że spośród adresów IP, które mogą być geolokalizowane, 85% można przypisać do lokalizacji w Indiach, 7% do lokalizacji w Stanach Zjednoczonych i 3% do lokalizacji w Kostaryce. Badania nad oszustwami związanymi z pomocą techniczną sugerują, że millenialsi i osoby z pokolenia Z są najbardziej narażone na takie oszustwa; jednak seniorzy częściej tracą pieniądze na oszustwa związane z pomocą techniczną. Oszustwa związane z pomocą techniczną zostały wymienione przez Nortona jako główne zagrożenie phishingowe dla konsumentów w październiku 2021 r.; Microsoft odkrył, że 60% konsumentów, którzy wzięli udział w ankiecie, było narażonych na oszustwo związane z pomocą techniczną w ciągu ostatnich dwunastu miesięcy. Odpowiedzi na oszustwa związane z pomocą techniczną obejmują pozwy sądowe przeciwko firmom odpowiedzialnym za prowadzenie nieuczciwych centrów obsługi telefonicznej i oszustwa .

Operacja

Oszustwa związane z pomocą techniczną polegają na socjotechnice, aby przekonać ofiary, że ich urządzenie jest zainfekowane złośliwym oprogramowaniem . Oszuści stosują różne sztuczki , aby przekonać ofiarę do zainstalowania oprogramowania do zdalnego pulpitu , za pomocą którego oszuści mogą następnie przejąć kontrolę nad komputerem ofiary. Mając taki dostęp, oszust może następnie uruchomić różne komponenty i narzędzia Windows (takie jak Przeglądarka zdarzeń ), zainstalować narzędzia innych firm (takie jak fałszywe oprogramowanie zabezpieczające ) i wykonać inne zadania w celu przekonania ofiary, że komputer ma krytyczne problemy, które należy naprawić, takie jak infekcja wirusem . Oszuści atakują różne osoby, chociaż badania Microsoft sugerują, że millenialsi i ludzie z pokolenia Z są najbardziej narażeni na oszustwa związane z pomocą techniczną, a Federalna Komisja Handlu stwierdziła, że ​​seniorzy są bardziej skłonni do utraty pieniędzy na oszustwach związanych z pomocą techniczną. Oszust będzie nakłaniał ofiarę do zapłaty, aby „problemy” mogły zostać naprawione.

Inicjacja

Strona Ostatnie zmiany ze strony MediaWiki dotkniętej przez oszustów pomocy technicznej promujących fałszywe „linie pomocy”

Oszustwa związane z pomocą techniczną mogą rozpocząć się na różne sposoby. Niektóre warianty tego oszustwa są inicjowane za pomocą wyskakujących reklam na zainfekowanych stronach internetowych lub poprzez cybersquatting głównych stron internetowych. Ofierze wyświetlane są wyskakujące okienka, które przypominają uzasadnione komunikaty o błędach , takie jak niebieski ekran śmierci , i zawieszają przeglądarkę ofiary . Wyskakujące okienko instruuje ofiarę, aby zadzwoniła do oszustów pod numer telefonu, aby naprawić „błąd”. Oszustwa związane z pomocą techniczną można również inicjować za pośrednictwem zimnych połączeń . Są to zazwyczaj robocalls , które twierdzą, że są powiązane z legalną stroną trzecią, taką jak Microsoft lub Apple . Oszustwa związane z pomocą techniczną mogą również przyciągać ofiary, kupując w głównych wyszukiwarkach reklamy oparte na słowach kluczowych, takich jak „pomoc techniczna firmy Microsoft”. Ofiary, które klikną te reklamy, są przekierowywane na strony internetowe zawierające numery telefonów oszusta.

Sztuczki dotyczące pewności

Gdy ofiara skontaktuje się z oszustem, zwykle poinstruuje go, aby pobrał i zainstalował program do zdalnego dostępu, taki jak TeamViewer , AnyDesk , LogMeIn lub GoToAssist . Oszust przekonuje ofiarę, aby podała jej dane uwierzytelniające wymagane do zainicjowania sesji zdalnego sterowania, dając mu pełną kontrolę nad pulpitem ofiary.

Po uzyskaniu dostępu oszust próbuje przekonać ofiarę, że na komputerze występują problemy, które należy naprawić, najczęściej jako wynik złośliwej działalności hakerskiej . Oszuści stosują kilka metod, aby błędnie przedstawiać zawartość i znaczenie popularnych narzędzi systemu Windows i katalogów systemowych jako dowód złośliwej aktywności, takiej jak wirusy i inne złośliwe oprogramowanie. Sztuczki te są przeznaczone do atakowania ofiar, które mogą nie być zaznajomione z faktycznym wykorzystaniem tych narzędzi, takich jak niedoświadczeni użytkownicy i seniorzy. Następnie oszust nakłania ofiarę do zapłacenia za usługi lub oprogramowanie oszusta, które, jak twierdzą, mają na celu „naprawę” lub „czyszczenie” komputera, ale w rzeczywistości jest to złośliwe oprogramowanie, które go infekuje, lub oprogramowanie, które powoduje inne szkody lub w ogóle nic nie robi.

