4Aug

De "Tech Support" Scammers genaamd HTG( dus we hadden plezier ermee)

De beller zei: "Ik bel je vanuit de technische ondersteuning van Windows." De oplichters van de nep-tech hebben de fout gemaakt om ons vandaag te bellen en we speelden mee om hun tricks gewoon voor de lol te leren. Dit is wat er is gebeurd.

Voor de niet-ingewijden hebben we dit onderwerp al eerder behandeld - al jarenlang zijn deze oplichters mensen aan het bellen geweest, beweerden van Microsoft te zijn, proberen ze ervan te overtuigen dat hun computer virussen heeft, en vervolgens de "klant" te vragenom ze te betalen om het probleem op te lossen. Je zou denken dat de overheid dit soort dingen zou stoppen. .. maar jaren later bestaan ​​deze oplichting nog steeds.

Vandaag hebben we een van deze oproepen ontvangen en besloten om alleen voor de lol mee te spelen. Dit is ons verhaal.

"I'm Calling You From Windows"

De telefoon ging over, een onbekende beller van( 404) 891-5588, een netnummer dat Atlanta, Georgia dekt. De persoon aan de andere kant leek alsof ze ergens mee bezig waren en zei niets meteen. Op de achtergrond kon je de bezette geluiden horen van een slecht georganiseerd callcenter, nauwelijks anders dan iemand die je vanuit een bar belt.

" Hallo? Ik bel je vanuit Windows-technische ondersteuning ", begon hij met een dik accent dat ik nauwelijks kon begrijpen." Onze servers hebben virussen op uw pc gedetecteerd.bent u zich hiervan bewust? ".Dit was de tweede keer in een week dat hij me belde - de eerste keer dat ik niet kon begrijpen wat hij zei, dus hing hij op, maar deze keer was ik voorbereid." Nee, dat wist ik niet. Wat betekent dat? "

Hij vertelde me dat mijn computer virussen aan het melden was aan zijn servers, en hij had me nodig om mijn ID van de consumentenlicentie te verifiëren om er zeker van te zijn dat het echt mijn pc met de virussen is." Kunt u dit aantal opschrijven? "vroeg hij, voordat hij een alfanumerieke code voor me rammelde om op te schrijven.8, 8, 8, D zoals bij hond, C als bij kat, A als bij appel, 6, nul. Mag ik dat teruglezen? Dat deed ik, 888DCA60, en hij bevestigde het.

Op dit punt krabbelde ik om een ​​nieuw geïnstalleerd exemplaar van Windows op te starten in een virtuele machine die ik gelukkig had klaargemaakt.

Vervolgens vroeg hij me of ik achter mijn computer zat, en toen ik dat was, vroeg hij me om tegelijkertijd op de Windows-toets en de R-toets te drukken, en zei toen dat ik C, M, D moest typen en op enter moest drukken. Nadat ik dit had gedaan, vroeg hij of ik "assoc" kon typen en druk nogmaals op Enter. De wens om te gaan lachen was bijna ondraaglijk, maar door mijn nieuwsgierigheid hield ik vast aan wat voor onzin ze me zouden gaan vertellen.

U bent geen echte nerd totdat u virussen kunt diagnosticeren met assoc.exe.

" Kunt u de langste regel aan het einde van het einde lezen alstublieft? "Ik deed het en merkte op dat de nummers dezelfde waren als die ze me eerder hadden laten opschrijven omdat ik eindelijk de game uitvond.

Die lange code,{ 888DCA60-FC0A-11CF-8F0F-00C04FD7D062}, is eigenlijk een CLSID, een globaal unieke identificatiecode die wordt gevonden in het Windows-register, en het wordt gebruikt om Windows de plaats in het register te geven die die bestandsextensie hanteert. Omdat assoc.exe, de opdracht die ze mij hebben gevraagd te typen, is, werd gebruikt om weer te geven welke bestandsextensies aan welke toepassingen zijn gekoppeld en heeft niets met virussen te maken. Het toegevoegde voordeel van de zwendel is dat de ZFSendToTarget-extensie altijd bijna klaar is en er eng uitziet voor je oma.

" Kijk, dat is dezelfde code die we u hebben gevraagd op te schrijven. Dat bevestigt dat we je oproepen vanuit Windows en je hebt een virus op je computer ".Ahh. .. dit gaat leuk worden." Kunt u nu het volgende in het venster typen?"

Hij vroeg me om Event Viewer te openen door eventvwr te typen en op enter te drukken, en op dit moment was ik het beu om alles te verifiëren dat ik op het scherm zagnaar hem. Wat zie je in de linkerbovenhoek van het scherm? Wat zie je in de rechterbovenhoek? De precisie van dit cold calling-script was indrukwekkend, maar zeer irritant wanneer je weet wat er hierna komt.

Wat uiteraard het systeemgebeurtenislogboek filterde op alleen kritieke fouten, en dan verder ging met vertellen dat mijn computer veel fouten vertoont. Hij liet me het aantal totale gebeurtenissen voorlezen voordat hij me willens en wetens vertelde dat hij hetzelfde aan zijn kant zag.

