Étiquette : imposture

Arnaque au support téléphonique (suite)

Récemment j’ai dépanné un ami victime d’une arnaque de type TechScam: Un faux-support technique demande d’appeler un certain numéro ou de télécharger un pseudo logiciel de sécurité. La stratégie malveillante utilisée consiste à faire apparaître un message crédible (Microsoft – aide au dépannage) suite à un blocage du système (MS Windows) lors de la phase de démarrage ou suite à un blocage sur une page du navigateur.

L’attaque

En résumé, voici ce qui est advenu à la victime, en cours de navigation sur le web. Un écran bleu (Blue Screen of Death) apparaît après le blocage du navigateur et un message signé Microsoft est affiché proposant d’appeler un numéro de téléphone pour un dépannage en ligne. Impossible alors de fermer le navigateur par action sur l’icône de fermeture habituel.

La machine paraissant bloquée, le sentiment d’impuissance s’installe et la proposition d’assistance en ligne semble une solution crédible (Le logo Microsoft suscite la confiance). Bien entendu le prétendu service d’assistance en ligne n’a rien à voir avec Microsoft.

L’appel au numéro de téléphone indiqué sur la fenêtre d’aide, établi un contact avec un technicien qui propose d’installer les logiciels nécessaires à la réparation. Il s’agit entre autres de ScreenConnect et de PC Privacy Shield. Ensuite pour finaliser le dépannage le technicien demande les données bancaires, en particulier le RIB. Il demande ensuite une certaine somme d’argent pour nettoyer l’infection.

Pendant l’échange téléphonique un certain nombre de données personnelles sont piratées, en particulier tous les identifiants et mots de passe des abonnements aux services dématérialisés. Parmi ces derniers, les identifiants et mots de passe du compte bancaire de la victime. Mon ami victime de l’attaque a réagi quand il a vu défilé ses identifiants et mots de passe dans la fenêtre ouverte par PC Privacy Shield. Il a alors décidé de couper la communication téléphonique avec le service d’assistance.

Explication: Par défaut, tous les navigateurs internet (Firefox, Google Chrome, Internet Explorer ou Edge) stockent vos mots de passe en clair.
Cela permet de proposer des gestionnaires de mots de passe capables de remplir les formulaires de connexion automatiquement.
Si cela facilite l’utilisation du WEB au quotidien, il existe un revers : il est possible de voler les mots de passe du navigateur internet.

C’était déjà trop tard, la victime ayant semble-t-il communiqué son RIB. De plus les identifiants et mots de passe des abonnements aux services web étaient probablement déjà arrivés dans des mains malveillantes. Dans le cas d’une arnaque à l’assistance téléphonique le service malveillant cherche à vendre une prestation au prix fort. En général, à ma connaissance le vol des identifiants et mots de passe, ne faisait pas jusqu’à maintenant partie de ce type d’arnaque.

Nature et faiblesse de l’attaque

Cette version ancienne de l’arnaque utilise le blocage du navigateur web. Elle fonctionne de la façon suivante:

Elle est diffusée par des publicités depuis des sites web
Elle bloque le navigateur WEB, boucle de popup, passage en plein écran, popup d’authentification. Le but est de vous empêcher de cliquer sur la croix de fermeture
Elle tente de se faire passer pour Microsoft, afin de vous faire mettre en relation avec un soit-disant technicien Microsoft : logo, message de Windows ou Microsoft. Certaines affiches de fausses pages de MS Defender.

Cette version a évolué vers une version utilisant le blocage de l’ouverture du système (MS Windows). L’utilisation du trojan Winlock a permis cette évolution. Cette nouvelle version est plus efficace car elle suscite plus de stress chez l’utilisateur qui ne sait pas comment redémarrer son équipement. Dans le cas de mon ami victime de l’arnaque il suffisait de recourir au gestionnaire de tâches pour tuer le navigateur. Il était alors possible de continuer à utiliser l’équipement.

Actions à entreprendre pour éviter l’utilisation frauduleuse du compte bancaire et des comptes d’abonnement aux autres services

Comptes bancaires: changer les mots de passe, demander à la banque une opposition sur les virements ou prélèvements douteux.

Comptes d’abonnement aux autres services web: Changer les mots de passe.