• Oszust może kierować użytkowników do Podglądu zdarzeń systemu Windows , który wyświetla plik dziennika różnych zdarzeń do wykorzystania przez administratorów systemu w celu rozwiązywania problemów. Chociaż wiele wpisów w dzienniku to stosunkowo nieszkodliwe powiadomienia, oszust może twierdzić, że wpisy dziennika oznaczone jako ostrzeżenia i błędy są dowodem aktywności złośliwego oprogramowania lub uszkodzenia komputera i muszą zostać „naprawione”.
• Oszust może pokazywać ofierze foldery systemowe zawierające pliki o nietypowych nazwach, takie jak foldery Prefetch i Temp systemu Windows , i twierdzić, że pliki te są dowodem obecności złośliwego oprogramowania na komputerze ofiary. Oszust może otworzyć niektóre z tych plików w Notatniku , gdzie zawartość pliku jest renderowana jako mojibake . Oszust twierdzi, że złośliwe oprogramowanie uszkodziło te pliki, powodując niezrozumiałe dane wyjściowe. W rzeczywistości pliki w Prefetch są zazwyczaj nieszkodliwymi, nienaruszonymi plikami binarnymi używanymi do przyspieszenia niektórych operacji.
• Oszust może twierdzić, że normalnie wyłączone usługi nie powinny być wyłączane, gdy nie wszystkie usługi muszą być włączone.
• Oszust może nadużywać narzędzi wiersza polecenia do generowania podejrzanie wyglądających danych wyjściowych, na przykład za pomocą polecenia treelub dir /s, które wyświetla obszerną listę plików i katalogów . Oszust może twierdzić, że narzędzie jest skanerem złośliwego oprogramowania , a gdy narzędzie jest uruchomione, oszust wprowadzi tekst, który ma być komunikatem o błędzie (np. „naruszenie bezpieczeństwa ... znaleziono trojany”), który pojawi się po zakończeniu zadania, lub do pustego dokumentu Notatnika.
• Oszust może błędnie przedstawiać wartości i klucze przechowywane w Rejestrze Windows jako złośliwe, na przykład nieszkodliwe klucze, których wartości są wymienione jako nieustawione.
• Funkcja „ Wyślij do ” systemu Windows jest powiązana z globalnie unikalnym identyfikatorem . Dane wyjściowe polecenia assoc, które wyświetlają wszystkie skojarzenia plików w systemie, wyświetlają to skojarzenie w wierszu ZFSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}; ten identyfikator GUID jest taki sam we wszystkich wersjach systemu Windows. Oszust może twierdzić, że jest to unikalny identyfikator używany do identyfikacji komputera użytkownika, przed odczytaniem identyfikatora w celu „sprawdzenia”, czy jest legalną firmą pomocy technicznej z informacjami o komputerze ofiary, lub twierdzić, że wymieniony CLSID jest w rzeczywistości „ Identyfikator zabezpieczeń licencji komputera”, który należy odnowić.
• Oszuści mogą twierdzić, że rzekome „problemy” są wynikiem wygaśnięcia gwarancji na sprzęt lub oprogramowanie , na przykład kluczy produktów Windows, i nakłaniać ofiarę do zapłacenia za „odnowienie”.
• Oszuści mogą blokować ofierze dostęp do ekranu, twierdząc, że jest to wynik złośliwego oprogramowania lub uruchomionego skanowania i wykorzystać czas na przeszukanie plików ofiary w celu znalezienia poufnych informacji, próbować włamać się na konta ofiary z użyciem skradzionych lub przechowywanych danych uwierzytelniających lub aktywuj kamerę internetową i zobacz twarz ofiary.
• Oszust może uruchomić netstatpolecenie w oknie terminala/polecenia, które pokazuje lokalne i zagraniczne adresy IP . Następnie oszust informuje ofiarę, że te adresy należą do hakerów , którzy uzyskali dostęp do ich komputera.
• Oszust może twierdzić, że legalny proces Windows, taki jak rundll32.exewirus. Często oszust przeszukuje sieć w poszukiwaniu artykułu o procesie systemu Windows i przewinie do sekcji z informacją, że nazwa procesu może być również częścią złośliwego oprogramowania, nawet jeśli komputer ofiary nie zawiera tego złośliwego oprogramowania.