Wist je dat dit allemaal virussen zijn? Dat deed ik zeker niet.

Op dit punt zei hij dat hij me naar zijn meer geavanceerde tech supporter zou overplaatsen om het probleem verder te onderzoeken. Ik besefte pas later dat dit deel uitmaakte van hun plan om eruit te zien als een echt callcenter, maar ook om theoretisch( en ten onrechte) in de problemen te komen om je te scammen.

Ga je de besturing van mijn pc overnemen met rare Russische software? Zeker!

De volgende man in de keten - die veel gemakkelijker te begrijpen was - kreeg vervolgens de opdracht om een ​​URL in mijn gewenste browser in te typen( ja, hij vroeg me welke browser ik verkies), een tinyurl.com kort URL-teken uit te spellen doorkarakter, en vroeg me toen om het aan hem voor te lezen. Druk op enter, zei hij, en dan nog een keer met het uiterst nauwkeurige script. .. " Wat zie je nu op het scherm? "Er wordt mij gevraagd om door te gaan en op de knop Uitvoeren te klikken en toen ging het script een beetje van het doelwit af, omdat hij vergat te zeggen dat ik op de UAC-prompt op Ja moest klikken. Ik denk dat hij iets over Doorgaan zei, maar ik was opgewonden om te zien wat er daarna zou gaan gebeuren en sprong op het geweer. Ja, maak verbinding met mijn virtuele machine, u bent oplichter! ( Nee, dat zei ik niet hardop)

Probeer dit thuis niet. Wij zijn professionals.

Het verbaasde me dat ze TeamViewer niet gebruikten zoals de meeste oplichters waarover ik heb gelezen;in plaats daarvan gebruikten ze een raar programma genaamd Ammyy Admin, dat door een bedrijf in Rusland lijkt te zijn. Gezond verstand zou je alles moeten vertellen wat je moet weten, maar een beetje internetonderzoek toont aan dat het geen bedrijf is dat je moet vertrouwen bij je geld. Of je computer. Voorkomen. Ik deed het niet, en vertelde hem de ID-code, klikte op Remember and Accept om hem in mijn pc te laten. In het geval u zich afvroeg, het IP-adres toegewezen terug naar een server in de VS.

Op dit punt ging de man verder met het bekijken van een paar dingen, en ging hij door de meeste dezelfde stappen die de laatste man me net vroeg om te doen. Hij legt uit dat hij Event Viewer moet controleren en maakt zich dan zorgen over wat hij vindt. Er zijn veel virussen op mijn computer, vertelt hij me nog steeds, en al deze fouten in Event Viewer zijn erg slecht.

Ze komen dichterbij

Hij moet me naar iemand anders overbrengen om te proberen of ze het probleem kunnen diagnosticeren. De derde heeft een ander accent, meer oostelijk. Terwijl de eerste man bijna onbegrijpelijk was en de tweede man duidelijk sprak, was dit accent anders genoeg dat ik het verschil meteen opmerkte. Of was het iets anders?

Natuurlijk was het meer dan alleen het accent: deze man zat niet op hetzelfde script. Hij klonk een -bit die meer kennis had, iets minder scripted was en geen problemen had met navigeren op de computer. Toen realiseerde ik me dat hij dichterbij was - het is zijn taak om de deal te sluiten, je ervan te overtuigen dat je computer is geïnfecteerd en dat ze het voor je kunnen oplossen. Dat is ook toen het begon leuk te worden.

Wist je dat het boomcommando bestaat? Ik wed dat de meeste mensen dat niet doen.

Eerst vertelde hij me dat hij een scan van mijn computer moest uitvoeren om erachter te komen wat er aan de hand was. Hij deed dit door een opdrachtprompt te openen en een commando tree / f uit te voeren. Heb je dit ooit gedaan? Het duurt vrij lang. .. omdat het elke map en elk bestand op je computer opslaat in een "boomstructuur" -formaat, en het heeft natuurlijk niets te maken met een virusscan. Het is net als het typen van dir of ls bij een opdrachtprompt, het toont je gewoon de lijst met bestanden.

Dit is waar hij heel lastig werd. Terwijl het commando werd uitgevoerd( een goede minuut of zo op mijn VM), typte hij "beveiligingslek. . gevonden door trojans. .".Natuurlijk zul je niet zien wat hij aan het typen was omdat alles voorbij scrolt, en de shell houdt die invoer vast tot nadat de uitvoer is voltooid. Dus zodra hij klaar is met het typen van het bericht, gebruikt hij CTRL + C om te voorkomen dat de boomopdracht voorgoed wordt uitgevoerd. En nu zie je zijn valse foutmelding. Je moet toegeven, het is een beetje geweldig.

Deze man heeft trojaanse paarden gevonden met het commando bomen. Hij is een tovenaar!

