Як користувач помстився кібершахраїв, переконавши їх скачати і запустити вірус

  1. Перший дзвоник
  2. другий дзвінок

13 Августа, 2016, 13:00

7549

Користувач з Франції Іван Квятковські якось виявив, що кіберзлодії спробували обдурити його батьків, змусивши їх повірити, що їх новенький комп'ютер заражений небезпечним трояном Zeus, представляючись «технічною підтримкою», яка допоможе з цим розібратися. Він вирішив не обмежуватися чищенням батьківського комп'ютера, а спланував витончену помсту, користуючись тими ж методами соціальної інженерії, які зазвичай в ходу у самих шахраїв. Весь хід експерименту він описав в своєму блозі, пропонуємо вам його переклад.

Пару днів назад мені в паніці подзвонили батьки, які якимось чином потрапили на сайт (зараз неробочий) з повідомленням, що їх комп'ютер заражений вірусом Zeus.

На цьому жахливому HTML-агрегаті було все: аудіо з автоплеем, нескінченні Алерт JavaScript, блакитний фон з зашифрованими іменами файлів, що відсилає нас до днів «синього екрану смерті» Windows, а ще він показував випадкові цифри замість справжнього IP відвідувача.

Перший дзвоник

Після того, як все чудово повеселилися в Twitter з цього приводу, я вирішив подзвонити шахраям, щоб більше дізнатися про те, чого ж вони домагалися. Так що я запустив віртуальну машину на старенькій Windows XP і зв'язався з тими, хто видавав себе за «технічну підтримку».

По телефону я прослуховую записане повідомлення, потім хтось Патриція люб'язно приймає мій дзвінок. Я відразу ж намагаюся надихнути її, розповідаючи, що я сам - бізнесмен, працюю над важливим, дуже дорогим контрактом і що для мене час - гроші. На жаль, по-французьки вона майже не говорить, так що розмова «не за сценарієм» не виходить.

Вона проводить мене по етапах, необхідним для установки якогось клієнта віддаленої підтримки. Натисніть Windows + R, потім введіть iexplore remote.join360.net, потім ще парочку дій і запустіть виконувану програму, яка вам запропонована. З того, що я бачу - це насправді цілком собі законослухняна програма вилученої технічної підтримки, з цифровими підписами та іншим.

І ось починається веселощі. Патриція не впізнав на робочому столі іконки OllyDbg і IDA, і запускає cmd.exe. Щоб переконати мене в своїй технічній підкутості, вона набирає команду dir / s і розповідає мені, що дати збігаються з моїми авторизації в системі і що файли вірусу - у всіх документах, до яких я мав доступ.

Я вдаю ураженим. І потай набираю CTRL + C в консоль. Патриція потім друкує, що, мовляв, знайдено 1452 вірусів та IP зламаний, після чого цікавиться, яким антивірусом я користуюся. Я відповідаю, що ніяким, оскільки вони дуже дорогі, плюс @taviso все одно їх усіх зламує. Жарт Патриція не оцінили (@taviso - Twitter-ник відомого «білого» хакера Тевіса Орманді - ред.), Тим не менш, отримую від неї суворий догану.

Потім відбувається щось дивне. Патриція повідомляє, що скоро завершаться 15 хвилин безкоштовної технічної підтримки, так що вона мені зателефонує, щоб мені не довелося платити. Пару хвилин по тому мені і правда дзвонять з Пенсильванського номера (+ 1-267-460-7257). Патриція продовжує сварити мене за неповагу до елементарних правил комп'ютерної гігієни. Потім приходить до висновків: мій комп'ютер заражений, його потрібно почистити.

Мені пропонують купити або ANTI SPY, або ANTI TROJAN майже за безцінь - $ 189,90. Перш ніж я встиг потягнутися за кредиткою, Патриція повертається в консоль, друкує netstat і повідомляє мені, що хтось підключений до моєї машині прямо в цю секунду.

Перш ніж я встиг потягнутися за кредиткою, Патриція повертається в консоль, друкує netstat і повідомляє мені, що хтось підключений до моєї машині прямо в цю секунду

«Дивіться в консоль» Знайдено тисячу чотиреста п'ятьдесят два вірусу! not found теж означає, що ваш комп'ютер заражений! ». І до речі, думаю, 115.115.67.53 - це їх реальний айпішник

- Хіба це не ви? Тут написано, що це хтось із Делі.

Після чого слід незручна пауза. Патриція говорить, що вона - насправді localhost, оскільки localhost означає «безпечне з'єднання». Я наношу удару у відповідь:

- Ви впевнені? Я думав, localhost означає «локальний комп'ютер».

Вона щось бубонить, потім перечитує мені ще раз цілий абзац свого скрипта, переконуючи в тому, що цей інший IP належить комусь, хто живе в Делі, як і вона, але при цьому він зовсім інша людина - шкідливий хакер. Я не жартую, все так і було. Повертаємося до софту, який вона намагається продати.

