4Aug
Dzwoniący powiedział: "Dzwonię do ciebie z pomocy technicznej Windows." Oszustweni oszustami technicznymi popełnili błąd, nazywając nas dzisiaj i graliśmy razem, aby nauczyć się ich sztuczek dla zabawy. Oto co się stało.
Dla niewtajemniczonych omawialiśmy już ten temat wcześniej - od lat ci oszuści nawoływali do działania ludzi, twierdząc, że pochodzą od Microsoftu, próbując przekonać ich, że ich komputer ma wirusy, a następnie pytając "klienta".zapłacić im za naprawienie problemu. Można by pomyśleć, że rząd zaprzestałby tego typu działań, ale lata później te oszustwa wciąż istnieją.
Dziś otrzymaliśmy jedno z tych połączeń i postanowiliśmy grać razem dla zabawy. Oto nasza historia.
"Dzwonię do ciebie z Windows"
Zadzwonił telefon, nieznany rozmówca z( 404) 891-5588, numer kierunkowy obejmujący Atlannę, Gruzję.Osoba po drugiej stronie wydawała się jakby coś grzebiąc i od razu nic nie powiedziała. W tle słychać było ruchliwe dźwięki źle zorganizowanego call center, ledwo różniące się od kogoś dzwoniącego z baru.
" Witaj? Dzwonię do ciebie z pomocy technicznej Windows ", zaczął z grubym akcentem, którego ledwie mogłem zrozumieć." Nasze serwery wykryły wirusy na Twoim komputerze. Czy jesteś tego świadomy? ".To był drugi raz w tygodniu, do którego mnie wezwał - po raz pierwszy nie mogłem zrozumieć, co on mówi, więc odłożył słuchawkę, ale tym razem byłem przygotowany." Nie, nie wiedziałem o tym. Co to znaczy? "
Powiedział mi, że mój komputer zgłaszał wirusy na swoje serwery, i potrzebował mnie do zweryfikowania mojego identyfikatora licencji konsumenckiej, aby upewnić się, że to naprawdę mój komputer z wirusami." Czy możesz zapisać ten numer? - zapytał, zanim odłożył kod alfanumeryczny, abym mógł zanotować.8, 8, 8, D jak u psa, C jak u kota, A jak u jabłka, 6, zero. Czy mogę mu to przeczytać?Zrobiłem, 888DCA60, a on to potwierdził.
W tym momencie zaryzykowałem, aby uruchomić nowo zainstalowaną kopię systemu Windows na maszynie wirtualnej, którą na szczęście przygotowałem.
Następnie zapytał mnie, czy znajduję się przed moim komputerem, a kiedy byłem, poprosił mnie, żebym wcisnął klawisz Windows i klawisz R w tym samym czasie, a następnie kazał mi wpisać C, M, D i naciśnij enter. Kiedy już to zrobiłem, zapytał, czy mogę napisać "assoc" i ponownie nacisnąć Enter. Pragnienie, by zacząć się śmiać, było prawie nie do zniesienia, ale moja ciekawość sprawiła, że zacząłem patrzeć, jakie bzdury zamierzają mi powiedzieć.
" Czy możesz przeczytać najdłuższą linię pod koniec? "Zrobiłem to, zauważając, że liczby były takie same, jak te, które wcześniej zapisałem, ponieważ w końcu zacząłem rozgryźć grę.
Ten długi kod,{ 888DCA60-FC0A-11CF-8F0F-00C04FD7D062}, jest w rzeczywistości identyfikatorem CLSID, globalnie unikalnym identyfikatorem znalezionym w rejestrze systemu Windows i służy do informowania systemu Windows o miejscu w rejestrze, które obsługuje to rozszerzenie pliku. Ponieważ assoc.exe, polecenie, o które mnie prosili, to , a właściwie używane do wyświetlania, które rozszerzenia plików są powiązane z wybranymi aplikacjami i w ogóle nie mają nic wspólnego z wirusami. Dodatkową korzyścią dla oszustwa jest to, że rozszerzenie ZFSendToTarget zawsze będzie bliskie końca i będzie wyglądało przerażająco na twoją babcię.
" Zobacz, to jest ten sam kod, o którego wykonanie poprosiliśmy. To potwierdza, że dzwonimy do ciebie z Windows i masz wirusa na swoim komputerze ".Ahh. .. to będzie zabawne." Czy możesz teraz wpisać w okno?
Następnie poprosił mnie o otwarcie Podglądu zdarzeń poprzez wpisanie eventvwr i naciśnięcie klawisza Enter. W tym momencie zmęczyło mnie weryfikowanie każdej rzeczy, którą widziałem na ekranie.do niego. Co widzisz w lewym górnym rogu ekranu? Co widzisz w prawym górnym rogu? Sama precyzja tego zimnego skryptu wywołującego była imponująca, ale bardzo irytująca, kiedy wiesz, co będzie dalej.
