Vous êtes ici

Comment j'ai convaincu un arnaqueur de s'infecter avec Locky

Portrait de ivan
tech support scam webpage

Il y a quelques jours, j'ai reçu un appel paniqué de mes parents qui avaient atterri sur cette page web (aujourd'hui inaccessible, mais voici un screenshot). Celle-ci les avertissait du fait qu'ils étaient infectés par Zeus. Ce tas d'HTML atroce avait tout pour lui : un message audio en lecture automatique, des alertes JavaScript infinies, et même un arrière plan bleu-BSoD parsemé de noms de fichiers cryptiques pour nous rappeler les bons vieux jours de Windows. Malgré celà, la page affichait une adresse IP aléatoire au lieu de mettre celle du visiteur.

Premier appel :

Après que tout le monde ait bien rigolé sur Twitter, j'ai décidé de passer un petit coup de téléphone à ce soi-disant "support technique" pour en apprendre plus sur leur opération. J'ai donc lancé une VM sous Windows XP qui trainait et composé leur numéro.
Je suis accueilli par un message vocal, puis Patricia prend mon appel. J'essaie en premier lieu de lui faire miroiter un gros coup en expliquant que je souhaite régler le problème au plus vite, car je suis un homme d'affaire sur le point de finaliser un très gros contrat. Malheureusement pour moi, elle ne parle pas très bien Français et a du mal à s'éloigner de son script. Elle me décrit une suite d'étapes qui me conduit à télécharger un logiciel d'assistance à distance : Windows+R, taper iexplore remote.join360.net, quelques autres bricoles et puis exécuter le programme proposé. En première instance, il semble s'agir d'un logiciel de support légitime, car sa signature électronique est valide.

Les choses amusantes commencent. Patricia lance cmd.exe sans s'étonner des icônes d'OllyDbg et IDA (des outils d'analyse qui ne sont utilisés que par des experts en sécurité informatique) qui traînent sur le bureau. Sans doute pour m'impressionner, elle exécute un dir /s (un simple listing des fichiers) et prétend que les dates correspondent à mes derniers logins sur le système. Les documents qui défilent, eux, sont "ceux que j'ai ouverts récemment". Je feins l'admiration et tape discrètement CTRL+C dans la console pour interrompre la commande et gagner du temps. Patricia tape ensuite "1452 virus trouvés" puis "ip hacked". Elle me demande quel logiciel anti-virus j'utilise. Je réponds aucun : ils sont trop chers, et @taviso n'arrête pas de les péter de toute manière. La référence lui échappe, mais ça ne l'empêche pas de me gronder.
Quelque chose de surprenant se produit : elle me dit que mes 15 minutes de support gratuit sont écoulées, mais qu'elle va me rappeler afin que nous puissions continuer sans frais - et elle me rappelle quelques minutes plus tard, avec un numéro pennsylvanien (+1-267-460-7257). Elle reprend ses reproches au sujet de mon dédain manifeste pour les règles élémentaires de l'hygiène informatique, et arrive à la conclusion suivante : mon ordinateur est infecté et requiert un nettoyage. Elle m'invite à acheter ANTI SPY ou ANTI TROJAN pour seulement 189.90$. Avant même que je puisse sortir ma carte bleue, elle revient dans le terminal, tape netstat et affirme que quelqu'un est connecté à mon ordinateur à ce moment même !


"Regardez dans le terminal ! 1452 virus trouvés ! "Commande introuvable" est aussi un signe que la machine est infectée !"
Au passage, je suspecte 115.115.67.53 d'être sa véritable adresse IP.

— Ce n'est pas vous ? demandé-je. L'adresse est localisée à Delhi.
Un silence. Elle me dit que c'est en réalité la ligne "localhost" qui correspond à son intervention, parce que "localhost signifie connexion sécurisée". Je proteste :
— Vous en êtes sûre ? Je croyais que ça voulait dire "machine locale".
Elle marmonne un peu, me relit texto la section courante de son script, et affirme une nouvelle fois que cette autre adresse IP appartient à quelqu'un qui habite à Delhi, comme elle, mais quelqu'un d'autre : un hacker sans nul doute. A ce stade, il me semble devoir préciser que je n'invente rien.
— C'est d'accord, reprends-je, je veux bien acheter votre truc. Est-ce qu'on peut le trouver à la FNAC ?
Elle semble agacée :
— Je ne sais pas si on peut l'acheter à Paris, répond-elle dans son français haché. Il s'agit d'un programme exclusif qui n'est distribué que par les partenaires de Microsoft et via leurs canaux sécurisés.
— Oh, je peux l'acheter sur microsoft.com alors ?
— ...Oui.
— Parfait alors.
— Parfait.
— ...
— Vous aviez d'autres questions ? Non ? Merci, et au revoir.

