Oszuści każą do siebie dzwonić – a my to robimy z przyjemnością.

2017-07-30 12:21:00

Oszuści znowu wchodzą do gry – ale działają inaczej niż dotychczas – a my skorzystaliśmy z okazji i zadzwoniliśmy na jedną z nieuczciwych infolinii. Zapraszamy do lektury raportu.

Przez kilka ostatnich tygodni w wiadomościach aż roiło się od doniesień o przypadkach złośliwego oprogramowania, w tym ransomware. Jako że wiele osób jest obecnie zainteresowanych tym tematem, oszuści starają się to w naturalny sposób wykorzystać. Jeden z pracowników G DATA odegrał rolę potencjalnej ofiary.

Dla tych, którzy na bieżąco śledzą aktualności z zakresu bezpieczeństwa, oszustwa telefoniczne nie będą niczym nadzwyczajnym. Zaskoczyć może co innego – oszuści, zamiast dzwonić i przedstawiać swoje oferty, zaczęli sami prosić o kontakt. Nie spodziewali się jednak, że napotkają kogoś, kto jest obeznany w kwestii zabezpieczeń IT. Szczęśliwym zbiegiem okoliczności do Eddy’ego Willemsa (specjalisty ds.bezpieczeństwa w G DATA Software) zadzwonił jeden z oszustów. Nie udało mu się jednak oszukać Eddy’ego, jak to zwykle bywa w takim wypadku, a co ciekawe, zaproponowano mu pracę!

Zaczęło się od powiadomienia

Jedną z metod nawiązywania kontaktu jest wysłanie e-maila lub wiadomości w oknie przeglądarki. Inne metody to złośliwe reklamy lub inne złośliwe oprogramowanie. W tym konkretnym przypadku użytkownik zobaczył na swoim monitorze wiadomość podającą kod błędu “DW6VB36” oraz numer infolinii, na którą powinien zadzwonić. Dodatkowo nagrano wiadomość głosową ostrzegającą go, by nie zignorował powiadomienia, gdyż w przeciwnym razie komputer “będzie musiał zostać dezaktywowany”, a do “jednostki zarządzającej bezpieczeństwem sieci przesłana zostanie kopia raportu, by zatrzymać rozprzestrzenianie się szkód”.

Sposób działania

Każde oszustwo zaczyna się od nawiązania kontaktu. Przy nękających połączeniach ma to miejsce w momencie, gdy telefon dzwoni, a ty go odbierasz. Ostatnimi czasy oszuści próbują jednak działać w inny sposób z uwagi na fakt, że coraz więcej osób jest obeznanych w temacie oszustw telefonicznych. Doświadczenie pokazuje, że dzwoniący nie marnują czasu i przechodzą prosto do sedna sprawy. Podają się za przedstawicieli Microsoftu (lub, jak sami mają w zwyczaju się przedstawiać, „Windowsa”), czy innej poważnej firmy. Następnie wymieniają (w różnych kombinacjach), problemy, jakie stwarza komputer użytkownika i mówią, że pomogą w ich rozwiązaniu. W tym celu „pilnie” potrzebują uzyskać dostęp na odległość do komputera ofiary. Często podkreślają, że to oni (i tylko oni) są w stanie zapobiec kolejnym problemom.

Gdy rozmówca nie współpracuje, straszą, mniej lub bardziej bezpośrednio, postępowaniem karnym, zamrożeniem kont bankowych, kart kredytowych lub innych zasobów online. Są też przypadki, gdy oszuści po prostu blokują użytkownikowi dostęp do systemu.

Gdy tylko ofiara zostanie przekonana, że powinna powierzyć „zaufanej osobie” dostęp do systemu, oszustom otwiera się droga między innymi do:

  • Zakodowania bazy danych użytkownika przy pomocy narzędzia typu Syskey dla systemu Windows  (tłumaczą, że w ten sposób „blokują hackerów”)
  • Otwarcia normalnych logów systemowych lub okna „Serwis” (przekonują wtedy ofiarę, że „wyraźnie widać obecność wirusa” – którego są oczywiście w stanie usunąć)
  • Poruszenia tematu „skanu systemu”
  • Zaoferowania wsparcia w postaci „umowy”
     

Sedno sprawy tkwi w tym, że wszelkie „usługi” oferowane przez oszustów kosztują. Popularna strategia działania polega na zawarciu „umowy o wsparcie i konserwację”, która oczywiście również kosztuje. W niektórych przypadkach oszuści instalują na urządzeniu darmowe programy i utrzymują, że są one częścią ich „produktu” – mogą także zainstalować oprogramowanie, które pociągnie za sobą kolejne szkody. Gdy ofiara kategorycznie odmawia dokonania jakichkolwiek płatności, niektórzy oszuści usuwają kluczowe pliki lub doprowadzają system do bezużytecznego stanu. W przypadku, gdy użytkownikowi zablokowano dostęp do systemu (np. poprzez zablokowanie bazy danych konta użytkownika), oszustwo przeradza się w bezpośredni szantaż, a ofiara może odzyskać dostęp do swojego komputera wyłącznie po wpłaceniu pieniędzy (o ile w ogóle dostęp ten odzyska).

