Quasi caduto per truffa "supporto tecnico" - qual è il rischio?

31

Un mio conoscente ha ricevuto una chiamata da un presunto dipendente Microsoft e gli ha fornito l'accesso al suo computer Windows 10 tramite il visualizzatore di team (comunemente noto come truffa del supporto tecnico). Ma quando il truffatore voleva mandargli un file, si è insospettito e ha immediatamente spento il computer prima che potesse essere inviato qualcosa. Non ha dato il suo numero di carta di credito o altre informazioni personali. Successivamente ha immediatamente cambiato le sue password da un altro computer e da allora non ha collegato il computer interessato a Internet. Mi ha chiesto aiuto ora, ma non sono sicuro di quali siano i passaggi necessari.

  • Pensi che il computer possa essere infetto? Un telespettatore remoto la sessione era attiva, ma come ho detto, nessun file è stato inviato. È ancora possibile infettare un computer?
  • Il mio piano è di avviare un CD live ed eseguire una scansione antivirus, ma non ne sono sicuro se è necessario cancellare l'intero disco. Sarebbe il modo più sicuro, ma anche molto più tempo.
  • È possibile che il router sia stato infettato? Voglio controllare le impostazioni DNS, c'è qualcos'altro che dovrei controllare? O dovrei resettare completamente il router?

Sarebbe bello se qualcuno mi desse suggerimenti e consigli. Non penso che la domanda sia un duplicato di questi due:

Perché sono più interessato se fosse possibile infettare il computer senza inviare un file invece di sapere cosa fare se c'è un virus sul computer.

PS Vengo dalla Germania, sembra che la truffa del supporto tecnico abbia raggiunto anche Paesi non di lingua inglese ...

    
posta Phil 15.05.2018 - 17:31
fonte

5 risposte

28

Dalla tua descrizione, non c'è nulla di cui preoccuparsi. La vittima ha appena condiviso lo schermo con l'attaccante senza dare il controllo dell'attaccante o dare alcuna informazione all'attaccante.

Poiché la vittima ha utilizzato uno strumento comune (TeamViewer) e non uno fornito dall'attaccante, non vi sono rischi nella sessione condivisa.

Non c'è alcun rischio per il router poiché l'utente malintenzionato non ha mai avuto accesso ad esso.

Non è noto quali informazioni l'hacker abbia visto sullo schermo, ma forse l'unica preoccupazione è la divulgazione dell'indirizzo IP. Questo può essere mitigato accendendo / spegnendo il router (che funziona in alcuni casi) o chiedendo all'ISP un nuovo IP.

    
risposta data 15.05.2018 - 17:46
fonte
3

Se non hanno fornito una carta di credito e non hanno ricevuto il file, non ci dovrebbero essere motivi significativi di preoccupazione. Li farei eseguire la scansione antivirus e il rilevamento di malware e rimuovere tutto ciò che è stato trovato.

Negli Stati Uniti, la Federal Trade Commission ha creato una pagina non tecnica su questi tipi di truffe. Potresti indirizzare il tuo amico lì per qualche ulteriore conoscenza.

Non fa mai male essere troppo protettivi se pensi che possa essersi verificato qualcosa. Si tratta del livello di comfort che la persona ha dopo che i dati del computer sono ancora intatti.

ecco il link dalla FTC statunitense

    
risposta data 15.05.2018 - 17:48
fonte
3

Nel mio Uni time, quando ho crackato il nagware, ho spesso riconfezionato l'installer originale con il mio crack e le eventuali modifiche apportate al codice, inclusi file / binari aggiuntivi. Gli strumenti in quel momento erano molto più semplici di oggi.

Nulla garantisce che il tuo amico abbia installato un "vero TeamViewer".

Nulla garantisce anche che, nonostante abbia "visto" quello che stavano facendo, che non lo abbiano fatto quando ha fatto clic su un binario / installatore, che una connessione di controllo secondaria è stata aperta a un partner della gente che parlava con lui, o software aggiuntivo è stato scaricato in background.

Nonostante la vittima abbia "solo" installato TeamViewer e "visto" ciò che è stato fatto, IMO l'unica soluzione sensata è formattare il computer e installare tutto da zero per ogni evenienza.

È anche un falso senso di sicurezza supponendo che non sia rimasto nulla se alcune soluzioni AV non trovano firme. Un AV non troverà speciali binari / script o software "ufficiali" lasciati indietro.

    
risposta data 16.05.2018 - 09:39
fonte
2

Teamviewer di default consente all'altra parte di controllare il tuo computer. Tuttavia, questo controllo è completamente visibile, come se si trovassero direttamente sulla tua macchina, usando un mouse e una tastiera.

Per infettare il PC, l'utente malintenzionato può scaricare ed eseguire un file tramite il PC; l'invio di un file via TV non è assolutamente necessario. Ma se hanno provato a farlo, è molto probabile che facesse parte del loro piano. Perché farlo diversamente.

Se il tuo amico ha visto l'intero processo, può sapere a cosa ha accesso l'autore dell'attacco. Se il tuo amico sa di non aver fatto nulla di tutto ciò, e non hanno impostato l'accesso per se stessi tramite RDP o altro, allora è molto probabile che non abbiano "hackerato" il computer. Questa è una semplice truffa agli ignari, è improbabile che venga combinata con un sofisticato attacco sotto il radar.

Se il computer non è utilizzato per elaborare informazioni riservate, probabilmente non è necessario eseguire alcuna procedura fuori dall'ordinario (controllo malware). Giusto per essere sicuri, alcuni ulteriori passi che possono essere presi includono la disinstallazione di Teamviewer (nel caso sia stato configurato per l'accesso non presidiato), la cancellazione del browser delle password bancarie / utilizzando un gestore protetto da password e la modifica delle password bancarie in cui 2FA non è t usato (non è una brutta cosa da fare ogni anno o così comunque).

    
risposta data 15.05.2018 - 18:11
fonte
1

La versione di Teamviewer non è stata specificata.

Le versioni precedenti consentivano la condivisione degli appunti (inclusi i file) per impostazione predefinita. Peggio ancora, la condivisione degli appunti non aveva alcuna indicazione di essere utilizzata, quindi è possibile copiare i file su un computer remoto (possibilmente su posizioni di avvio) senza che nessuno se ne accorga.

C'è il rischio che un programma possa essere stato copiato sulla macchina controllata da remoto. Questo non ha effetti immediati, ma ogni payload dannoso verrà attivato al prossimo avvio. Si possono anche sostituire i file che vengono periodicamente utilizzati dai servizi. Quindi sì, la macchina può essere infetta.

Eseguire un CD live e fare un controllo manuale potrebbe essere il modo migliore per andare. Una scansione antivirus può perdere file offuscati o il carico utile dannoso semplicemente non viene riconosciuto dallo scanner. Realisticamente, ci sono molte opzioni di attacco una volta che si ha accesso in scrittura a una macchina (ad esempio, sostituendo file di driver comunemente caricati, sostituendo file usati dai servizi comuni), quindi un controllo manuale potrebbe non essere nemmeno fattibile.

Utilizzando l'approccio di cui sopra, il router potrebbe essere in teoria infetto, anche se dubito strongmente che a meno che tu non abbia una minaccia persistente e dedicata.

    
risposta data 16.05.2018 - 20:12
fonte

Leggi altre domande sui tag