Deuxième appel :

Je présume que ce n'est pas la manière standard d'arnaquer les gens. Ce devait être une stagiaire arnaqueuse, ou quelque chose comme ça. A ce moment-là, je réalise que certains des screenshots que j'ai pris ne conviennent pas. J'attends donc une petite demi-heure et rappelle, prévoyant de prétexter que je ne trouve pas le logiciel décrit sur le site officiel de Microsoft. Cependant, c'est un nouvel opérateur qui décroche : Dileep. Je suis obligé de subir toute la procédure une fois de plus. Dileep semble beaucoup plus à l'aise avec son script et ajoute quelques touches personnelles, comme ouvrir la liste des services Windows et me montrer qu'une grande partie d'entre eux sont arrêtés, ce qui n'est "pas du tout normal". Sa conclusion est la même : ma machine est infectée, il l'a nettoyée gratuitement mais recommande l'achat d'un abonnement Tech Protection pour que je n'aie plus jamais de virus de ma vie. Son package coûte 299.99€, mais comme il semble plus expérimenté que Patricia, pourquoi pas. J'accepte de mettre la main au portefeuille et me dépêche de trouver des numéros de test pour carte bleue. Evidemment, le prestataire de traitement des paiements rejette la transaction et nous réessayons quatre ou cinq fois. Je finis par suggérer d'utiliser ma seconde carte bleue et pioche un autre numéro valide (du point de vue de l'algorithme de Luhn en tout cas) dans la liste. Dileep me fait recommencer une bonne dizaine de fois avec les deux cartes. Je fais l'idiot. Pendant ce temps-là, j'entends dans le bruit de fond d'autres opérateurs qui répètent numéros de carte bleue et CVVs à voix haute. Probablement une violation de la norme PCI-DSS. Soudain, j'ai un éclair de génie : j'ouvre le dossier spam de ma boîte mail où attendent de mourir des pourriels de la dernière campagne Locky. Je prends un fichier joint au hasard (ces archives zip qui contiennent un script JS téléchargeant un ransomware) et le dépose dans ma VM. Le client d'assistance à distance que Dileep m'a fait installer a une fonctionnalité de partage de fichiers. Je lui uploade l'archive et dis :
— J'ai pris une photo de ma carte bleue, est-ce que vous pourriez essayer de taper les numéros vous-même ? Peut-être que ça marchera.
Au début, il m'ignore. Il me fait taper mes informations bancaires encore et encore (points bonus pour la persévérance), jusqu'à ce que je mette le holà :
— Ecoutez Dileep, je suis vieux et ma vue n'est pas très bonne. Ça commence à me faire mal à la tête de me concentrer pour lire ces petits numéros, et je crois avoir prouvé que je ne suis pas à l'aise avec les ordinateurs de toute manière. Vous ne voulez pas me donner un coup de main ?
Il ne dit rien pendant un moment, et revient vers moi :
— J'ai essayé d'ouvrir votre photo, mais il ne se passe rien.
Je fournis un effort surhumain pour ne pas exploser de rire.
— Vous êtes certain ? Vous utilisez bien Windows, hein ? Des fois, mes photos ne veulent pas s'afficher sur les Mac.
— Oui, confirme-t-il. Vos images doivent être corrompues à cause du virus. C'est pour ça qu'il vous faut une protection.

Et, tandis qu'un processus chiffre silencieusement son système de fichiers, nous essayons quelques fois de plus de valider la commande avec mes numéros de carte bleue aléatoires. Il finit par renoncer, m'invite à appeler ma banque pour tirer la situation au clair et promet de rappeler le lundi suivant.