„O” jak Oszustwo

- Oto co zrobiłem: uruchomiłem urządzenie w środowisku laboratoryjnym i podłączyłem je do rejestratora ekranu -mówi Eddy z G DATA.  Adres IP, z jakiego komputer łączył się z Internetem nie znajduje się na czarnej liście hackerów – przestępcy nie są głupi i doskonale wiedzą, które adresy IP należy wiązać z firmami działającymi w sektorze zabezpieczeń.  Zastosowano sprzęt natywny, to znaczy „prawdziwy komputer”, a nie maszynę wirtualną, ponieważ niektórzy oszuści upewniają się, czy nie zostali zwabieni do maszyny wirtualnej. Funkcja identyfikacji rozmówcy została wyłączona i zainicjowano połączenie z numerem wyświetlającym się we wiadomości na monitorze. Telefon odebrała kobieta o sympatycznym głosie z wyraźnym akcentem. Wytłumaczyła mi, co się „stało” i dlaczego należało zadzwonić pod ten numer. Następnie poprosiła mnie o podanie numeru telefonu, na który mogłaby oddzwonić. Podałem jej numer komórkowy, a ona niezwłocznie oddzwoniła. Następnie poinstruowała mnie, żebym wszedł na stronę oferującą wsparcie na odległość (w tym wypadku „helpme.net”; jest to legalna strona ze wsparciem) i opisała, jak uruchomić połączenie na odległość, a następnie przekazała rozmowę „jednemu ze swoich wykwalifikowanych inżynierów”- dodaje.

Peter z Windowsa przy telefonie

- Inżynier przedstawił się jako „Peter”. On też mówił z silnym akcentem, ale był bardzo miły. Mniej miły okazał się fakt, że gdy tylko się zalogował, od razu zablokował bazę danych konta użytkownika. Łatwo było śledzić jego poszczególne ruchy. Gdybym na tym etapie odłożył słuchawkę i przerwał połączenie, mój komputer byłby bezużyteczny. Peter tłumaczył, że w ten sposób „zabezpiecza” komputer przed dostępem niepowołanych osób. Było to nawet zgodne z prawdą, ja oczywiście nie otrzymałbym jednak dostępu do mojego własnego komputera. - tłumaczy.

Następnie „Peter” otworzył dziennik operacji i pokazał wirusy, których pełno było na komputerze. Wszystkie błędy i ostrzeżenia, które się tam pojawiły, miały świadczyć o obecności wirusa. Towarzysząca im data i godzina miały przedstawiać moment, w którym zostały „ściągnięte”. To jeszcze nie wszystko: Peter otworzył okno wiersza polecenia i wpisał komendę „netstat”. Po jej wpisaniu wyświetla się lista połączeń z urządzeniem. W większości przypadków nie ma w niej nic godnego uwagi, ale Peter zapewniał, że za wszystkimi przedstawionymi tam połączeniami stali hackerzy mający w każdej chwili dostęp do komputera. - W tym kontekście zastanowił mnie typ lokalnego adresu IP – nigdy nie widziałem do tej pory domowej sieci, której adres IP zaczynałby się od „10.x.x.x”. Peter oczywiście pomieszał także prywatne i publiczne adresy IP, ale to tylko szczegół. W każdym razie czasem było mi ciężko zachować spokój i pewność siebie i było mi bardzo na rękę, że nie prowadziliśmy video rozmowy - mówi Eddy.

