Vous êtes ici

Comment j'ai convaincu un arnaqueur de s'infecter avec Locky

Portrait de ivan
tech support scam webpage

Il y a quelques jours, j'ai reçu un appel paniqué de mes parents qui avaient atterri sur cette page web (aujourd'hui inaccessible, mais voici un screenshot). Celle-ci les avertissait du fait qu'ils étaient infectés par Zeus. Ce tas d'HTML atroce avait tout pour lui : un message audio en lecture automatique, des alertes JavaScript infinies, et même un arrière plan bleu-BSoD parsemé de noms de fichiers cryptiques pour nous rappeler les bons vieux jours de Windows. Malgré celà, la page affichait une adresse IP aléatoire au lieu de mettre celle du visiteur.

Premier appel :

Après que tout le monde ait bien rigolé sur Twitter, j'ai décidé de passer un petit coup de téléphone à ce soi-disant "support technique" pour en apprendre plus sur leur opération. J'ai donc lancé une VM sous Windows XP qui trainait et composé leur numéro.
Je suis accueilli par un message vocal, puis Patricia prend mon appel. J'essaie en premier lieu de lui faire miroiter un gros coup en expliquant que je souhaite régler le problème au plus vite, car je suis un homme d'affaire sur le point de finaliser un très gros contrat. Malheureusement pour moi, elle ne parle pas très bien Français et a du mal à s'éloigner de son script. Elle me décrit une suite d'étapes qui me conduit à télécharger un logiciel d'assistance à distance : Windows+R, taper iexplore remote.join360.net, quelques autres bricoles et puis exécuter le programme proposé. En première instance, il semble s'agir d'un logiciel de support légitime, car sa signature électronique est valide.

Les choses amusantes commencent. Patricia lance cmd.exe sans s'étonner des icônes d'OllyDbg et IDA (des outils d'analyse qui ne sont utilisés que par des experts en sécurité informatique) qui traînent sur le bureau. Sans doute pour m'impressionner, elle exécute un dir /s (un simple listing des fichiers) et prétend que les dates correspondent à mes derniers logins sur le système. Les documents qui défilent, eux, sont "ceux que j'ai ouverts récemment". Je feins l'admiration et tape discrètement CTRL+C dans la console pour interrompre la commande et gagner du temps. Patricia tape ensuite "1452 virus trouvés" puis "ip hacked". Elle me demande quel logiciel anti-virus j'utilise. Je réponds aucun : ils sont trop chers, et @taviso n'arrête pas de les péter de toute manière. La référence lui échappe, mais ça ne l'empêche pas de me gronder.
Quelque chose de surprenant se produit : elle me dit que mes 15 minutes de support gratuit sont écoulées, mais qu'elle va me rappeler afin que nous puissions continuer sans frais - et elle me rappelle quelques minutes plus tard, avec un numéro pennsylvanien (+1-267-460-7257). Elle reprend ses reproches au sujet de mon dédain manifeste pour les règles élémentaires de l'hygiène informatique, et arrive à la conclusion suivante : mon ordinateur est infecté et requiert un nettoyage. Elle m'invite à acheter ANTI SPY ou ANTI TROJAN pour seulement 189.90$. Avant même que je puisse sortir ma carte bleue, elle revient dans le terminal, tape netstat et affirme que quelqu'un est connecté à mon ordinateur à ce moment même !


"Regardez dans le terminal ! 1452 virus trouvés ! "Commande introuvable" est aussi un signe que la machine est infectée !"
Au passage, je suspecte 115.115.67.53 d'être sa véritable adresse IP.

— Ce n'est pas vous ? demandé-je. L'adresse est localisée à Delhi.
Un silence. Elle me dit que c'est en réalité la ligne "localhost" qui correspond à son intervention, parce que "localhost signifie connexion sécurisée". Je proteste :
— Vous en êtes sûre ? Je croyais que ça voulait dire "machine locale".
Elle marmonne un peu, me relit texto la section courante de son script, et affirme une nouvelle fois que cette autre adresse IP appartient à quelqu'un qui habite à Delhi, comme elle, mais quelqu'un d'autre : un hacker sans nul doute. A ce stade, il me semble devoir préciser que je n'invente rien.
— C'est d'accord, reprends-je, je veux bien acheter votre truc. Est-ce qu'on peut le trouver à la FNAC ?
Elle semble agacée :
— Je ne sais pas si on peut l'acheter à Paris, répond-elle dans son français haché. Il s'agit d'un programme exclusif qui n'est distribué que par les partenaires de Microsoft et via leurs canaux sécurisés.
— Oh, je peux l'acheter sur microsoft.com alors ?
— ...Oui.
— Parfait alors.
— Parfait.
— ...
— Vous aviez d'autres questions ? Non ? Merci, et au revoir.