" Ohhhh ", zegt hij, " Dat is niet goed. Beveiligingsinbreuk en trojaanse paarden worden gevonden. Weet je wat een trojan is? ".Hij vertelt me ​​verder over hoe Trojaanse paarden mijn computer hebben geïnfecteerd en dat hij er verder naar moet kijken, maar het is absoluut geen goede zaak. Is mijn computer ooit langzaam? Krijg ik ooit foutmeldingen op websites?

$ 175 om mijn pc schoon te maken?

Hij is er vrij zeker van dat ik ervan overtuigd ben, zoals ik hem behoorlijk heb geholpen, hoop ik. Hij gaat voor de moord: " Je zult iemand nodig hebben om je pc te reinigen van alle virussen en Trojaanse paarden. Je kunt het naar een plaatselijke reparatiewerkplaats brengen of we kunnen het voor je schoonmaken. "Ik reageer met" OK, maar hoeveel gaat mij dat kosten? "Hij begint erover na te denken hoe het $ 175 kost, maar dat zal niet alleen mijn computer schoonmaken, maar me ook een jaar lang ondersteuning bieden.

Het schoonmaken duurt 1 tot 2 uur, gedurende die tijd zullen ze Windows Defender gaan installeren en scans van mijn hele computer uitvoeren, en zorgen dat alles wordt opgeschoond en bijgewerkt. Hij zal me naar iemand anders moeten overplaatsen om mijn geld daadwerkelijk te verzamelen en natuurlijk te repareren.

Ik ben een beetje sceptisch. Hij kan het vertellen. Wat hij niet weet, is dat ik lach en probeer hem niet te laten horen.

Hij gaat door met het openen van mijn systeeminformatie en begin rond te kijken, en toen realiseerde ik me dat de mal misschien op is - ik bedoel, het is een virtuele machine. Het systeemmodel is VirtualBox en de naam van de computer is WIN81VM10. .. hoe kan hij het niet opmerken? Op de een of andere manier doet hij dat niet, en vervolgt me om te vertellen dat mijn BIOS echt verouderd is en sinds 2006 niet meer is bijgewerkt, waarbij ik volledig negeer dat mijn BIOS is door "VirtualBox". .. maar langzaam vallen de stukjes op hun plaats. Hij begint me te vragen wanneer ik de computer kreeg, toen de laatste keer dat ik het update was. Hij doet zijn best om me te verkopen, maar op dit moment lach ik als een gek en probeer ik de telefoon te bedekken, zodat hij het niet opmerkt.

"Uw BIOS is echt verouderd, het is van 2006"

Hij merkt dat de virtuele machine slechts 1,49 GB RAM heeft, zeker niet normaal, en niet precies mogelijk op een echte computer. Hij probeert me nog steeds te vertellen dat er een probleem is met mijn computer, maar hij blijft puzzelen over de RAM, en hij realiseert zich dat als ik "net de pc had gekocht", het geen BIOS uit 2006 zou hebben.

I can 'ik neem het niet meer, dus vraag ik hem gewoon "vragen mensen je echt $ 175 voor deze zwendel?".Hij weet dat de mal op is en begint een ogenblik zenuwachtig te lachen, maar hij weigert karakter te breken of me meer informatie te geven. Hij begint te vragen waarom ik hem in hemelsnaam beschuldig van het proberen te bedriegen. Hij probeert me gewoon te helpen de virussen en trojaanse paarden op mijn computer te verwijderen. Hilarisch genoeg begint hij de definitie van "zwendel" uit het woordenboek te lezen en vertelt me ​​dat ik een slechte leugenaar ben. Hij wist de hele tijd dat ik een computermens was.

Ik begin hem te vragen waar hij zich werkelijk bevindt, zegt hij Sacramento. Ik wijs erop dat zijn netnummer uit Atlanta komt en hij zegt dat hij geen tijd heeft om domme vragen te beantwoorden. Ik vraag of hij echt van Microsoft is zoals hij beweerde dat hij is. Dat is wanneer hij erop wijst dat hij nooit iets van dien aard heeft gezegd. Hij heeft me nooit om mijn creditcard gevraagd of geprobeerd me uit geld te krijgen. Hij doet niets verkeerd. Als het een scam was, waarom had hij dan gesuggereerd dat ik het naar een reparatiewerkplaats zou brengen?(Hij herhaalt dit minstens 10 keer, dit kan geen toeval zijn).En dat is de game waaraan hij vasthoudt gedurende ten minste 15 minuten om hem zover te krijgen dat hij iets over zijn operatie geeft.

Je ziet dat de eerste persoon belt en beweert dat hij van "Windows" komt en dat je virussen hebt. Dan laat de tweede persoon je verbinden, en dan vertelt de derde man dat het je geld gaat kosten, en brengt het je naar de vierde persoon waarvan we aannemen dat die je geld zou nemen, niets nuttigs zou doen met je pc, waarschijnlijk Trojaanse paarden zou installeren open laat je dan voelen als een sukkel.

En dat is het verhaal van hoe ik 41 minuten heb verknoeid met een oplichter.