Który, oczywiście, filtrował Dziennik zdarzeń systemowych tylko krytycznymi błędami, a następnie kontynuował, aby powiedzieć mi, że mój komputer pokazuje wiele błędów. Kazał mi odczytać liczbę wszystkich zdarzeń, zanim świadomie powiedział mi, że widzi to samo na końcu.
W tym momencie powiedział, że zamierza mnie przenieść do bardziej zaawansowanego faceta z działu pomocy technicznej, aby dalej badać problem. Nie zdawałem sobie sprawy, że jest to część ich planu, aby wyglądać jak prawdziwe call center, ale także teoretycznie( i niesłusznie) uniknąć kłopotów z tobą.
Zamierzasz przejąć kontrolę nad moim komputerem za pomocą dziwnego rosyjskiego oprogramowania? Pewnie!
Następnego faceta w sieci - który był o wiele łatwiejszy do zrozumienia - poprosił mnie o wpisanie adresu URL do mojej preferowanej przeglądarki( tak, zapytał mnie, którą przeglądarkę preferuję), wypisując krótki URL tinyurl.com przezcharakteru, a następnie poprosił mnie, abym mu to odtworzył.Naciśnij Enter, powiedział, a następnie jeszcze raz z niezwykle precyzyjnym scenariuszem. .. " Co widzisz teraz na ekranie? "Zostałem poproszony o kliknięcie przycisku Uruchom, a następnie skrypt przestał celować, ponieważ zapomniał mi powiedzieć, żebym kliknął Tak w monicie UAC.Myślę, że powiedział coś o Kontynuacji, ale byłem podekscytowany, gdy zobaczyłem, co będzie dalej i skoczyłem z karabinu. Tak, połącz się z moją wirtualną maszyną, ty oszust! ( Nie, nie powiedziałem tego głośno)
Zaskoczyło mnie, że nie używali TeamViewera, tak jak większość oszustów, o których czytałem;zamiast tego używali dziwnego programu o nazwie Ammyy Admin, który wydaje się być własnością pewnej firmy w Rosji. Zdrowy rozsądek powinien powiedzieć ci wszystko, co musisz wiedzieć, ale małe badanie internetowe pokazuje, że nie jest to firma, której powinieneś ufać swoimi pieniędzmi. Lub twój komputer. Uniknąć.Nie zrobiłem tego i powiedziałem mu kod identyfikacyjny, kliknąłem Zapamiętaj i zaakceptuj, aby wpuścić go na mój komputer. Jeśli zastanawiasz się, adres IP jest odwzorowany na serwer w USA.
W tym momencie facet przejrzał kilka rzeczy i wykonał większość tych samych kroków, które wykonał ostatni facet. Wyjaśnia, że musi sprawdzić Podgląd zdarzeń, a następnie brzmi niepokojąco o tym, co znajduje. Na całym moim komputerze jest dużo wirusów, kontynuuje, mówiąc mi, i wszystkie te błędy w Podglądzie zdarzeń są bardzo złe.
Oni ciągną w bliższej
On musi przenieść mnie do kogoś innego, by spróbować zobaczyć, czy oni mogą zdiagnozować problem. Trzeci facet ma inny akcent, bardziej wschodni. Podczas gdy pierwszy facet był prawie niezrozumiały, a drugi mówił wyraźnie, ten akcent był na tyle inny, że od razu zauważyłem różnicę.A może to było coś innego?
Oczywiście, to było coś więcej niż tylko akcent: ten facet nie był w tym samym skrypcie. Brzmiał nieco więcej wiedzy, trochę mniej skryptów, i nie ma żadnych problemów z nawigacją na komputerze. Wtedy zdałem sobie sprawę, że on jest tym bliżej - jego zadaniem jest zamknąć umowę, przekonać cię, że twój komputer jest zainfekowany i może to dla ciebie naprawić.Wtedy też zaczęło się robić fajnie.
Najpierw powiedział mi, że musi przeprowadzić skanowanie mojego komputera, aby dowiedzieć się, co się dzieje. Zrobił to, otwierając wiersz polecenia i uruchamiając polecenie tree / f. Czy kiedykolwiek to zrobiłeś?Zajmuje to dość dużo czasu. .. ponieważ wyszczególnia każdy folder i plik na komputerze w formacie "drzewa" i oczywiście nie ma nic wspólnego ze skanowaniem antywirusowym. To tak jak wpisywanie dir lub ls w wierszu poleceń, pokazuje listę plików.
W tym momencie zrobił się bardzo podchwytliwy. Podczas gdy polecenie było uruchomione( mniej więcej minutę na mojej maszynie wirtualnej), wpisał "wyłom bezpieczeństwa. .. znalezione trojany. .".Oczywiście nie zobaczysz, co pisał, ponieważ wszystko przewija się, a powłoka zatrzymuje to wejście, dopóki nie zostanie wykonane wyjście. Tak więc, kiedy skończy pisać wiadomość, używa CTRL + C, aby powstrzymać działanie polecenia drzewa na zawsze. A teraz widzisz jego fałszywy komunikat o błędzie. Musisz przyznać, to trochę niesamowite.