Deuxième appel :

Je présume que ce n'est pas la manière standard d'arnaquer les gens. Ce devait être une stagiaire arnaqueuse, ou quelque chose comme ça. A ce moment-là, je réalise que certains des screenshots que j'ai pris ne conviennent pas. J'attends donc une petite demi-heure et rappelle, prévoyant de prétexter que je ne trouve pas le logiciel décrit sur le site officiel de Microsoft. Cependant, c'est un nouvel opérateur qui décroche : Dileep. Je suis obligé de subir toute la procédure une fois de plus. Dileep semble beaucoup plus à l'aise avec son script et ajoute quelques touches personnelles, comme ouvrir la liste des services Windows et me montrer qu'une grande partie d'entre eux sont arrêtés, ce qui n'est "pas du tout normal". Sa conclusion est la même : ma machine est infectée, il l'a nettoyée gratuitement mais recommande l'achat d'un abonnement Tech Protection pour que je n'aie plus jamais de virus de ma vie. Son package coûte 299.99€, mais comme il semble plus expérimenté que Patricia, pourquoi pas. J'accepte de mettre la main au portefeuille et me dépêche de trouver des numéros de test pour carte bleue. Evidemment, le prestataire de traitement des paiements rejette la transaction et nous réessayons quatre ou cinq fois. Je finis par suggérer d'utiliser ma seconde carte bleue et pioche un autre numéro valide (du point de vue de l'algorithme de Luhn en tout cas) dans la liste. Dileep me fait recommencer une bonne dizaine de fois avec les deux cartes. Je fais l'idiot. Pendant ce temps-là, j'entends dans le bruit de fond d'autres opérateurs qui répètent numéros de carte bleue et CVVs à voix haute. Probablement une violation de la norme PCI-DSS. Soudain, j'ai un éclair de génie : j'ouvre le dossier spam de ma boîte mail où attendent de mourir des pourriels de la dernière campagne Locky. Je prends un fichier joint au hasard (ces archives zip qui contiennent un script JS téléchargeant un ransomware) et le dépose dans ma VM. Le client d'assistance à distance que Dileep m'a fait installer a une fonctionnalité de partage de fichiers. Je lui uploade l'archive et dis :
— J'ai pris une photo de ma carte bleue, est-ce que vous pourriez essayer de taper les numéros vous-même ? Peut-être que ça marchera.
Au début, il m'ignore. Il me fait taper mes informations bancaires encore et encore (points bonus pour la persévérance), jusqu'à ce que je mette le holà :
— Ecoutez Dileep, je suis vieux et ma vue n'est pas très bonne. Ça commence à me faire mal à la tête de me concentrer pour lire ces petits numéros, et je crois avoir prouvé que je ne suis pas à l'aise avec les ordinateurs de toute manière. Vous ne voulez pas me donner un coup de main ?
Il ne dit rien pendant un moment, et revient vers moi :
— J'ai essayé d'ouvrir votre photo, mais il ne se passe rien.
Je fournis un effort surhumain pour ne pas exploser de rire.
— Vous êtes certain ? Vous utilisez bien Windows, hein ? Des fois, mes photos ne veulent pas s'afficher sur les Mac.
— Oui, confirme-t-il. Vos images doivent être corrompues à cause du virus. C'est pour ça qu'il vous faut une protection.

Et, tandis qu'un processus chiffre silencieusement son système de fichiers, nous essayons quelques fois de plus de valider la commande avec mes numéros de carte bleue aléatoires. Il finit par renoncer, m'invite à appeler ma banque pour tirer la situation au clair et promet de rappeler le lundi suivant.

En conclusion, quand on tombe sur une arnaque de ce type, il me semble que l'acte civique est de prétendre qu'on est dupe. Ma logique est la suivante : les arnaqueurs n'ont pas la possibilité de faire la différence entre les véritables victimes et ceux qui font semblant : leur business plan part du principe que seuls les gens les plus crédules vont mordre à l'hameçon. Si en revanche une pluie de faux pigeons s'abattait sur eux, leur charge de travail augmenterait tellement que leurs arnaques ne seraient plus profitables. Si vous parlez français, je vous invite donc à prendre 15 minutes de votre temps, les appeler au +339 75 18 77 63 et les pousser à faire quelque chose de drôle.

Commentaires

Merci pour ce moment de franche rigolade ! Je crois que je vais installer une VM windows rien que pour ça.

Merci pour tous !

http://erreur0x006-securite-ordinateur-appel-appel.s3-website.eu-central...

