{"id":1164,"date":"2024-01-10T18:08:28","date_gmt":"2024-01-10T16:08:28","guid":{"rendered":"https:\/\/edt.blogdns.net\/wordpress\/?p=1164"},"modified":"2025-01-06T19:47:05","modified_gmt":"2025-01-06T17:47:05","slug":"arnaque-au-support-telephonique-suite","status":"publish","type":"post","link":"https:\/\/edt.blogdns.net\/wordpress\/2024\/01\/10\/arnaque-au-support-telephonique-suite\/","title":{"rendered":"Arnaque au support t\u00e9l\u00e9phonique (suite)"},"content":{"rendered":"\n

R\u00e9cemment j’ai d\u00e9pann\u00e9 un ami <\/bdo>victime d’une arnaque de type TechScam<\/strong>: Un faux-support technique demande d’appeler un certain num\u00e9ro ou de t\u00e9l\u00e9charger un pseudo logiciel de s\u00e9curit\u00e9. La strat\u00e9gie malveillante utilis\u00e9e consiste \u00e0 faire appara\u00eetre un message cr\u00e9dible (Microsoft – aide au d\u00e9pannage) suite \u00e0 un blocage du syst\u00e8me (MS Windows) lors de la phase de d\u00e9marrage ou suite \u00e0 un blocage sur une page du navigateur. <\/p>\n\n\n\n

L’attaque<\/h3><\/div>\n\n\n\n

<\/p>\n\n\n\n

En r\u00e9sum\u00e9, voici ce qui est advenu \u00e0 la victime, en cours de navigation sur le web. Un \u00e9cran bleu (Blue Screen of Death) appara\u00eet apr\u00e8s le blocage du navigateur et un message sign\u00e9 Microsoft est affich\u00e9 proposant d’appeler un num\u00e9ro de t\u00e9l\u00e9phone pour un d\u00e9pannage en ligne. Impossible alors de fermer le navigateur par action sur l\u2019ic\u00f4ne de fermeture habituel.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

La machine paraissant bloqu\u00e9e, le sentiment d’impuissance s’installe et la proposition d’assistance en ligne semble une solution cr\u00e9dible (Le logo Microsoft suscite la confiance). Bien entendu le pr\u00e9tendu service d’assistance en ligne n’a rien \u00e0 voir avec Microsoft. <\/p>\n\n\n\n

L’appel au num\u00e9ro de t\u00e9l\u00e9phone indiqu\u00e9 sur la fen\u00eatre d’aide, \u00e9tabli un contact avec un technicien qui propose d’installer les logiciels n\u00e9cessaires \u00e0 la r\u00e9paration. Il s’agit entre autres de ScreenConnect<\/strong> et de PC Privacy Shield<\/strong>. Ensuite pour finaliser le d\u00e9pannage le technicien demande les donn\u00e9es bancaires, en particulier le RIB. Il demande ensuite une certaine somme d’argent pour nettoyer l’infection.<\/p>\n\n\n\n

Pendant l’\u00e9change t\u00e9l\u00e9phonique un certain nombre de donn\u00e9es personnelles sont pirat\u00e9es, en particulier tous les identifiants et mots de passe des abonnements aux services d\u00e9mat\u00e9rialis\u00e9s. Parmi ces derniers, les identifiants et mots de passe du compte bancaire de la victime. Mon ami victime de l’attaque a r\u00e9agi quand il a vu d\u00e9fil\u00e9 ses identifiants et mots de passe dans la fen\u00eatre ouverte par PC Privacy Shield. Il a alors d\u00e9cid\u00e9 de couper la communication t\u00e9l\u00e9phonique avec le service d’assistance.<\/p>\n\n\n\n

\n\n\n\n

Explication<\/strong>: Par d\u00e9faut, tous les navigateurs internet (Firefox<\/a>, Google Chrome<\/a>, Internet Explorer<\/a> ou Edge<\/a>) stockent vos mots de passe en clair.
Cela permet de proposer des gestionnaires de mots de passe capables de remplir les formulaires de connexion automatiquement.
Si cela facilite l\u2019utilisation du WEB au quotidien, il existe un revers : il est possible de voler les mots de passe du navigateu<\/strong><\/em>r internet.<\/em><\/strong><\/p>\n\n\n\n

