Detailný pohľad na praktiky útočníkov.
Podvodné telefonáty od falošnej technickej podpory Microsoftu sú opäť tu. O podvodníkoch sme informovali už koncom roka 2020 (v tomto článku) a na falošnú technickú podporu upozorňuje na svojom webe aj samotný Microsoft.
Bez ohľadu na to, útočníci opäť skúšajú svoje šťastie a je možné, že zavolajú aj vám. V tomto článku vás oboznámime s detailnými informáciami o tom, ako útok zo strany falošnej podpory Microsoftu prebieha – za podklady ďakujeme IT administrátorom z firmy zoom IT, ktorí si celým útokom prešli a podelili sa s nami s ich poznatkami.
Zavolajú vám aj zo slovenského čísla, hovoriť budú indickou angličtinou
Útočníci vám budú volať z mobilného telefónneho čísla, ktoré má nemeckú alebo slovenskú predvoľbu. Predstavia sa ako technická podpora Microsoftu a budú s vami komunikovať v anglickom jazyku. Je veľmi pravdepodobné, že budú mať indický prízvuk.
Falošná podpora vám oznámi, že je z Microsoftu a že si na svojich serveroch všimli, že máte zavírený počítač. Preto vás kontaktujú, aby vám ho zabezpečili a rovnako aj dáta v ňom. Útočníci sa snažia vytvoriť pocit, že vo vašom počítači sa naozaj niečo nekalé deje a preto vám povedia, aby ste si spustili program Event Viewer, ťukli na položku Custom Views a následne na Administrative Views.
Na tejto obrazovke sa skutočne zobrazujú viaceré chybové hlášky, ide však o bežnú súčasť systému Windows. Útočník vám však bude do telefónu hovoriť a presviedčať vás, že toto sú záznamy o útokoch na váš počítač a iba on vám dokáže pomôcť a ochrániť vás.
Je pravdepodobné, že technicky zdatnejší používatelia na tento podvod nenaletia. Menej zdatní používatelia sa však môžu vystrašiť z množstva výkričníkov na obrazovke a budú pokračovať v interakcii s falošnou technickou podporou.
Získajú vzdialený prístup k vášmu počítaču
Útok zo strany podvodníkov pokračuje ďalším krokom a to je inštalácia programov, ktoré im umožnia na diaľku ovládať váš počítač. Útočníci vás cez telefón odnavigujú, aby ste si do počítača stiahli a nainštalovali program AnyDesk a/alebo TeamViewer, spustili ho a nadiktovali im nejaké informácie.
Dá sa predpokladať, že pokiaľ si nainštalujete na ich odporúčanie oba programy, útočníci si takýmto spôsobom vytvoria záložný plán, pokiaľ by ste vypli jeden z programov – stále majú prístup k vášmu počítaču z druhého programu.
Útočníci však v tomto kroku zatiaľ vzdialený prístup aktívne nevyužívajú a aj naďalej vás cez telefón navigujú, čo máte robiť ďalej. Bežný používateľ si tak možnože ani neuvedomí, že podvodníkom udelil prístup k svojmu počítaču, keďže všetko vykonáva naďalej on sám.
V tomto momente podvodníci začnú zisťovať, ako využívate počítač – či ho používate na prácu alebo na prihlasovanie sa do internetového bankingu, atď., a tieto informácie sa následne snažia využiť na vyvolanie paniky. Napríklad začnú na vás robiť nátlak, že ste pod nebezpečným útokom a iba oni dokážu zabezpečiť váš počítač a ochrániť vaše bankové účty.
Svoje tvrdenie podporia takým spôsobom, že povedia, aby ste si zapli príkazový riadok a zadali povel netstat. Opäť, ide o bežný diagnostický nástroj v systéme Windows, avšak útočník vám bude tvrdiť, že toto sú pripojenia hackerov k vášmu počítaču. Následne vám (opäť) povie, že iba on vás ochráni.
