Skip to main content

“科技支持”詐騙者稱為HTG(所以我們和他們一起玩得很開心)

“科技支持”詐騙者稱為HTG(所以我們和他們一起玩得很開心)

Geoffrey Carr

打電話的人說:“我正在通過Windows技術支持給你打電話。”假冒技術支持騙子犯了今天打電話給我們的錯誤,我們一起學習他們的技巧只是為了好玩。這是發生了什麼。

對於沒有經驗的人,我們之前已經討論過這個問題 - 多年來,這些詐騙者一直冷嘲熱心的人,聲稱自己來自微軟,試圖讓他們相信他們的計算機有病毒,然後要求“客戶”支付他們來解決問題。你認為政府會讓這類事情停止......但多年後,這些騙局仍然存在。

今天,我們收到了其中一個電話,並決定一起玩,只是為了好玩。這是我們的故事。

“我從Windows打電話給你”

電話響了,來自(404)891-5588的未知來電者,這是一個覆蓋佐治亞州亞特蘭大的區號。另一端的人似乎正在摸索著什麼,並沒有立刻說出任何話。在後台,你可以聽到一個組織嚴密的呼叫中心的繁忙聲音,與從酒吧叫你的人幾乎沒有什麼不同。

你好?我是通過Windows技術支持給你打電話的“他開始用濃重的口音說我幾乎聽不懂。 “我們的服務器已在您的PC上檢測到病毒。你知道嗎?“。這是他一周第二次打​​電話給我 - 這是我第一次聽不懂他在說什麼,所以他掛了我,但這次我做好了準備。 “不,我不知道。那是什麼意思?

他繼續告訴我,我的計算機正在向他們的服務器報告病毒,他需要我驗證我的消費者許可證ID,以確保它真的是我的PC病毒。 “你能寫下這個號碼嗎?“他問道,然後發出一個字母數字代碼讓我記下來。 8,8,8,D如狗,C如貓,A如蘋果,6,零。我可以把它讀回給他嗎?我做了,888DCA60,他證實了這一點。

在這一點上,我爭先恐後地在虛擬機中啟動了一個新安裝的Windows副本,幸運的是我已經準備好了。

接下來他問我是不是在我的電腦前,一旦我,他讓我同時按下Windows鍵和R鍵,然後告訴我鍵入C,M,D並按回車鍵。一旦我這樣做了,他問我是否可以鍵入“assoc”並再次按Enter鍵。開始大笑的慾望幾乎讓人無法忍受,但我的好奇心讓我抓住了他們要告訴我的廢話。

你能讀一下接近尾聲的最長線嗎?“我這樣做了,並指出這些數字與他們之前寫下的相同,因為我終於開始弄清楚遊戲了。

那個長代碼{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}實際上是一個CLSID,一個在Windows註冊表中找到的全局唯一標識符,它用於告訴Windows在註冊表中處理該文件擴展名的位置。因為他們要求我輸入的命令assoc.exe是其實 用於顯示哪些文件擴展名與哪些應用程序相關聯,並且與病毒完全無關。騙局的另一個好處是ZFSendToTarget擴展程序總是接近尾聲,對你的祖母來說看起來很嚇人。

看,這是我們要求您寫下的相同代碼。這證實我們是從Windows呼叫您並且您的計算機上有病毒“。啊......這會很有趣。 “你現在可以在窗口中鍵入以下內容嗎?“

他接著要求我打開事件查看器,輸入eventvwr並按回車鍵,此時我已經厭倦了驗證我在屏幕上看到的每一件事情。 你在屏幕的左上角看到了什麼?你在右上角看到了什麼? 這種冷調腳本的絕對精確度令人印象深刻,但當你知道接下來會發生什麼時,會非常惱火。

當然,這只是通過嚴重錯誤過濾系統事件日誌,然後繼續告訴我我的計算機顯示了很多錯誤。在告訴我他在他的結尾看到同樣的事情之前,他讓我讀完了總事件的數量。

在這一點上,他說他將把我轉移給他更先進的技術支持人員,以進一步研究這個問題。直到後來我才意識到這是他們看起來像真正的呼叫中心的計劃的一部分,但也理論上(並且錯誤地)避免因為欺騙你而陷入麻煩。

你會用奇怪的俄羅斯軟件控制我的電腦嗎?當然!

鏈上的下一個人 - 誰更容易理解 - 繼續讓我輸入我的首選瀏覽器的URL(是的,他問我喜歡哪個瀏覽器),按字符拼寫tinyurl.com短URL字符,然後讓我把它讀回給他。他說,按回車鍵,然後再用極其精確的劇本......“你現在在屏幕上看到了什麼?“我被要求繼續並單擊”運行“按鈕,然後腳本稍微偏離目標,因為他忘了告訴我在UAC提示符下單擊”是“。我認為他說了一些關於繼續的事情,但我很高興看到接下來會發生什麼並跳出槍。 是的,連接到我的虛擬機,你騙了!(不,我沒有大聲說出來)

我很驚訝地看到他們沒有像我讀過的大多數詐騙者一樣使用TeamViewer;相反,他們正在使用一個名為Ammyy Admin的怪異程序,該程序似乎是由俄羅斯的一些公司提供的。常識應該告訴你需要知道的一切,但是一些網絡研究表明,你不應該信任你的錢。或者你的電腦。避免。我沒有,並告訴他ID代碼,點擊記住並接受讓他進入我的電腦。如果您想知道,IP地址映射回美國的服務器。

在這一點上,那個人繼續看了幾件事,然後經歷了最後一個人要求我做的大部分步驟。他解釋說他需要檢查事件查看器,然後聽起來對他所發現的事情感到不安。他繼續告訴我,我的計算機上有很多病毒,而事件查看器中的所有這些錯誤都非常糟糕。

他們拉近了

他需要把我轉移到其他人那裡試試看他們是否可以診斷問題。第三個人有不同的口音,更東部。雖然第一個人幾乎無法理解,而第二個人說話清楚,這個口音不同,我立即註意到了差異。還是別的什麼?