En conclusion, quand on tombe sur une arnaque de ce type, il me semble que l'acte civique est de prétendre qu'on est dupe. Ma logique est la suivante : les arnaqueurs n'ont pas la possibilité de faire la différence entre les véritables victimes et ceux qui font semblant : leur business plan part du principe que seuls les gens les plus crédules vont mordre à l'hameçon. Si en revanche une pluie de faux pigeons s'abattait sur eux, leur charge de travail augmenterait tellement que leurs arnaques ne seraient plus profitables. Si vous parlez français, je vous invite donc à prendre 15 minutes de votre temps, les appeler au +339 75 18 77 63 et les pousser à faire quelque chose de drôle.

Commentaires

Merci pour ce moment de franche rigolade ! Je crois que je vais installer une VM windows rien que pour ça.

Merci pour tous !

J'ai pas bien rigolé.

Bravo! Belle initiative, cela rapelle aussi les arnaques sur des pages web ouvertes avec Android qui utilisent un bout de js pour faire vibrer le téléphone et forcant l'installation d'une application de nettoyage!

Sinon je suis venu par ici :
http://www.bbc.com/news/technology-37084009

Well done! ;-)

Bonjour , Ce n'est pas un numéro surtaxé ce 09 ?

Portrait de ivan

Non, il s'agit d'un numéro fixe et il n'est pas surtaxé !

Bravo, j'ai bien ri...
Et donc (je suis profane), il va se passer quoi ensuite dans l'ordinateur de cet arroseur arrosé ?

Portrait de ivan

Si tout s'est bien passé, les documents de l'arnaqueur seront chiffrés et inutilisables. Une réinstallation complète du système sera nécessaire.

Il me semble qu'il est toujours possible de récupérer la clé de déchiffrement d'un locky avec ftkimager et volatility .... Enfin ce n'est pas un débutant qui pourrait faire cela, ils ont probablement du réinstaller complètement leur machine. Mais bien joué, quoi qu'il en soit tu leur a fait perdre pas mal de temps :)

Excellent !

Bonjour,
Un grand moment de rigolade...j'ai réussi à tenir 15 mn après j'ai envoyé boulé le pirate (support MS).Très fort l'upload :)

Salut Ivan
Ta mere m'a tout expliqué et j'ai bien rigole, je te dis bravo
Bises

Tiens, ils utilisent BOMGAR, une appliction de prise de main à distance, partage de fichier, tchat... La même qu'on utilise au boulot.
Jolie histoire en tout cas.

Bonjour,
Alors je dis "Bravo".
Tu as eu une excellente idée.
J'aurai bien aimé être une petite souris pour voir comment s'est passé la suite chez eux.

Du coup, cela me donne envie de faire pareil. Je suis un passionné de sécurité, et j'aimerais voir à quel points ils peuvent être crédules et aussi calculer le taux de "conneries/minute" dans le discours de ces personnes (bien sur, tout cela dans une VM, cela va de soit ... d'ailleurs, à votre avis, si je leur dit que je suis sous linux, ils vont me sortir quoi comme idiotie ? (je pensais à kali linux, une distrib que j'aime beaucoup)) ^^

Bravo pour cette blague. Dommage le numéro ne fonctionne plus. :)

Hello!! I’m indeed very happy for the great help that Dr. okorom rendered to me, I was a herpes patient my husband also was a herpes patient, we saw a blog whereby Dr. okorom cured herpes, we (Me and My Husband) decided to contact him which we did, he asked us to buy some items, unfailingly we sent him the money he will need in buying the items required, He castes the spell and asked us to go for check-up after three days of casting the spell, Luckily for us we were tested herpes negative, now I believe all these Testimonies about him on the internet, he is truly a great man, if you want to discuss with me on how he cured us, kindly email me on deanfneilsarah@gmail.com or you can contact the great Herbalist and a spell caster on dr.okoromspellhome@live.com or you can call him via his mobile phone number on +2348158168556

Hello!! I’m indeed very happy for the great help that Dr. okorom rendered to me, I was a herpes patient my husband also was a herpes patient, we saw a blog whereby Dr. okorom cured herpes, we (Me and My Husband) decided to contact him which we did, he asked us to buy some items, unfailingly we sent him the money he will need in buying the items required, He castes the spell and asked us to go for check-up after three days of casting the spell, Luckily for us we were tested herpes negative, now I believe all these Testimonies about him on the internet, he is truly a great man, if you want to discuss with me on how he cured us, kindly email me on deanfneilsarah@gmail.com or you can contact the great Herbalist and a spell caster on dr.okoromspellhome@live.com or you can call him via his mobile phone number on +2348158168556"" '

I am glad with the invention of natural herbal permanent cure for herpes. Sometimes last year i was checking for permanent solution to this offensive infection i got from boy friend then i came across a testimony shared by someone who got cured already and i applied E-mail; nativeherbalclinic@gmail.com The herbal doctor called me to ask if i actually needed the cure, i ordered and he sent me the herbs which i used for two weeks then i was totally relieved of all symptoms. Now i completely test negative to HSV11. Thank you Doctor.