Budú chcieť informácie o vašej platobnej karte
V tomto kroku už útočníci aktívne ovládali počítač a zadali príkaz tree – „padajúci text“ vyzerá efektne a bežnému používateľovi to môže pripomínať pokročilú a odbornú prácu s počítačom, lebo tak to prezentuje aj Hollywood. Útočník vám následne bude do telefónu alebo do poznámkového bloku v počítači hovoriť a vypisovať, ako všemožne ochráni váš počítač a chce za to poplatok vo výške 5 eur.
Pokiaľ budete súhlasiť, prostredníctvom programu TeamViewer vám na diaľku zakryje pracovnú plochu počítača, aby vykonal potrebné zásahy. V skutočnosti však do vášho počítača skopíruje súbory s formulárom vo forme webovej stránky. Ten je uložený v priečinku Microsoft Registration Form, ktorý útočníci nakopírujú na pracovnú plochu.
V poslednom kroku sa útočníci prostredníctvom tohto formulára pokúsia získať vaše osobné údaje – meno, priezvisko, dátum narodenia, ale aj všetky detaily o platobnej karte. Vraj na zaplatenie poplatku vo výške 5 eur.
Pokiaľ im budete odmietať dať údaje o platobnej karte, čo bol aj náš prípad, pokúsia sa vás presvedčiť, aby ste sa prihlásili do vášho internetového bankingu. A keďže v nami popisovanom prípade nepochodili ani takto, stihli aspoň otvoriť niekoľko YouTube videí s indickými hudobníkmi a zopár stránok s pornografickým obsahom predtým, ako sme ich odpojili.
Vľavo – informácie o tom, ako vám vraj falošná technická podpora pomôže. Vpravo – pokus o získanie údajov o platobnej karte, vďaka ktorým vám útočníci následne budú môcť ukradnúť peniaze. Zdroj: zoom IT
Útok trval 2 hodiny, zopár poznatkov na záver
Hoci sme popísali proces útoku falošnej technickej podpory Microsoftu pomerne stručne, celý útok trval v nami popisovanom prípade takmer 2 hodiny. Útočníci sa počas celého útoku snažili opakovane vyvolať pocit, že sa nachádzame v problémoch, náš počítač je vystavený vysokému riziku a nikto iný nás neochráni, iba oni.
Útočníci sa takisto neustále snažili hľadať a umelo vytvárať problémy z vecí, ktoré sú v systéme Windows 10 úplne bežné. Či už ide o udalosti v nástroji Event Viewer alebo fakt, že počítač používame aj na prístup do internetového bankovníctva. Ich cieľom bolo vytvoriť na obeť nátlak a prinútiť nás skratovo uvažovať, aby sme im na všetko prikývli a považovali ich za jediné riešenie z „našej zlej situácie„.
IT administrátori zo zoom IT po skončení útoku skontrolovali počítač pomocou antivírusového riešenia, avšak ten nenašiel žiaden škodlivý kód. Zdá sa teda, že útočníci sa pokúšajú vykonať iba pomerne nízkoúrovňový útok, ktorého cieľom je získať osobné údaje a najmä údaje o platobnej karte.
Dá sa predpokladať, že by vám útočníci ukradli viac peňazí ako nimi uvádzaných 5 eur – pokiaľ by ste im dali informácie o platobnej karte. V nami popisovanom prípade sa však nenašiel žiaden dôkaz, ktorý by naznačoval, že by sa útočníci snažili do počítača skopírovať aj škodlivý softvér, ktorý by odchytával, čo píšete na klávesnici alebo by zašifroval vaše dáta a žiadal by výkupné.
Bez ohľadu na to, dajte si na falošnú podporu Microsoftu pozor a pokiaľ vám niekto zavolá a bude tvrdiť, že je z Microsoftu a máte zavírovaný počítač, neverte mu.
Zdroj: zoom IT
Prečítajte si aj:
Útočníci na Slovensku sú čoraz vynaliezavejší: Na tieto podvody si dajte pozor