\n\n\n\n

C’\u00e9tait d\u00e9j\u00e0 trop tard, la victime ayant semble-t-il communiqu\u00e9 son RIB. De plus les identifiants et mots de passe des abonnements aux services web \u00e9taient probablement d\u00e9j\u00e0 arriv\u00e9s dans des mains malveillantes. Dans le cas d’une arnaque \u00e0 l’assistance t\u00e9l\u00e9phonique le service malveillant cherche \u00e0 vendre une prestation au prix fort. En g\u00e9n\u00e9ral, \u00e0 ma connaissance le vol des identifiants et mots de passe, ne faisait pas jusqu’\u00e0 maintenant partie de ce type d’arnaque. <\/p>\n\n\n\n

Nature et faiblesse de l’attaque<\/h3><\/div>\n\n\n\n

<\/p>\n\n\n\n

Cette version ancienne de l’arnaque utilise le blocage du navigateur web. Elle fonctionne de la fa\u00e7on suivante:<\/p>\n\n\n\n

\n
<\/path><\/svg><\/span>Elle est diffus\u00e9e par des publicit\u00e9s depuis des sites web<\/span><\/div>\n\n\n\n
<\/path><\/svg><\/span>Elle bloque le navigateur WEB, boucle de popup, passage en plein \u00e9cran, popup d\u2019authentification. Le but est de vous emp\u00eacher de cliquer sur la croix de fermeture<\/span><\/div>\n\n\n\n
<\/path><\/svg><\/span>Elle tente de se faire passer pour Microsoft, afin de vous faire mettre en relation avec un soit-disant technicien Microsoft : logo, message de Windows ou Microsoft. Certaines affiches de fausses pages de MS Defender.<\/span><\/div>\n<\/div><\/div>\n\n\n\n

Cette version a \u00e9volu\u00e9 vers une version utilisant le blocage de l’ouverture du syst\u00e8me (MS Windows). L’utilisation du trojan Winlock a permis cette \u00e9volution. Cette nouvelle version est plus efficace car elle suscite plus de stress chez l’utilisateur qui ne sait pas comment red\u00e9marrer son \u00e9quipement. Dans le cas de mon ami victime de l’arnaque il suffisait de recourir au gestionnaire de t\u00e2ches pour tuer le navigateur. Il \u00e9tait alors possible de continuer \u00e0 utiliser l’\u00e9quipement.<\/p>\n\n\n\n

Actions \u00e0 entreprendre pour \u00e9viter l’utilisation frauduleuse du compte bancaire et des comptes d’abonnement aux autres services<\/strong><\/mark><\/h3><\/div>\n\n\n\n

<\/p>\n\n\n\n

Comptes bancaires<\/strong>: changer les mots de passe, demander \u00e0 la banque une opposition sur les virements ou pr\u00e9l\u00e8vements douteux. <\/p>\n\n\n\n

Comptes d’abonnement aux autres services web:<\/strong> Changer les mots de passe.<\/p>\n\n\n\n

Nettoyage du syst\u00e8me<\/h3><\/div>\n\n\n\n

<\/p>\n\n\n\n

Dans le cas pr\u00e9sent, il faut supprimer Privacy Shield <\/strong>et Screen Connect<\/strong>:<\/p>\n\n\n\n