W tym momencie zaczęło się robić ciekawie: Peter zaczął opowiadać o „Koobface” – złośliwym oprogramowaniu, które zbierało żniwo w 2010 roku. Twierdził, że komputer został zainfekowany tym właśnie wirusem. Niezgrabnie odczytał kilka pierwszych linijek artykułu o Koobface na Wikipedii (najpierw zrobił szybki research w Google’ach), a potem przekonywał, że należy działać, by zaradzić temu problemowi. W tym celu, powiedział, że jeden z jego „Ekspertów Trzeciego Stopnia” z zakresu wsparcia przeprowadzi skan systemu, który zajmie 60 do 90 minut. Do tego potrzebne jest wykupienie specjalistycznego oprogramowania. I tu zrobiło się jeszcze ciekawiej. Peter otworzył plik tekstowy i zapisał ceny (patrz: zrzut ekranu). Za jednorazowe czyszczenie brał 150 euro. Roczna umowa kosztowała 349 euro, i tak dalej. Była nawet „umowa na czas nieokreślony” za 888 euro plus VAT. Przeszliśmy do metod płatności. Eddy od razu zaznaczył, że nie ma karty kredytowej, a Peter powiedział, że to żaden problem, ponieważ przyjmowali także płatności przelewem lub kartą Apple iTunes. Eddy chciał wyciągnąć od niego numer konta – był nawet gotowy podać mu swój, tak, by mógł pobrać pieniądze z konta, ale tu ze skruchą przyznał, że tej metody płatności nie obsługują i że bardzo przeprasza. Po raz kolejny chciał uzyskać numer konta, ale Peter nagle zaczął nalegać na kartę iTunes. Zaczął pytać, jak daleko miał do najbliższego supermarketu i w jakim czasie mógłby do niego dotrzeć. Powiedział mu, że w najbliższej okolicy mam stację benzynową, a on zapytał, ile mi to zajmie. Zaczęło robić się dziwnie… Eddy wciąż naciskam na płatność przelewem, ale on mówi mi, że to będzie kosztowało 29 euro więcej. Totalnie zafiksował się na karty iTunes, mimo że zapewniałem go, że dodatkowa opłata nie stanowi dla problemu.

„Srebrni Partnerzy”

Jak mówi Eddy: Do niczego nas ta dyskusja nie doprowadziła, więc zapytałem go, czy nie mógłbym po prostu zainstalować systemu od nowa – i tak nie miałem na nim zbyt dużo danych, a to, co miałem, zdążyłem wcześniej zbackupować. Peter odpowiedział wtedy dużo ostrzejszym tonem, że przeinstalowanie systemu nie pomoże pozbyć się „wirusów”, które mi pokazał – bo „mój adres IP został zainfekowany”. Powiedziałem wtedy, że mogę poprosić kolegę, który „zna się dobrze na komputerach” o pomoc i jeśli on nic nie wskóra, skontaktuję się z Peterem ponownie. Nagle ktoś inny przejął rozmowę. Osoba ta w bardzo narzucający się sposób pytała, czemu w ogóle do nich dzwoniłem, skoro miałem kolegę, który mógł naprawić komputer. Odpowiedziałem uczciwie (no, nie do końca…), że „Tak kazano mi w wiadomości, która pojawiła się na ekranie”. Wydawało się, że chciał wzbudzić we mnie poczucie winy, że zmarnowałem ich cenny czas (szczerze mówiąc tak właśnie było – rozmowa trwała w tym momencie już około 45 minut). Wymieniliśmy jeszcze kilka zdań, a on cały czas podkreślał, że rozmawiałem ze „Srebrnymi Partnerami Windowsa”. Po raz kolejny zasugerowałem, że mogę poprosić kolegę o pomoc, a on podsumował rozmowę krótkim „Dziękujemy za telefon – Miłego dnia!”. Po ponownym uruchomieniu komputera okazało się oczywiście, że mam podać hasło, a jego przecież nie miałem. Gdybym oddzwonił, przedstawiliby mi pewnie jeszcze droższy sposób na „naprawę” tego problemu. Mimo że mój ostatni rozmówca życzył mi miłego dnia, mój dzień z pewnością nie byłby miły, gdybym naprawdę musiał stawić czoła tym problemom.

Zbijanie fortuny na tym, o czym głośno w mediach

Gdy o jakimś zdarzeniu jest przez dłuższy czas głośno w mediach, oszuści mogą chcieć się na tym dorobić. Doskonały pretekst stanowią tu najnowsze doniesienia o przypadkach złośliwego oprogramowania. Wiele osób słyszało już o „hackerach” lub czymś, co nazywa się „złośliwym oprogramowaniem”, a ich wiedza ogranicza się do tego, że są to złe rzeczy. Taka sytuacja daje oszustom doskonałe pole do popisu. Wystarczy teraz w odpowiednio przekonujący i nachalny sposób przeprowadzić rozmowę.

Co mogę zrobić i jak się chronić?

By nie paść łupem oszustów, wystarczy podjąć kilka dość prostych kroków. Najważniejsze, by nie zapomnieć o nich, gdy przyjdzie nam zmierzyć się z oszustem lub podejrzanym rozmówcą.