Płatność i wpływ

Preferowaną metodą płatności w oszustwie pomocy technicznej są karty podarunkowe . Karty upominkowe są preferowane przez oszustów, ponieważ są łatwo dostępne do kupienia i mają mniej ochrony konsumenta , która może umożliwić ofierze odzyskanie pieniędzy. Ponadto użycie kart podarunkowych jako płatności umożliwia oszustom szybkie wyłudzanie pieniędzy przy zachowaniu anonimowości. Oszuści wsparcia technicznego są również znani z tego, że proszą o płatność w formie kryptowaluty , czeków i bezpośrednich przelewów bankowych dokonywanych za pośrednictwem automatycznej izby rozliczeniowej (ta ostatnia daje ofiarom tylko 60 dni na odzyskanie środków).

Jeśli ofiara odmawia wykonania instrukcji oszusta lub odmawia zapłaty, oszuści są znani z obrażania i grożenia ofierze, że zażąda zapłaty. Przestępstwa zagrożone popełnieniem ofiar lub ich rodzin przez oszustów obejmują kradzież, oszustwo i wymuszenia, a także poważne przestępstwa, takie jak gwałt i morderstwo. Obywatel Kanady Jakob Dulisse poinformował CBC , że po zapytaniu oszusta, dlaczego został namierzony, oszust odpowiedział groźbą śmierci ; „Ludzi anglosaskich, którzy podróżują do kraju” ( Indie ) „pokrojono na małe kawałki i wrzucono do rzeki”. Oszuści są również znani z blokowania niewspółpracujących ofiar z komputera za pomocą syskeynarzędzia (obecnego tylko w wersjach systemu Windows wcześniejszych niż Windows 10 ) lub aplikacji innych firm, które instalują na komputerze ofiary, a także do usuwania dokumentów i/lub programów niezbędnych do działanie komputera ofiary w przypadku nieotrzymania płatności.

Firma Microsoft zleciła przeprowadzenie ankiety przeprowadzonej przez YouGov w 16 krajach w lipcu 2021 r. w celu zbadania oszustw związanych z pomocą techniczną i ich wpływu na konsumentów. Badanie wykazało, że około 60% konsumentów, którzy wzięli udział, było narażonych na oszustwo związane z pomocą techniczną w ciągu ostatnich 12 miesięcy. Ofiary zgłosiły, że straciły średnio 200 USD na rzecz oszustów, a wiele z nich spotkało się z powtarzającymi się interakcjami ze strony innych oszustów, gdy zostały skutecznie oszukane. Norton określił oszustwa związane z pomocą techniczną jako główne zagrożenie phishingowe dla konsumentów w październiku 2021 r., po zablokowaniu ponad 12,3 miliona fałszywych adresów URL pomocy technicznej między lipcem a wrześniem 2021 r.

Pochodzenie i dystrybucja

Pierwsze oszustwa związane z pomocą techniczną zostały zarejestrowane w 2008 roku. Oszustwa związane z pomocą techniczną zaobserwowano w różnych krajach, w tym w Stanach Zjednoczonych , Kanadzie , Wielkiej Brytanii , Irlandii , Australii , Nowej Zelandii , Indiach i RPA .

Badanie z 2017 r. dotyczące oszustw związanych z pomocą techniczną, opublikowane na sympozjum NDSS , wykazało, że spośród oszustw związanych z pomocą techniczną, w których zaangażowane adresy IP mogły być geolokalizowane , 85% można było prześledzić do lokalizacji w Indiach, 7% do lokalizacji w Stanach Zjednoczonych i 3% do lokalizacji w Kostaryce. W Indiach są miliony anglojęzycznych osób, które konkurują o stosunkowo niewielką liczbę miejsc pracy. Jedna gmina miała 114 miejsc pracy i przyjęła 19 000 kandydatów. Ten wysoki poziom bezrobocia stanowi zachętę do pracy polegającej na oszustwach technicznych, które często są dobrze płatne. Ponadto oszuści wykorzystują poziom bezrobocia, oferując pracę osobom, które desperacko chcą być zatrudnione. Wielu oszustów nie zdaje sobie sprawy, że aplikują i są szkoleni do oszukańczych prac związanych z pomocą techniczną, ale wielu decyduje się zostać po poznaniu charakteru swojej pracy, ponieważ uważają, że jest już za późno, aby wycofać się z pracy i zmienić karierę. Oszuści są zmuszeni wybierać między utrzymaniem pracy a utratą pracy. Niektórzy oszuści przekonują się, że celują w osoby zamożne, które mają wolne pieniądze, co usprawiedliwia ich kradzież, podczas gdy inni postrzegają swoją pracę jako generowanie „łatwych pieniędzy”.

