Arnaque au support téléphonique (suite)

Récemment j’ai dépanné un ami victime d’une arnaque de type TechScam: Un faux-support technique demande d’appeler un certain numéro ou de télécharger un pseudo logiciel de sécurité. La stratégie malveillante utilisée consiste à faire apparaître un message crédible (Microsoft – aide au dépannage) suite à un blocage du système (MS Windows) lors de la phase de démarrage ou suite à un blocage sur une page du navigateur.

L’attaque

En résumé, voici ce qui est advenu à la victime, en cours de navigation sur le web. Un écran bleu (Blue Screen of Death) apparaît après le blocage du navigateur et un message signé Microsoft est affiché proposant d’appeler un numéro de téléphone pour un dépannage en ligne. Impossible alors de fermer le navigateur par action sur l’icône de fermeture habituel.

La machine paraissant bloquée, le sentiment d’impuissance s’installe et la proposition d’assistance en ligne semble une solution crédible (Le logo Microsoft suscite la confiance). Bien entendu le prétendu service d’assistance en ligne n’a rien à voir avec Microsoft.

L’appel au numéro de téléphone indiqué sur la fenêtre d’aide, établi un contact avec un technicien qui propose d’installer les logiciels nécessaires à la réparation. Il s’agit entre autres de ScreenConnect et de PC Privacy Shield. Ensuite pour finaliser le dépannage le technicien demande les données bancaires, en particulier le RIB. Il demande ensuite une certaine somme d’argent pour nettoyer l’infection.

Pendant l’échange téléphonique un certain nombre de données personnelles sont piratées, en particulier tous les identifiants et mots de passe des abonnements aux services dématérialisés. Parmi ces derniers, les identifiants et mots de passe du compte bancaire de la victime. Mon ami victime de l’attaque a réagi quand il a vu défilé ses identifiants et mots de passe dans la fenêtre ouverte par PC Privacy Shield. Il a alors décidé de couper la communication téléphonique avec le service d’assistance.

Explication: Par défaut, tous les navigateurs internet (Firefox, Google Chrome, Internet Explorer ou Edge) stockent vos mots de passe en clair.
Cela permet de proposer des gestionnaires de mots de passe capables de remplir les formulaires de connexion automatiquement.
Si cela facilite l’utilisation du WEB au quotidien, il existe un revers : il est possible de voler les mots de passe du navigateur internet.

C’était déjà trop tard, la victime ayant semble-t-il communiqué son RIB. De plus les identifiants et mots de passe des abonnements aux services web étaient probablement déjà arrivés dans des mains malveillantes. Dans le cas d’une arnaque à l’assistance téléphonique le service malveillant cherche à vendre une prestation au prix fort. En général, à ma connaissance le vol des identifiants et mots de passe, ne faisait pas jusqu’à maintenant partie de ce type d’arnaque.

Nature et faiblesse de l’attaque

Cette version ancienne de l’arnaque utilise le blocage du navigateur web. Elle fonctionne de la façon suivante:

Elle est diffusée par des publicités depuis des sites web
Elle bloque le navigateur WEB, boucle de popup, passage en plein écran, popup d’authentification. Le but est de vous empêcher de cliquer sur la croix de fermeture
Elle tente de se faire passer pour Microsoft, afin de vous faire mettre en relation avec un soit-disant technicien Microsoft : logo, message de Windows ou Microsoft. Certaines affiches de fausses pages de MS Defender.

Cette version a évolué vers une version utilisant le blocage de l’ouverture du système (MS Windows). L’utilisation du trojan Winlock a permis cette évolution. Cette nouvelle version est plus efficace car elle suscite plus de stress chez l’utilisateur qui ne sait pas comment redémarrer son équipement. Dans le cas de mon ami victime de l’arnaque il suffisait de recourir au gestionnaire de tâches pour tuer le navigateur. Il était alors possible de continuer à utiliser l’équipement.

Actions à entreprendre pour éviter l’utilisation frauduleuse du compte bancaire et des comptes d’abonnement aux autres services

Comptes bancaires: changer les mots de passe, demander à la banque une opposition sur les virements ou prélèvements douteux.

Comptes d’abonnement aux autres services web: Changer les mots de passe.

Nettoyage du système

Dans le cas présent, il faut supprimer Privacy Shield et Screen Connect:

Télécharger et installer « MalwareBytes », logiciel de détection et de suppression de Malware. Lancer MalwareBytes après installation. Après scan du système, mettre en quarantaine tous les logiciels malveillants détectés (Screen Connect en fait partie, probablement).
Désinstaller PC Privacy Shield et Screen Connect (méthode normale de désinstallation de logiciel Windows). Rechercher les fichiers exécutables de ces deux logiciels si la désinstallation normale est impossible et les effacer. Nettoyer le registre système des clés utilisant les termes « Privacy Shield » et ensuite « Screen Connect » en utilisant la commande regedit
Installer un ou des bloqueurs de publicité comme extensions (add on) du navigateur (ou des navigateurs) internet. MalwareBytes est une des extensions conseillées (elle est gratuite).
Protéger les mots de passe de vos comptes aux services web enregistrés en clair par votre navigateur par un mot de passe principal (en passant par le menu « paramètres », puis « vie privée et sécurité », dans Firefox):
Mot de passe général dans Firefox

Bien entendu, par la suite il faudra procéder régulièrement aux mises à jour de sécurité du système, utiliser des bloqueurs de pub dans le navigateur et prendre les précautions « normales » pour un usage sécurisé des services web et de votre courrier électronique.

Vous pouvez en plus signaler la malveillance sur le site: https://www.internet-signalement.gouv.fr/

Et Voila.

Auteur/autrice : marc

Retraité et hobbyiste (Photographe numérique amateur, rétrofiteur d'équipements informatiques, etc..). Dans ma vie active j'étais consultant dans le domaine de la certification CE d'équipements industriels. C'est durant cette période que j'ai eu à conseiller de nombreux constructeurs (principalement d'Amérique du Nord) sur la conception et la construction d'équipements destinés à être utilisés en Europe. L'intégration de l'informatique dans la conception des systèmes de commande et son influence sur la sécurité des utilisateurs fut un des gros sujets de débat (et parfois de conflit) entre les ingénieurs des fabricants et moi même.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *