Пользователь из Франции Иван Квятковски как-то обнаружил, что кибермошенники попытались обмануть его родителей, заставив их поверить, что их новенький компьютер заражен опасным трояном Zeus, представляясь “технической поддержкой”, которая поможет с этим разобраться. Он решил не ограничиваться чисткой родительского компьютера, а спланировал изящную месть, пользуясь теми же методами социальной инженерии, которые обычно в ходу у самих мошенников. Весь ход эксперимента он описал в своем блоге, предлагаем вам его перевод.

Пару дней назад мне в панике позвонили родители, которые каким-то образом попали на сайт (сейчас нерабочий) с сообщением, что их компьютер заражен вирусом Zeus.

techsupport_webpage

На этом ужасающем HTML-агрегате было все: аудио с автоплеем, бесконечные алерты JavaScript, голубой фон с зашифрованными именами файлов, отсылающий нас ко дням “синего экрана смерти” Windows, а еще он показывал случайные цифры вместо настоящего IP посетителя.

Первый звонок

После того, как все отлично повеселились в Twitter по этому поводу, я решил позвонить мошенникам, чтобы побольше узнать о том, чего же они добивались. Так что я запустил виртуальную машину на старенькой Windows XP и связался с теми, кто выдавал себя за “техническую поддержку”.

По телефону я прослушиваю записанное сообщение, затем некто Патриция любезно принимает мой звонок. Я сразу же пытаюсь воодушевить ее, рассказывая, что я сам – бизнесмен, работаю над важным, очень дорогим контрактом и что для меня время – деньги. К сожалению, по-французски она почти не говорит, так что разговор “не по сценарию” не получается.

Она проводит меня по этапам, нужным для установки какого-то клиента удаленной поддержки. Нажмите Windows+R, затем введите iexplore remote.join360.net, затем еще парочку действий и запустите исполняемую программу, которая вам предложена. Из того, что я вижу – это на самом деле вполне себе законопослушная программа удаленной технической поддержки, с цифровыми подписями и прочим.

И вот начинается веселье. Патриция не опознает на рабочем столе иконки OllyDbg и IDA, и запускает cmd.exe. Чтобы убедить меня в своей технической подкованности, она набирает команду dir /s и рассказывает мне, что даты совпадают с моими авторизациями в системе и что файлы вируса – во всех документах, к которым я имел доступ.

Я притворяюсь пораженным. И скрытно набираю CTRL+C в консоль. Патриция затем печатает, что, мол, найдено 1452 вирусов и IP взломан, после чего интересуется, каким антивирусом я пользуюсь. Я отвечаю, что никаким, поскольку они очень дорогие, плюс @taviso все равно их всех взламывает. Шутку Патриция не оценила (@taviso – Twitter-ник известного “белого” хакера Тэвиса Орманди – ред.), тем не менее, получаю от нее суровый выговор.

Затем происходит нечто странное. Патриция сообщает, что скоро завершатся 15 минут бесплатной технической поддержки, так что она мне перезвонит, чтобы мне не пришлось платить. Пару минут спустя мне и правда звонят с пенсильванского номера (+1-267-460-7257). Патриция продолжает отчитывать меня за неуважение к элементарным правилам компьютерной гигиены. Затем приходит к выводам: мой компьютер заражен, его нужно почистить.

Мне предлагают купить либо ANTI SPY, либо ANTI TROJAN почти за бесценок – $189,90. Прежде чем я успел потянуться за кредиткой, Патриция возвращается в консоль, печатает netstat и сообщает мне, что кто-то подключен к моей машине прямо в эту секунду.

techsupport_found

“Смотрите в консоль” Найдено 1452 вируса! not found тоже означает, что ваш компьютер заражен!”. И кстати, думаю, 115.115.67.53 – это их реальный айпишник

– Разве это не вы? Тут написано, что это кто-то из Дели.

После чего следует неловкая пауза. Патриция говорит, что она – на самом деле localhost, поскольку localhost означает “безопасное соединение”. Я наношу ответный удар:

– Вы уверены? Я думал, localhost означает “локальный компьютер”.

Она что-то бубнит, затем перечитывает мне еще раз целый абзац своего скрипта, убеждая в том, что этот другой IP принадлежит кому-то, кто живет в Дели, как и она, но при этом он совсем другой человек – зловредный хакер. Я не шучу, все так и было. Возвращаемся к софту, который она пытается продать.