- ОК, я його куплю. Де можна купити його в Парижі?

Після чого вона звучить невдоволено.

- Не знаю, де ви можете знайти наш софт в Парижі. Це ексклюзивне програмне забезпечення, розповсюджується тільки преміум-партнерами Microsoft, по безпечних каналах Microsoft.

- Так значить, я просто можу купити його з сайту microsoft.com?

- ... Так.

- Добре.

- Домовилися.

- У вас є ще питання? Ні? Тоді до побачення.

другий дзвінок

Припускаю, це не зовсім те, як потрібно правильно обманювати людей. Вона, напевно, шахрай-стажист або щось на зразок. До цього часу я розумію, що деякі скріншоти вийшли не надто якісно, ​​так що чекаю ще півгодини і знову телефоную їм.

Я думав, що потраплю на ту ж дівчину і розповім їй, що не зміг нічого знайти на сайті Microsoft. Але тепер зі мною спілкується Діліп і мені потрібно проходити всю процедуру заново.

Діліп вивчив свій скрипт краще, він розцвічує спілкування милими деталями. Він теж повідомляє, що мій комп'ютер заражений, і що він тільки що безкоштовно вичистив його. Але все ж радить мені купити підписку на Tech Protection, щоб я більше не заражався. Цей пакет коштує 299,99 євро, дорожче, ніж пропозиція Патриції, але це, напевно, тому, що Діліп справляє враження більш досвідченого фахівця.

Я погоджуюся на підписку і миттю шукаю тестові номера кредитки. Природно, моя платіжна система відкидає транзакцію, ми намагаємося її провести ще раз п'ять. В кінці-кінців я пропоную спробувати іншу кредитку і видаю ще один рандомний, але цілком реальний в розумінні алгоритму Місяць номер (алгоритм, який використовується для обчислення контрольної суми пластикової картки - ред.).

Діліп змушує мене повторити деталі по обом платежах мінімум раз десять, я прикидаюся тупим. Він дзвонить начальнику, щоб розібратися, чому платіж не проходить. В цей же час я чую, як на тлі результатів пошуку голосно повторюють номери кредитних карт і CVV. Вважаю, вони не користуються рекомендаціями PCI-DSS.

І тут до мене приходить осяяння. Відкриваю кошик в пошті, де валяється безліч зразків вірусу Locky з недавньої кампанії. Це .zip-файли, що містять JavaScript, який завантажує програму-вимагач. Хапаю перший-ліпший, стягуючі його на віртуальну машину. Додаток для віддаленої допомоги, яке я ставив спочатку, дозволяє мені висилати файли оператору. Так що я довантажувати йому архів і кажу:

- Я сфотографував свою кредитку, може, ви самі введете всі номери?

Спочатку Діліп мене ігнорує. Він змушує мене ще кілька разів вводити інформацію (він наполегливий, воздам йому належне). Але потім я проявляю характер:

- Слухайте, Діліп, я старий, зір поганий. У мене вже очі розболілися, поки я намагався розгледіти ці всі крихітні цифри. Ми з'ясували, що я в комп'ютерах не розбираюся, може, ви мені допоможете?

Він якийсь час мовчить, а потім видає:

- Я намагався відкрити ваше фото, нічого не сталося.

Я з усіх сил намагаюся НЕ заіржати.

- Точно? Іноді мої фотографії з проблемами відкриваються на MacOS, а ви на Windows?

- Так, - відповідає він. Ваші фотографії пошкоджені, оскільки ваш комп'ютер заражений вірусом. Тому нам і потрібно з цим розібратися.

Тому нам і потрібно з цим розібратися

Поки фоновий процес тихенько шифрує йому всі файли, ми ще кілька раз намагаємося провести платіж з рандомних номерами карт. Він в кінці-кінців здається, пропонує, щоб я зв'язався з банком, і обіцяє зателефонувати наступного понеділка.

На завершення, якщо хто напоровся на очевидну шахрайську схему, соціально відповідальним дією буде вести себе так, як ніби ви купилися. У шахраїв адже немає часу відокремлювати справжніх паростків від удавальник. Вся їх бізнес-модель побудована на тому, що тільки простодушні люди їм дадуть відповідь. А як тільки їх робоче навантаження зросте, шахрайство більше не буде приносити їм вигоди. Так що, якщо ви говорите по-французьки, витратьте 15 хвилин свого часу, подзвоніть по +339 75 18 77 63 і застосуєте якусь техніку з соціальної інженерії, щоб спровокувати їх на якусь смішну реакцію.

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Де можна купити його в Парижі?
Com?
У вас є ще питання?
Ні?
Ми з'ясували, що я в комп'ютерах не розбираюся, може, ви мені допоможете?
Точно?
Іноді мої фотографії з проблемами відкриваються на MacOS, а ви на Windows?
Помітили помилку?