Greetings to everyone reading this article. i don't just know why doctors keep saying there is no cure for Herpes simplex 1 and 2 when Dr MABUWA has used his herbal formula to cure so much people in the USA and other many countries. 2010 i was found positive of this virus and i have looked everywhere for a solution to get my Herpes simplex 1&2 gone. but after reaching out to several's doctors in different countries. i finally stumbled on Dr MABUWA testimonies online as a Lady was talking about how he met Dr MABUWA and he prepared a herbal formula for her and after 2weeks of usage she was negative. i didn't believe so i contacted Dr MABUWA myself to confirm. Lo and behold after chatting with him and telling him how i can get my own remedy. Dr MABUWA gave me instruction and i obeyed. and within 4days time i received his herbal formula and used it within 2weeks he told me to go for a check up. and when i did. my doc came out with a smile telling me how did i do it. i told him about Dr MABUWA. and today i have directed many individuals to Dr MABUWA. all has been cured. yours can also be. only contact his Email:drmabuwasolutioncuretemple@gmail.com or his websites:https://drmabuwasolutioncu.wixsite.com/drmabuwa or his what app line:+2348130714541

All thanks to Dr Alli for curing my herpes virus/hpv with his herbal medicine, i do not have much to say but with all my life i will for ever be grateful to him and God Almighty for using Dr Alli to reach me when i thought it was all over, today i am happy with my life again after the medical doctor have confirmed my HERPES SIMPLEX VIRUS / HPV of 5 is gone,i have never in my life believed that HERPES SIMPLEX VIRUS could be cured by herbal medicine. so i want to use this means to reach other persons who have this disease by testifying the power of Dr Alli that all hope is not lost yet, try and contact him by any means for any kind of disease with his email: ( allispellhelp1@gmail.com ) or +2348100772528.

I have just returned from my Doctor, following up from the tests taken last week when I had a checkup, as discussed previously. My great news is that the tests have come back for Herpes Type 1 and Type 2 as ‘Not Detected’. The Doctor advised that I am clear.thank you again priestess for the Herbals Email. Her at princetesskarachi@gmail.com

Hi Everyone! My name is Judith cyrus. I was diagnosed with HERPES 2 in April of 2012 when I was 24 years old who just completed my MA in sociology at the University of Northern Colorado where I explored the role of stigma in the process of disclosing a genital herpes diagnosis.I have wanted to get this virus cured, I am happy to share that with you! few weeks ago i came on search on the INTERNET if i could get any information concerning the prevention of this disease, on my search i saw a testimony of someone who has been healed from (Hepatitis B and Cancer) by this Man Dr Osewe and she also gave the email address (oseweagbonifo@outlook.com) and advise we should contact him for any sickness that he would be of help so i told my husband about it the he ask me to write him because this pain has been constant especially in my knees. so i wrote to Dr Osewe telling him about my (HERPES Virus) he told me not to worry that I was going to be cured!! then i took the medicine he sent me, which few weeks later i started experiencing changes all over me as the Dr assured me that i have been cured hence i have taken the medicine and after some time i went to my doctor to confirmed if i have be finally healed. Behold it was TRUE. I can understand that lots of people are been diagnosed with this same virus so am excited to be able to share my experience and thoughts about this man so you can as well contact him for help. living with genital herpes is not a good thing..HEREIS HIS CONTACT: EMAIL : (oseweagbonifo@outlook.com) OR YOU CAN AS WELL WHATSAPP HIM VIA +2349028075698.

Ajouter un commentaire

(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
To prevent automated spam submissions leave this field empty.
CAPTCHA
Prouve que tu n'es pas un script en résolvant l'énigme suivante :