Nettoyage du système

Dans le cas présent, il faut supprimer Privacy Shield et Screen Connect:

Télécharger et installer « MalwareBytes », logiciel de détection et de suppression de Malware. Lancer MalwareBytes après installation. Après scan du système, mettre en quarantaine tous les logiciels malveillants détectés (Screen Connect en fait partie, probablement).
Désinstaller PC Privacy Shield et Screen Connect (méthode normale de désinstallation de logiciel Windows). Rechercher les fichiers exécutables de ces deux logiciels si la désinstallation normale est impossible et les effacer. Nettoyer le registre système des clés utilisant les termes « Privacy Shield » et ensuite « Screen Connect » en utilisant la commande regedit
Installer un ou des bloqueurs de publicité comme extensions (add on) du navigateur (ou des navigateurs) internet. MalwareBytes est une des extensions conseillées (elle est gratuite).
Protéger les mots de passe de vos comptes aux services web enregistrés en clair par votre navigateur par un mot de passe principal (en passant par le menu « paramètres », puis « vie privée et sécurité », dans Firefox):
Mot de passe général dans Firefox

Bien entendu, par la suite il faudra procéder régulièrement aux mises à jour de sécurité du système, utiliser des bloqueurs de pub dans le navigateur et prendre les précautions « normales » pour un usage sécurisé des services web et de votre courrier électronique.

Vous pouvez en plus signaler la malveillance sur le site: https://www.internet-signalement.gouv.fr/

Et Voila.

Imposture numérique

En cette période de coupe du monde de Football l’appétit des amateurs de ce sport pour les moyens de visionnage des matchs en direct est décuplé. Les commerçants sont à l’affût et des efforts financiers ont été consentis en amont par les diffuseurs pour négocier la retransmission de ces directs. Le sport de façon générale et les évènements sportifs majeurs sont un produit d’appel pour les chaînes de diffusion par abonnement (exemple: canal+ dans ses années fastes). C’est aussi un support marketing de façon plus générale.

Une question inattendue m’a été posée aujourd’hui par un ami qui n’a pas envie de dépenser une partie de sa pension de retraité dans des abonnements à des services de diffusion. Voici la question:

La RTBF diffuse gratuitement pour ses ressortissants belges tous les matchs de la coupe du monde et nombre d’événements sportifs payants sur les chaînes françaises. J’ai essayé d’ouvrir un compte avec une fausse vraie adresse d’une maison en Belgique mais ça ne marche pas. J’ai cru lire que il faut un téléphone belge ou une identification IP belge. Est ce à supposer que l’achat d’une tablette en Belgique pourrait me permettre de devenir un faux « vrai belge » aux yeux de la RTBF.

La réponse à cette question passe par une approche technique de l’identification des clients sur l’internet. Les FAI (Fournisseurs d’Accès Internet) nationaux utilisent des plages d’adresses IP qui sont attribuées par l’ICAAN. Le rôle de l’ICANN n’est pas de gérer le système mais d’aider à coordonner les attributions d’adresses IP pour éviter les doublons et les plantages. L’ICANN est également un référentiel central d’adresses IP, à partir duquel des plages d’adressage sont fournies aux registres régionaux, qui les distribuent à leur tour aux fournisseurs d’accès. Considérant ce schéma d’attribution des adresses IP aux FAI nationaux, il devient clair qu’une adresse IP permet de savoir dans quel pays réside le client. Pour ce qui concerne la discrimination entre citoyen résident Belge et reste du monde, c’est bien l’adresse IP qui est prise comme référence. C’est valable aussi bien pour une connexion fixe que pour les mobiles.

Pour profiter de la diffusion des chaînes belges sur internet il faut donc utiliser une connexion avec adresse IP identifiée en Belgique. Pour cela il faut utiliser les services d’un VPN (Virtual Private Network). Un service VPN permet de récupérer une adresse IP Belge (si des serveurs du fournisseur du service VPN sont installés en Belgique) et de rendre invisible votre propre adresse. C’est une façon de masquer sa propre adresse IP en passant par un intermédiaire, au travers d’une liaison cryptée. C’est utilisé par les citoyens qui veulent profiter des services de diffuseurs étrangers (comptes Netflix avec programmes USA, par exemple) ou par les citoyens qui veulent masquer leur adresse IP réelle pour d’autres raisons….

Bien entendu le recours à un service VPN n’est pas gratuit. Une comparaison récente des meilleurs VPN accessibles en France est donnée par le CNET ici. Pour donner une référence: NordVPN est un des mieux placés avec un abonnement à 2,99 € / mois. À noter que NordVPN compte 5448 serveurs stationnés dans 59 pays (en 2022).

Je suis désolé de ne pouvoir proposer d’autres solutions plus économiques, mais franchement le VPN est LA solution.

Et voila.