– ОК, я его куплю. Где можно купить его в Париже?

После чего она звучит недовольно.

– Не знаю, где вы можете найти наш софт в Париже. Это эксклюзивное программное обеспечение, распространяется только премиум-партнерами Microsoft, по безопасным каналам Microsoft.

– Так значит, я просто могу купить его с сайта microsoft.com?

– …Да.

– Хорошо.

– Договорились.

– У вас есть еще вопросы? Нет? Тогда до свидания.

Второй звонок

Предполагаю, это не совсем то, как нужно правильно обманывать людей. Она, наверное, мошенник-стажер или что-то вроде. К этому времени я понимаю, что некоторые скриншоты вышли не очень качественно, так что жду еще полчаса и опять звоню им.

Я думал, что попаду на ту же девушку и расскажу ей, что не смог ничего найти на сайте Microsoft. Но теперь со мной общается Дилип и мне нужно проходить всю процедуру заново.

Дилип выучил свой скрипт получше, он расцвечивает общение милыми деталями. Он тоже сообщает, что мой компьютер заражен, и что он только что бесплатно вычистил его. Но все же советует мне купить подписку на Tech Protection, чтобы я больше не заражался. Этот пакет стоит 299,99 евро, подороже, чем предложение Патриции, но это, наверное, потому, что Дилип производит впечатление более опытного специалиста.

Я соглашаюсь на подписку и мигом ищу тестовые номера кредитки. Естественно, моя платежная система отвергает транзакцию, мы пытаемся ее провести еще раз пять. В конце-концов я предлагаю попробовать другую кредитку и выдаю еще один рандомный, но целиком реальный в понимании алгоритма ЛУНа номер (алгоритм, который используется для вычисления контрольной суммы пластиковой карты – ред.).

Дилип заставляет меня повторить детали по обоим платежам минимум раз десять, я притворяюсь тупым. Он звонит начальнику, чтобы разобраться, почему платеж не проходит. В это же время я слышу, как на фоне другие операторы громко повторяют номера кредитных карт и CVV. Полагаю, они не пользуются рекомендациями PCI-DSS.

И тут ко мне приходит озарение. Открываю корзину в почте, где валяется множество образцов вируса Locky из недавней кампании. Это .zip-файлы, содержащие JavaScript, который загружает программу-вымогатель. Хватаю первый попавшийся, утягиваю его на виртуальную машину. Приложение для удаленной помощи, которое я ставил вначале, позволяет мне высылать файлы оператору. Так что я подгружаю ему архив и говорю:

– Я сфотографировал свою кредитку, может, вы сами введете все номера?

Сначала Дилип меня игнорирует. Он заставляет меня еще несколько раз вводить информацию (он настойчивый, воздам ему должное). Но затем я проявляю характер:

– Слушайте, Дилип, я старый, зрение плохое. У меня уже глаза разболелись, пока я пытался разглядеть эти все крохотные цифры. Мы выяснили, что я в компьютерах не разбираюсь, может, вы мне поможете?

Он какое-то время молчит, а затем выдает:

– Я пытался открыть ваше фото, ничего не случилось.

Я изо всех сил пытаюсь не заржать.

– Точно? Иногда мои фотографии с проблемами открываются на MacOS, а вы на Windows?

– Да, — отвечает он. Ваши фотографии повреждены, поскольку ваш компьютер заражен вирусом. Поэтому нам и нужно с этим разобраться.

techsupport_photo

Пока фоновый процесс тихонько шифрует ему все файлы, мы еще несколько раз пытаемся провести платеж с рандомными номерами карт. Он в конце-концов сдается, предлагает, чтобы я связался с банком, и обещает позвонить в следующий понедельник.

В завершение, если кто напоролся на очевидную мошенническую схему, социально ответственным действием будет вести себя так, как будто вы купились. У мошенников ведь нет времени отделять настоящих простаков от притворщиков. Вся их бизнес-модель построена на том, что только простодушные люди им ответят. А как только их рабочая нагрузка вырастет, мошенничество больше не будет приносить им выгоды. Так что, если вы говорите по-французски, потратьте 15 минут своего времени, позвоните по +339 75 18 77 63 и примените какую-нибудь технику из социальной инженерии, чтобы спровоцировать их на какую-то смешную реакцию.