Quando os burlões são os burlados!

fake_bsod

Há um novo esquema no PC que tem levado muitas pessoas ao engano. Mas uma das pessoas que pretendiam levar na burla, passou-lhes a perna… e burlou-os a eles.

Uma das novidades relativas a burlas prende-se com a burla do suporte técnico no PC. Certos websites maliciosos, alguns deles até publicitados na Google sem que a Google se aperceba, mas disfarçados de websites relacionados com outros produtos levam a que o website instale ou execute código que simula o conhecido ecrã azul da morte da Microsoft.

Mas como um bom esquema que é, isto nada teria interesse se não fosse possível lucrar-se com isso. E daí que entre outras formas de se entrar em contacto com a pessoa a burlar (e há várias), alguns desses ecrãs simulados tenham um contacto para o suporte técnico que estará pronto a ajudar (em alguns casos são eles que ligam indicando terem tido conhecimento do erro, ou os números aparecem publicitados como agências de suporte legítimas em alguns websites).

Ora naturalmente esse suporte técnico que se identifica como sendo da Microsoft ou suporte técnico Windows, é uma burla. E quando contactado o “técnico”, com a autorização do “cliente”, solicita que sejam teclados comandos DOS que simulam estar a efectuar uma série de testes ao PC (Um dos comandos pedidos para ser teclado é normalmente o assoc.exe que lista as extensões associadas a cada tipo de ficheiro e fornece igualmente um código CLSID que os técnicos usam para confirmar que algo está mal. Depois o outro comando é o eventvwr.exe que lista os erros no PC, e onde qualquer PC, mesmo sem qualquer problema, encontrará dezenas de erros normais do funcionamento do windows.).

Perante os erros encontrados o técnico pede autorização para uma ligação remota onde analisará melhor o problema.

A conclusão final é depois apenas uma. O PC está severamente infectado, e requer a instalação de um software de segurança que será vendido a 299.99 euros, e que libertará o PC de problemas.

A situação já é conhecida, e tem levado a que algumas equipas de segurança reais tenham feito chamadas do género dando acesso posterior a máquinas virtuais, de forma a analisarem o que estes senhores fazem ao PC. Que na prática é nada… apenas o uso de alguns comandos de MS DOS inofensivos que colocam muito texto no ecrã e dão a entender análises profundas e feitas de uma forma muito técnica (afinal o MS DOS é apenas texto e para quem não o conhece, ver informação em texto a passar no parece estar mesmo a mexer nas “entranhas” da máquina, analisando a mesma.

Mas desta vez um desses técnicos de segurança foi mais longe… e burlou os burlões ao instalar-lhes nas suas máquinas um RansomWare, ou seja, um daqueles programas que encriptam o PC e só o libertam mediante pagamento. Naturalmente não há intenção de colectar nada, mas sim apenas de os fazer provar o próprio veneno.


Este senhor, de nome Ivan Kwiatkowski sabe bastante sobre malware e a forma como estes esquemas funcionam. E o que fez?

Bem, ligou para o número, e deu acesso a uma máquina virtual devidamente desprotegida com o “problema”.

E quando o técnico inseriu vários comandos de MS DOS que comprovariam a presença do malware, ele fez-se de estúpido e que estaria a ir na cantiga.

Naturalmente o diálogo acabou como previsto, com o “técnico” da treta a vender o software de segurança que limparia o PC. Mas no entanto o técnico nem imaginava com quem se estava a meter.

Assim, aceitou a proposta e forneceu uns números falsos para um cartão de crédito. E como falsos que eram… foram rejeitados quando inseridos. Daí que o “técnico” tenha informado que havia qualquer problema com o código. E daí, Ivan forneceu um segundo conjunto igualmente falso, que foi também rejeitado.

E é aqui que os burlões são burlados.

Perante a segunda rejeição, Ivan refere que provavelmente a culpa é sua pelos erros dos números. Dado que ele veria muito mal, poderia estar a confundir algum dígito, e nesse caso seria melhor o técnico dar uma vista de olhos ele próprio numa imagem digitalizada do cartão.

E quando o técnico  aceita receber o ficheiro… Ivan disfarça uma versão do Locky Ransomware que tinha no disco para estudo… e envia-a como sendo uma imagem (Note-se que o windows tem a tendência de esconder a real extensão do ficheiro, neste caso um EXE, pelo que o que o técnico vê é um ficheiro com o nome, a informação de ser um PNG, e supostamente zipado, daí uma extensão .ZIP. Que na realidade não é a extensão real, mas apenas parte do nome do ficheiro).

tech support scam

Naturalmente e infelizmente, a imagem “estava corrompida”, pois quando se fez um duplo clique sobre o ficheiro… nada abriu! Mas o computador do lado de lá ficou infectado e prestes a qualquer momento para ver o pedido de resgate no ecrã.

Fonte: Londonworldwide

 

Publicidade

Posts Relacionados

Comentarios dos Leitores (1)

  1. Grande Sr Ivan! Fez o que eu sempre quis fazer, mas não tenho conhecimento pra tal. Adoraria entrar na DW e detonar alguns daqueles animais que lá habitam. Parabéns a ele.

Os comentarios estao fechados.