  • Strach i onieśmielenie to główne narzędzia pracy oszusta. W przypadku, gdy nasz rozmówca straszy negatywnymi konsekwencjami (prawnymi, finansowymi, technicznymi lub innymi), jeśli odmówimy dokonania płatności lub przekazania dostępu do naszego komputera, należy niezwłocznie się rozłączyć. Działalność oszustów to gra na skrajnościach: zapłać, a wszystko będzie dobrze lub nie płać, a pójdziesz do więzienia lub ukażą się wysoką grzywną. Oszuści straszą również, że jeśli nie pozwolimy im sobie „pomóc”, rzekome problemy nie znikną – nawet jeśli sugerujesz możliwość rekonstrukcji lub przeinstalowania systemu.

  • Nigdy, pod żadnym pozorem nie podawaj przez telefon numeru karty kredytowej – w szczególności, jeśli ktoś cię do tego zmusza. To samo tyczy się podawania danych do płatności na stronie internetowej, na którą skierował cię oszust. Nie przekazuj nikomu dostępu do jakichkolwiek danych na odległość, chyba że znasz tę osobę lub możesz jej zaufać w stu procentach: Pierwsza rzecz, jaką oszuści często robią natychmiast po zalogowaniu to takie zmodyfikowanie systemu operacyjnego, by nie można go było ponownie uruchomić w przypadku, gdy odmówisz dokonania płatności lub gdy przerwiesz połączenie.

  • Dobra wiadomość jest taka, że narzędzie klucza systemowego, z którego oszuści korzystali w moim przypadku nie będzie już obsługiwane przez Windows po wprowadzeniu aktualizacji Creators dla Windows 10 w późniejszych miesiącach tego roku.

  • W przypadku, gdy oszust już się zalogował: natychmiast odłącz kabel sieciowy. NIE restartuj komputera. Bardzo prawdopodobne, że do ponownego uruchomienia systemu niezbędne będzie hasło ustawione przez oszusta. Co możesz zrobić? Skopiuj i zabezpiecz wszystkie dane na zewnętrznym nośniku i ponownie zainstaluj cały system operacyjny.

  • Jeśli podałeś dane karty kredytowej i dokonałeś płatności nie czekaj ani chwili i natychmiast skontaktuj się z bankiem. Zablokuj kartę kredytową, anuluj transakcję i zgłoś ją jako oszustwo (możliwe, że nie odzyskasz pieniędzy, bo transakcja była przez ciebie autoryzowana, a więc bank przyjmuje, że wszystko odbyło się prawidłowo).

Należy zauważyć, że żadne z kroków podejmowanych przez oszustów nie wiążą się z zastosowaniem złośliwego oprogramowania, przynajmniej na początkowym etapie. Narzędzia do naprawy na odległość są całkowicie legalne i wykorzystywane na szeroką skalę, a wprowadzane komendy to część systemu operacyjnego samego w sobie, w nich także nie ma niczego niedozwolonego. Dlatego też przed atakami tego typu nie obroni nas nawet oprogramowanie G DATA. Oszuści to osoby z ogromnym doświadczeniem w wywieraniu wpływu na innych, by robili to, co (rzekomo) sami uznali za słuszne.

Dlaczego oszustwa działają tak skutecznie?

Najlepszymi przyjaciółmi oszusta są szybkość, zaskoczenie i agresja. Ludzie, którzy odbierają połączenia (lub sami dzwonią) czują się przytłoczeni ogromem zagrożeń i gróźb przedstawianych w niby-technicznym slangu. Użytkownik w wierszu poleceń na własne oczy zobaczy ślad działalności „hackerów”. Oszust musi jedynie wyłączyć racjonalne myślenie u rozmówcy na czas, który wystarczy do dokonania przelewu. Na tej sprawdzonej metodzie opierają się także ataki złośliwego oprogramowania. By uniknąć sankcji, grzywny czy utraty ważnych danych ludzie są w stanie zrobić wszystko, dzięki czemu w ich mniemaniu uda się takiej sytuacji zapobiec, nawet jeśli będzie się to wiązało z podaniem szczegółów karty kredytowej za pośrednictwem telefonu czy szemranej strony internetowej. Szybkość jest kluczowa dla każdego oszusta – nie może on dać swojej ofierze ani chwili do namysłu, stąd też bierze się ich wyjątkowa nachalność. Jeśli rozmówcy da się czas na zastanowienie, sprawa jest już z reguły przegrana.

Media:

Kontakt

G DATA Software Sp. z o.o.
Warcisława IV 2
78-400 Szczecinek

Telefon: +48 94 37 29 650
E-Mail: sales@remove-this.gdata.pl