果然,它不僅僅是口音:這個傢伙不是同一個劇本。他聽起來像是一個 知識淵博,腳本少一點,並且在瀏覽計算機時沒有任何問題。就在那時我意識到他離他越來越近 - 他的工作就是完成交易,讓你確信你的計算機已被感染並且可以為你修復它。這也是它開始變得有趣的時候。

首先,他告訴我他需要對我的電腦進行掃描,以了解發生了什麼。他通過打開命令提示符並運行tree / f命令來完成此操作。你做過這個嗎?這需要相當長的時間...因為它以“樹”格式列出了計算機上的每個文件夾和文件,當然,它與病毒掃描無關。就像在命令提示符下鍵入dir或ls一樣,它只顯示文件列表。

這是他變得非常棘手的地方。當命令運行時(我的VM上好一分鐘左右),他正在鍵入“安全漏洞...發現..”。當然,你不會看到他正在輸入什麼,因為所有內容都在滾動,並且shell在輸出完成之前一直保持輸入。因此,一旦他完成了輸入消息,他就使用CTRL + C來阻止樹命令永遠消失。現在你看到了他的假錯誤信息。你必須承認,它有點棒。

天上“, 他說, ”這不好。發現了安全漏洞和特洛伊木馬。你知道什麼是木馬嗎?“。他繼續告訴我關於特洛伊木馬如何感染我的電腦的所有信息,以及他將需要進一步研究它,但這絕對不是一件好事。我的電腦速度慢嗎?我是否在網站上收到錯誤消息?

清潔我的電腦175美元?

他非常肯定我確信,因為我做得非常好,引導他,我希望。他進去殺人:“你需要有人來清理你所有病毒和特洛伊木馬的PC。您可以將它帶到當地的維修店,或者我們可以幫您清理它。“我回答說”好的,但是這會花多少錢?“他開始大肆宣傳它將如何花費175美元,但這不僅會清理我的電腦,還會給我一年的支持。

清理過程需要1到2個小時,在此期間他們將安裝Windows Defender並運行我的整個計算機的掃描,並確保清理和更新所有內容。當然,他需要把我轉移給其他人來實際領取我的錢並進行修復。

我有點懷疑。他可以說。他不知道的是,我在笑,不想讓他聽到。

他繼續打開我的系統信息並開始環顧四周,這時我意識到夾具可能會啟動 - 我的意思是,它是一個虛擬機。系統模型是VirtualBox,計算機的名稱是WIN81VM10 ......他怎麼能不注意到?不知何故,他沒有,並繼續告訴我,我的BIOS真的已經過時了,並且自2006年以來一直沒有更新,完全忽略了我的BIOS是“VirtualBox”......但慢慢地這些碎片開始落實到位。當我拿到電腦時,他開始問我,當我最後一次更新電腦時。他正在竭盡全力賣給我,但此時我笑得像個瘋子一樣試圖掩蓋手機,所以他沒有註意到。

他注意到虛擬機只有1.49 GB的RAM,當然不是正常的,而且在真正的計算機中並不完全可能。他還在試著告訴我,我的電腦出了問題,但他一直在困擾著RAM,然後他意識到如果我“剛買了PC”,它就不會有2006年的BIOS了。

我不能再忍受了,所以我只是問他“這個騙局真的讓你付175美元嗎?”。他知道夾具已經啟動,並且開始緊張地笑了一會兒,但是他拒絕打破角色或者給我更多信息。他開始問為什麼我在指責他試圖欺騙任何人。他只是想幫我清除計算機上的病毒和木馬。有趣的是,他開始從字典中讀出“詐騙”的定義,然後告訴我,我是個騙子。他一直都知道我是一個電腦人。

薩克拉門託說,我開始問他到底在哪裡。我指出他的區號來自亞特蘭大,他說他沒有時間回答愚蠢的問題。我問他是否真的來自微軟,就像他聲稱的那樣。那是他指出的時候 從來沒有說過任何類似的東西。他從未向我索要過我的信用卡或試圖讓我搞砸錢。他沒有做錯任何事。如果這是一個騙局,他為什麼建議我把它送到維修店? (他重複了至少10次。這不是巧合)。這就是他堅持至少15分鐘試圖讓他承認的比賽什麼 關於他的操作。

你看,第一個人打電話並聲稱他來自“Windows”並且你有病毒。然後第二個人讓你連接,然後第三個人告訴你這將花費你的錢,並轉移給我們認為會拿你的錢的第四個人,對你的電腦沒有任何用處,可能安裝特洛伊木馬它,然後讓你感覺像一個吸盤。

這就是我如何浪費41分鐘與騙子玩耍的故事。

Link
Plus
Send
Send
Pin