Аферы фальшивых колл-центров.
Обман начинается с появившегося предупреждения на мониторе вашего компьютера, часто имитирующее синий экран смерти или мигающего уведомления о проникновении вредоносных программ.
Это самозваное окно информирует вас, что ваш компьютер имеет проблемы безопасности.
Пугающая надпись может содержать множество страшных для любого пользователя угроз, начиная от украденных данных для кредитных карт, о возможности кражи семейные фотографий или о злодеях наблюдающих за вами через веб - камеру. И предлагает бесплатный номер линии поддержки "Microsoft" или другого из софтверных гигантов.
Но исследователи безопасности из Университета штата Нью-Йорк в Стони Брук (англ. State University of New York at Stony Brook) Позвонили.
Снова и снова, в течение нескольких часов подряд, они разыгрывали свой спектакль, взывая о помощи к этим мошенникам из техподдержки, которые "проанализировали" безопасность их компьютеров якобы с помощью удаленного подключения.
Каждый раз жулики, естественно, обнаруживали что компьютер "заражен вирусами и шпионским ПО", и предлагали вычистить это все за отдельную плату, в среднем около $ 300.
К чему же они пришли после всех этих звонков? Самым тревожным было, это масштабы деятельности этих так называемых "сервисов поддержки". И команда решила опубликовать некоторые подсказки о том, как уберечься наивным людям от получения убытков от жульничества, обмана, преступных центров обработки вызовов.
Скамминг во имя науки
На Distributed Systems Security Symposium (Симпозиум системы безопасности (NDSS)) команда Stony Brook показала, как они вычислили мошеннические схемы вызова техподдержки.
С помощью инструмента автоматического веб-сканирования, они посетили десятки тысяч интернет страниц жертв пострадавших в этой афере.
А потом набрав 60 из предложенных номеров, затратив в общей сложности более 22 часов разговоров по телефону с мошенниками, делали вид, что они являются пострадавшие, и просят помощи ИТ специалистов справочных служб.
Их исследование раскрывает методы для выявления самых крупных центров обработки вызовов для фальшивой техподдержки. И намекает, что лучший способ решения данной проблемы это предотвращение создания новых телефонных линий для жульнических вызовов.
"Мы хотели бы знать, насколько была велика эта афера, как мошенники могут достучаться до людей, как они убеждают их тратить сотни долларов за исправления поддельных вредоносных ПО,
говорит Ник Nikiforakis Факультет компьютерных наук Stony Brook University, профессор возглавляющий исследование.
"Это был способ автоматически найти масштабные жульничества технической поддержки и понять их строение."
В рамках этого анализа, три исследователя каждый звонил по 20 номерам жуликов от техподдержки и записывали результаты.
Ученые обнаружили, что мошенники совершали весьма предсказуемую серию шагов:
Они нахваливали основные аппаратные средства компьютера, чтобы дать жертве понять, что очистка ее инфекции будет стоить денег.
- SERVICE_CONTROL_STOP (Остановка службы. Программа управления услугами может остановить службу, используя функцию ControlService, отправив запрос SERVICE_CONTROL_STOP)
- Netstat scans Windows (Команда netstat отображает статистику активных подключений TCP, портов, прослушиваемых компьютером, статистики Ethernet, таблицы маршрутизации IP, статистики IPv4), и так далее, в качестве доказательства существования вредоносных программ или хакерских вторжений.
- Или что DOS-команда verify, которая якобы должна подтверждать подлинность лицензии (на самом деле нет), ничего не выдает, а значит, лицензия не подлинная.
Исследователи проследили IP адреса мошеннических инструментов удаленного администрирования, и выяснили:
85 процентов - Индия, логичное местоположение, учитывая низкую зарплату, индийцев владеющих английским языком.
10 процентов мошеннических техподдержек были из Соединенных Штатов.
Пять процентов фейковых ИТ специалистов из Коста-Рики.
Эти вызовы, и полученные данные о ценообразовании были лишь одним из компонентов исследования.
Для того чтобы найти, как можно больше мошенников, исследователи создали программный инструмент "ROBOVIC" (роботизированная жертва) который автоматически посещает миллионы сайтов в поисках страниц жуликов из техподдержки.
Они были нацелены на поиск Typosquatting Typosquatting англ. typo (опечатка) + cybersquatting регистрация доменных имён, близких по написанию с адресами популярных сайтов в расчёте на ошибку части пользователей. Например, «wwwsite.ru» в расчёте на пользователя, который хотел попасть на «www.site.ru».
Тайпосквоттер может собрать на своём сайте достаточно большой процент «промахнувшихся» посетителей и заработать за счёт показа рекламы. Или, если пользователь собрался ввести логин и пароль на оригинальном сайте, а ввёл их на подложном, то тайпосквоттер-злоумышленник может получить эти данные для дальнейшего несанкционированного доступа к чужой информации.
страниц, созданных преступниками, которые показывают рекламу и спам для посетителей.
Страницы с адресом близким по написанию с адресами популярных сайтов в расчёте на ошибку пользователей
Из пяти миллионов страниц, которые посетила ROBOVIC обнаружено около 22 000 страниц технических поддержек аферистов, размещенных на примерно 8700 доменах.
По счастливой случайности они обнаружили, что модуль Apache на 142 страницах вел подсчет трафика, что позволило исследователям оценить количество посетителей этих страниц.
Поскольку предварительное исследование фальшивых антивирусных служб показывают что около двух процентов людей попадают в подобные ловушки, было подсчитано что каждый домен получает около $ 2000 в день.
Периодически посещая сайты мошенников, исследователи увидели, как долго эти страницы оставались в Интернете прежде чем исчезнуть.
Вероятно хостинг компании обнаруживают мошенничество и удаляют их. Около 70 процентов существовали в течение от одного до трех дней, около 7 процентов работали более месяца. На основании всех этих данных исследователи примерно подсчитали, что домены аферисты зарабатывают около $ 75 млн в год. Но учитывая, что они нашли лишь часть жульнических сайтов и не отслеживают общее количество кампаний создающих их, они не претендуют на оценку для всей промышленности фальшивой техподдержки.
Как бороться с жуликами из техподдержки?
Несколько идей как власти могут помешать скамерам из техподдержки (support scams), или по крайней мере сделать их менее выгодными.
Они обнаружили, что что на 22000 страниц используется чуть более 1600 телефонных номеров, в основном IP-телефони́я от Twilio, WilTel, RingRevenue с хорошей пропускной способностью. "Если операторы внесут номера в черный список, вы можете сделать аферу более дорогой." говорит Nikiforakis.
Nikiforakis в прошлом году предоставил исследование Stony Brook в Федеральную комиссию по торговле, и FTC подала в суд один колл - центр во Флориде, оштрафовав их на 10 миллионов долларов .
Nikiforakis считает, что только обучение может наиболее эффективно решить проблему с аферистами от техподдержки. Жертвы должны научиться отличать мошеннические онлайн-предупреждения о вирусной инфекции, задолго до звонков в поддельные справочные службы телефонных разводил.
источник
адаптированный перевод
| |||