\n
\n
<\/path><\/svg><\/span>T\u00e9l\u00e9charger et installer \u00ab\u00a0MalwareBytes\u00a0\u00bb, logiciel de d\u00e9tection et de suppression de Malware. Lancer MalwareBytes apr\u00e8s installation. Apr\u00e8s scan du syst\u00e8me, mettre en quarantaine tous les logiciels malveillants d\u00e9tect\u00e9s (Screen Connect en fait partie, probablement).<\/span><\/div>\n\n\n\n
<\/path><\/svg><\/span>D\u00e9sinstaller PC Privacy Shield et Screen Connect (m\u00e9thode normale de d\u00e9sinstallation de logiciel Windows). Rechercher les fichiers ex\u00e9cutables de ces deux logiciels si la d\u00e9sinstallation normale est impossible et les effacer. Nettoyer le registre syst\u00e8me des cl\u00e9s utilisant les termes \u00ab\u00a0Privacy Shield\u00a0\u00bb et ensuite \u00ab\u00a0Screen Connect\u00a0\u00bb en utilisant la commande regedit<\/strong> <\/span><\/div>\n\n\n\n
<\/path><\/svg><\/span>Installer un ou des bloqueurs de publicit\u00e9 comme extensions (add on) du navigateur (ou des navigateurs) internet. MalwareBytes est une des extensions conseill\u00e9es (elle est gratuite).<\/span><\/div>\n\n\n\n
<\/path><\/svg><\/span>Prot\u00e9ger les mots de passe de vos comptes aux services web enregistr\u00e9s en clair par votre navigateur par un mot de passe principal (en passant par le menu \u00ab\u00a0param\u00e8tres\u00a0\u00bb, puis \u00ab\u00a0vie priv\u00e9e et s\u00e9curit\u00e9\u00a0\u00bb, dans Firefox):<\/span><\/div>\n<\/div><\/div>\n<\/div><\/div>\n\n\n\n
\"\"\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button>
Mot de passe g\u00e9n\u00e9ral dans Firefox<\/bdo><\/em><\/figcaption><\/figure>\n\n\n\n
<\/div><\/div>\n\n\n\n

Bien entendu, par la suite il faudra proc\u00e9der r\u00e9guli\u00e8rement aux mises \u00e0 jour de s\u00e9curit\u00e9 du syst\u00e8me, utiliser des bloqueurs de pub dans le navigateur et prendre les pr\u00e9cautions \u00ab\u00a0normales\u00a0\u00bb pour un usage s\u00e9curis\u00e9 des services web et de votre courrier \u00e9lectronique.<\/em><\/p>\n\n\n\n

Vous pouvez en plus signaler la malveillance sur le site: https:\/\/www.internet-signalement.gouv.fr\/<\/em><\/p>\n\n\n\n

<\/div><\/div>\n\n\n\n

Et Voila.<\/p>\n","protected":false},"excerpt":{"rendered":"

R\u00e9cemment j’ai d\u00e9pann\u00e9 un ami victime d’une arnaque de type TechScam: Un faux-support technique demande d’appeler un certain num\u00e9ro ou de t\u00e9l\u00e9charger un pseudo logiciel de s\u00e9curit\u00e9. La strat\u00e9gie malveillante utilis\u00e9e consiste \u00e0 faire appara\u00eetre un message cr\u00e9dible (Microsoft – aide au d\u00e9pannage) suite \u00e0 un blocage du syst\u00e8me (MS Windows) lors de la phase … Continuer la lecture de « Arnaque au support t\u00e9l\u00e9phonique (suite) »<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_uag_custom_page_level_css":"","footnotes":""},"categories":[18,13,8],"tags":[39,30],"class_list":["post-1164","post","type-post","status-publish","format-standard","hentry","category-depannage-mise-a-niveau","category-internet","category-vie-privee","tag-imposture","tag-internet"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false},"uagb_author_info":{"display_name":"marc","author_link":"https:\/\/edt.blogdns.net\/wordpress\/author\/marc_taviaux\/"},"uagb_comment_info":0,"uagb_excerpt":"R\u00e9cemment j’ai d\u00e9pann\u00e9 un ami victime d’une arnaque de type TechScam: Un faux-support technique demande d’appeler un certain num\u00e9ro ou de t\u00e9l\u00e9charger un pseudo logiciel de s\u00e9curit\u00e9. La strat\u00e9gie malveillante utilis\u00e9e consiste \u00e0 faire appara\u00eetre un message cr\u00e9dible (Microsoft – aide au d\u00e9pannage) suite \u00e0 un blocage du syst\u00e8me (MS Windows) lors de la phase\u2026","_links":{"self":[{"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/posts\/1164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/comments?post=1164"}],"version-history":[{"count":21,"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/posts\/1164\/revisions"}],"predecessor-version":[{"id":1203,"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/posts\/1164\/revisions\/1203"}],"wp:attachment":[{"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/media?parent=1164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/categories?post=1164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/edt.blogdns.net\/wordpress\/wp-json\/wp\/v2\/tags?post=1164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}