" Ohhhh ", mówi, " To nie jest dobre. Naruszenie bezpieczeństwa i trojany zostały znalezione. Czy wiesz, czym jest trojan? ".Opowiada mi o tym, w jaki sposób trojany zainfekowały mój komputer, i że będzie musiał je dalej przeanalizować, ale zdecydowanie nie jest to dobre. Czy mój komputer działa wolno? Czy kiedykolwiek dostaję komunikaty o błędach na stronach internetowych?
175 USD do czyszczenia komputera?
Jest przekonany, że jestem przekonany, że mam nadzieję, że wykonałem całkiem niezłą robotę.Zabiera się za zabicie: " Będziesz potrzebował kogoś, kto wyczyści komputer ze wszystkich wirusów i trojanów. Możesz zabrać go do lokalnego warsztatu naprawczego lub możemy pomóc Ci go oczyścić. "Odpowiadam" OK, ale ile mnie to będzie kosztowało? "Zaczął się zastanawiać, jak będzie kosztować 175 USD, ale to nie tylko oczyści mój komputer, ale da mi rok wsparcia.
Proces czyszczenia potrwa od 1 do 2 godzin, w którym to czasie zainstalują program Windows Defender i przeprowadzą skanowanie całego komputera, a następnie sprawdzą, czy wszystko zostało wyczyszczone i zaktualizowane. Będzie musiał mnie przekazać komuś innemu, żeby odebrać pieniądze i oczywiście naprawić.
Jestem trochę sceptyczny. On może powiedzieć.To, czego nie wie, to to, że się śmieję i próbuję nie pozwolić mu usłyszeć.
Przystępuje do otwierania moich Informacji o Systemie i zaczyna się rozglądać, kiedy zdałem sobie sprawę, że przyrząd może być gotowy - to znaczy, jest maszyną wirtualną.Model systemu to VirtualBox, a nazwa komputera to WIN81VM10. .. jak może tego nie zauważyć?Jakoś nie, i kontynuuje, mówiąc mi, że mój BIOS jest naprawdę nieaktualny i nie został zaktualizowany od 2006 roku, całkowicie ignorując, że mój BIOS jest przez "VirtualBox". .. ale powoli kawałki zaczynają się układać.Zaczyna mnie pytać, kiedy mam komputer, kiedy ostatnio go aktualizowałem. Robi, co może, by mnie sprzedać, ale w tym momencie śmieję się jak szalony i staram się ukryć telefon, żeby nie zauważył.
Zauważa, że maszyna wirtualna ma tylko 1,49 GB pamięci RAM, na pewno nie jest normalna i nie jest możliwa w prawdziwym komputerze. Wciąż próbuje mi powiedzieć, że jest problem z moim komputerem, ale wciąż zastanawia się nad pamięcią RAM, a potem zdaje sobie sprawę, że jeśli "po prostu kupiłem komputer", to nie miałby BIOSu od 2006 roku.
Mogę "Nie bierz tego już, więc po prostu spytam go: "Czy ludzie naprawdę płacą ci 175 $ za ten przekręt?".Wie, że dżig już działa i zaczyna się nerwowo roześmiać przez krótką chwilę, ale nie chce przerwać charakteru ani podać mi więcej informacji. Zaczyna pytać, dlaczego na Ziemi oskarżam go o próbę oszukania kogokolwiek. Po prostu próbuje mi pomóc pozbyć się wirusów i trojanów na moim komputerze. Zabawnie, zaczyna czytać definicję "oszustwa" ze słownika, a potem mówi mi, że jestem złym kłamcą.Przez cały czas wiedział, że jestem osobą komputerową.
Zaczynam pytać go, gdzie naprawdę się znajduje, mówi Sacramento. Podkreślam, że jego numer kierunkowy pochodzi z Atlanty i mówi, że nie ma czasu na udzielenie głupich pytań.Pytam, czy naprawdę jest z Microsoftu, jak twierdził, że jest. Właśnie wtedy zwraca uwagę, że nigdy nie powiedział czegoś takiego. Nigdy nie prosił mnie o kartę kredytową lub nie próbował mnie wydostać z pieniędzy. On nie robi niczego złego. Jeśli to była próba, dlaczego zaproponował, że zabiorę ją do warsztatu?(Powtarza to co najmniej 10 razy, to nie może być zbieg okoliczności).I to jest ta gra, na którą trzyma się przez co najmniej 15 minut, próbując zmusić go do przyznania się do o swojej operacji.
Widzisz, pierwszy facet dzwoni i twierdzi, że jest z "Windowsa", a ty masz wirusy. Następnie drugi facet sprawi, że się połączysz, a następnie trzeci facet powie Ci, że to będzie cię kosztowało twoje pieniądze, i przeniesie cię do czwartego faceta, który, jak zakładamy, zabrałby twoje pieniądze, nie zrobiłby nic pożytecznego z twoim komputerem, prawdopodobnie zainstalował trojany nato, a potem poczujesz się jak frajer.
I to jest opowieść o tym, jak zmarnowałem 41 minut zabawy z oszustem.