Odpowiedź

Podjęto działania prawne przeciwko niektórym firmom przeprowadzającym oszustwa związane z pomocą techniczną. W grudniu 2014 r. firma Microsoft złożyła pozew przeciwko firmie z siedzibą w Kalifornii , która prowadzi takie oszustwa za „nadużywanie nazwy i znaków towarowych firmy Microsoft” oraz „tworzenie problemów z bezpieczeństwem dla ofiar poprzez uzyskanie dostępu do ich komputerów i zainstalowanie złośliwego oprogramowania, w tym narzędzia do przechwytywania haseł, które może zapewnić dostęp do informacji osobistych i finansowych”. W grudniu 2015 r. stan Waszyngton pozwał firmę IYogi za oszukiwanie konsumentów i składanie fałszywych oświadczeń w celu przestraszenia użytkowników do zakupu oprogramowania diagnostycznego iYogi. iYogi został również oskarżony o fałszywe twierdzenie, że są powiązane z Microsoftem, Hewlett-Packardem i Apple .

We wrześniu 2011 r. firma Microsoft zrezygnowała ze złotego partnera, firmy Comantra, ze swojej sieci Microsoft Partner Network po oskarżeniach o udział w oszustwach związanych z pomocą techniczną polegającą na zimnych połączeniach. Jednak łatwość uruchamiania firm, które przeprowadzają oszustwa związane z pomocą techniczną, utrudnia zapobieganie oszustwom związanym z pomocą techniczną.

Główne wyszukiwarki, takie jak Bing i Google , podjęły kroki w celu ograniczenia promocji fałszywych witryn pomocy technicznej za pomocą reklam opartych na słowach kluczowych. Będąca własnością Microsoft sieć reklamowa Bing Ads (która obsługuje sprzedaż reklam w wyszukiwarkach Bing i Yahoo! ) zmieniła swoje warunki korzystania z usługi w maju 2016 r., aby zabronić reklamowania usług pomocy technicznej stron trzecich lub reklam twierdzących, że „świadczą usługi, które mogą jedynie być dostarczone przez faktycznego właściciela reklamowanych produktów lub usług”. Google ogłosił program weryfikacyjny w 2018 r., mający na celu ograniczenie reklam pomocy technicznej firm zewnętrznych do legalnych firm.

Oszustwo przynęty

Oszuści zajmujący się pomocą techniczną są regularnie celem oszustw , a osoby, które chcą zwiększyć świadomość tych oszustw, przesyłając nagrania na platformy takie jak YouTube , powodują niedogodności oszustów, marnując ich czas i chroniąc potencjalne ofiary.

Zaawansowani oszuści mogą przeniknąć do komputera oszusta i potencjalnie wyłączyć go poprzez wdrożenie RAT , rozproszonych ataków typu „odmowa usługi” i destrukcyjnego złośliwego oprogramowania . Oszuści mogą również próbować zwabić oszustów do ujawnienia swoich nieetycznych praktyk, pozostawiając fałszywe pliki lub złośliwe oprogramowanie podszywające się pod poufne informacje, takie jak informacje o karcie kredytowej/debetowej i hasła na maszynie wirtualnej , które oszust może próbować ukraść tylko po to, by zostać zainfekowanym. Poufne informacje ważne dla prowadzenia dalszych dochodzeń przez organy ścigania mogą zostać odzyskane, a dodatkowe informacje na temat nieuczciwej firmy mogą zostać następnie opublikowane lub zestawione w Internecie, aby ostrzec potencjalne ofiary.

W marcu 2020 r. anonimowy YouTuber pod pseudonimem Jim Browning z powodzeniem zinfiltrował i zebrał materiał z drona i CCTV z oszukańczej operacji centrum telefonicznego dzięki pomocy innej osobowości YouTube, Karla Rocka . Z pomocą brytyjskiego programu dokumentalnego Panorama przeprowadzono nalot policyjny, kiedy na dokument zwrócił uwagę zastępca komisarza policji Karan Goel, co doprowadziło do aresztowania operatora centrum telefonicznego Amita Chauhana, który prowadził również oszukańcze biuro podróży pod nazwa "Podróże Faremart".

Zobacz też

• Cyberprzestępczość w Indiach
• Lista sztuczek zaufania
• Oprogramowanie antywirusowe
• Oszustwo polegające na pobieraniu zaliczek
• Oszustwo polegające na podszywaniu się pod SSA
• Oszustwo polegające na podszywaniu się pod IRS
• Oszustwa telemarketingowe
• Oszustwo wirusowe

Bibliografia

Dalsze czytanie

• „Globalne badania nad oszustwami w zakresie wsparcia technicznego — podsumowanie globalne” (PDF) . Microsoft Corporation . wrzesień 2018.

Zewnętrzne linki

• Oficjalna strona pomocy technicznej firmy Microsoft dotycząca oszustw związanych z pomocą techniczną
• Oficjalna strona pomocy technicznej firmy Symantec dotycząca oszustw związanych z pomocą techniczną
• Śledztwo z nagraniami grupy badawczej ds. bezpieczeństwa
• Wybierz jeden do oszustwa: analiza na dużą skalę oszustw związanych z pomocą techniczną