Un pote est retombé sur la page :D Je drop ça la si quelqu'un s’ennuie un peu

Bonjour, je suis Theresa Williams Après avoir été en relation avec Anderson pendant des années, il a rompu avec moi, j'ai fait tout son possible pour le ramener, mais tout a été en vain, je le voulais tant en raison de l'amour que j'ai pour lui, Je l'ai supplié avec tout, j'ai promis mais il a refusé. J'ai expliqué mon problème à mon ami et elle a suggéré que je devrais plutôt contacter un lanceur de sortilège qui pourrait m'aider à jeter un sortilège pour le ramener mais je suis le type qui n'a jamais cru dans le sortilège, je n'avais pas le choix que de l'essayer, je A posté le lanceur de sortilège et il m'a dit qu'il n'y avait aucun problème que tout ira bien avant trois jours, que mon ex me reviendrait avant trois jours, il sorti le sortilège et, étonnamment, le deuxième jour, c'était vers 16 heures. Mon ex m'a appelé, j'ai été tellement surpris, j'ai répondu à l'appel et tout ce qu'il a dit était qu'il était tellement désolé pour tout ce qui arrivait qu'il voulait que je lui retourne, qu'il m'aime tellement. J'étais tellement heureux et je suis allé chez lui, c'est ainsi que nous avons commencé à vivre ensemble joyeusement à nouveau. Depuis lors, j'ai promis que quelqu'un que je connaisse qui a un problème de relation, je serais utile à une telle personne en la référant à la seule véritable et puissante sorcellerie qui m'a aidé avec mon propre problème. Email: drogunduspellcaster@gmail.com, vous pouvez l'envoyer par courrier électronique si vous avez besoin de son aide dans votre relation ou tout autre cas.

1) Sorts d'amour
2) Sort d'amour perdu
3) Sorts de divorce
4) Les sorts de mariage
5) Enchère de reliure.
6) Spells de dissolution
7) Bannir un Amoureux du passé
8.) Vous voulez être promu dans votre épisode de bureau / loterie
9) veulent satisfaire votre amoureux
Contactez ce grand homme si vous avez un problème pour une solution durable
Par drogunduspellcaster@gmail.com

J'ai pas bien rigolé.

Bravo! Belle initiative, cela rapelle aussi les arnaques sur des pages web ouvertes avec Android qui utilisent un bout de js pour faire vibrer le téléphone et forcant l'installation d'une application de nettoyage!

Sinon je suis venu par ici :
http://www.bbc.com/news/technology-37084009

Well done! ;-)

Bonjour , Ce n'est pas un numéro surtaxé ce 09 ?

Portrait de ivan

Non, il s'agit d'un numéro fixe et il n'est pas surtaxé !

Bravo, j'ai bien ri...
Et donc (je suis profane), il va se passer quoi ensuite dans l'ordinateur de cet arroseur arrosé ?

Portrait de ivan

Si tout s'est bien passé, les documents de l'arnaqueur seront chiffrés et inutilisables. Une réinstallation complète du système sera nécessaire.

Il me semble qu'il est toujours possible de récupérer la clé de déchiffrement d'un locky avec ftkimager et volatility .... Enfin ce n'est pas un débutant qui pourrait faire cela, ils ont probablement du réinstaller complètement leur machine. Mais bien joué, quoi qu'il en soit tu leur a fait perdre pas mal de temps :)

Excellent !

Bonjour,
Un grand moment de rigolade...j'ai réussi à tenir 15 mn après j'ai envoyé boulé le pirate (support MS).Très fort l'upload :)

Salut Ivan
Ta mere m'a tout expliqué et j'ai bien rigole, je te dis bravo
Bises

Tiens, ils utilisent BOMGAR, une appliction de prise de main à distance, partage de fichier, tchat... La même qu'on utilise au boulot.
Jolie histoire en tout cas.

Bonjour,
Alors je dis "Bravo".
Tu as eu une excellente idée.
J'aurai bien aimé être une petite souris pour voir comment s'est passé la suite chez eux.

Du coup, cela me donne envie de faire pareil. Je suis un passionné de sécurité, et j'aimerais voir à quel points ils peuvent être crédules et aussi calculer le taux de "conneries/minute" dans le discours de ces personnes (bien sur, tout cela dans une VM, cela va de soit ... d'ailleurs, à votre avis, si je leur dit que je suis sous linux, ils vont me sortir quoi comme idiotie ? (je pensais à kali linux, une distrib que j'aime beaucoup)) ^^

Bravo pour cette blague. Dommage le numéro ne fonctionne plus. :)

Tanto HSV1 como HSV2 pueden causar "herpes genital". Hasta el 80% de los estadounidenses tienen HSV1, que generalmente se asocia con "herpes labial" alrededor de la boca, pero también puede transmitirse a los genitales a través del sexo oral. Hasta el 30% de los nuevos casos de herpes genital se debe a HSV1 - y la mayoría de las veces, se ha transmitido a través de sexo oral. Dado que la mayoría de las personas (hasta el 80% de los estadounidenses) tienen HSV1 - si tienen o no tienen herpes labial notable - y ya que la mayoría de la gente no utiliza ningún tipo de "protección" durante el sexo oral, es cada vez más común para las personas Para obtener herpes en sus genitales de sexo oral. Contacto, prophetsuleman @ gmail.com el único médico herbal que había encontrado la cura permanente para estas enfermedades

Ajouter un commentaire

(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
To prevent automated spam submissions leave this field empty.