Quasi caduto per truffa "supporto tecnico" - qual è il rischio?

Dalla tua descrizione, non c'è nulla di cui preoccuparsi. La vittima ha appena condiviso lo schermo con l'attaccante senza dare il controllo dell'attaccante o dare alcuna informazione all'attaccante.

Poiché la vittima ha utilizzato uno strumento comune (TeamViewer) e non uno fornito dall'attaccante, non vi sono rischi nella sessione condivisa.

Non c'è alcun rischio per il router poiché l'utente malintenzionato non ha mai avuto accesso ad esso.

Non è noto quali informazioni l'hacker abbia visto sullo schermo, ma forse l'unica preoccupazione è la divulgazione dell'indirizzo IP. Questo può essere mitigato accendendo / spegnendo il router (che funziona in alcuni casi) o chiedendo all'ISP un nuovo IP.

Se non hanno fornito una carta di credito e non hanno ricevuto il file, non ci dovrebbero essere motivi significativi di preoccupazione. Li farei eseguire la scansione antivirus e il rilevamento di malware e rimuovere tutto ciò che è stato trovato.

Negli Stati Uniti, la Federal Trade Commission ha creato una pagina non tecnica su questi tipi di truffe. Potresti indirizzare il tuo amico lì per qualche ulteriore conoscenza.

Non fa mai male essere troppo protettivi se pensi che possa essersi verificato qualcosa. Si tratta del livello di comfort che la persona ha dopo che i dati del computer sono ancora intatti.

ecco il link dalla FTC statunitense

Nel mio Uni time, quando ho crackato il nagware, ho spesso riconfezionato l'installer originale con il mio crack e le eventuali modifiche apportate al codice, inclusi file / binari aggiuntivi. Gli strumenti in quel momento erano molto più semplici di oggi.

Nulla garantisce che il tuo amico abbia installato un "vero TeamViewer".

Nulla garantisce anche che, nonostante abbia "visto" quello che stavano facendo, che non lo abbiano fatto quando ha fatto clic su un binario / installatore, che una connessione di controllo secondaria è stata aperta a un partner della gente che parlava con lui, o software aggiuntivo è stato scaricato in background.

Nonostante la vittima abbia "solo" installato TeamViewer e "visto" ciò che è stato fatto, IMO l'unica soluzione sensata è formattare il computer e installare tutto da zero per ogni evenienza.

È anche un falso senso di sicurezza supponendo che non sia rimasto nulla se alcune soluzioni AV non trovano firme. Un AV non troverà speciali binari / script o software "ufficiali" lasciati indietro.

Teamviewer di default consente all'altra parte di controllare il tuo computer. Tuttavia, questo controllo è completamente visibile, come se si trovassero direttamente sulla tua macchina, usando un mouse e una tastiera.

Per infettare il PC, l'utente malintenzionato può scaricare ed eseguire un file tramite il PC; l'invio di un file via TV non è assolutamente necessario. Ma se hanno provato a farlo, è molto probabile che facesse parte del loro piano. Perché farlo diversamente.

Se il tuo amico ha visto l'intero processo, può sapere a cosa ha accesso l'autore dell'attacco. Se il tuo amico sa di non aver fatto nulla di tutto ciò, e non hanno impostato l'accesso per se stessi tramite RDP o altro, allora è molto probabile che non abbiano "hackerato" il computer. Questa è una semplice truffa agli ignari, è improbabile che venga combinata con un sofisticato attacco sotto il radar.

Se il computer non è utilizzato per elaborare informazioni riservate, probabilmente non è necessario eseguire alcuna procedura fuori dall'ordinario (controllo malware). Giusto per essere sicuri, alcuni ulteriori passi che possono essere presi includono la disinstallazione di Teamviewer (nel caso sia stato configurato per l'accesso non presidiato), la cancellazione del browser delle password bancarie / utilizzando un gestore protetto da password e la modifica delle password bancarie in cui 2FA non è t usato (non è una brutta cosa da fare ogni anno o così comunque).

La versione di Teamviewer non è stata specificata.

Le versioni precedenti consentivano la condivisione degli appunti (inclusi i file) per impostazione predefinita. Peggio ancora, la condivisione degli appunti non aveva alcuna indicazione di essere utilizzata, quindi è possibile copiare i file su un computer remoto (possibilmente su posizioni di avvio) senza che nessuno se ne accorga.

C'è il rischio che un programma possa essere stato copiato sulla macchina controllata da remoto. Questo non ha effetti immediati, ma ogni payload dannoso verrà attivato al prossimo avvio. Si possono anche sostituire i file che vengono periodicamente utilizzati dai servizi. Quindi sì, la macchina può essere infetta.

Eseguire un CD live e fare un controllo manuale potrebbe essere il modo migliore per andare. Una scansione antivirus può perdere file offuscati o il carico utile dannoso semplicemente non viene riconosciuto dallo scanner. Realisticamente, ci sono molte opzioni di attacco una volta che si ha accesso in scrittura a una macchina (ad esempio, sostituendo file di driver comunemente caricati, sostituendo file usati dai servizi comuni), quindi un controllo manuale potrebbe non essere nemmeno fattibile.

Utilizzando l'approccio di cui sopra, il router potrebbe essere in teoria infetto, anche se dubito strongmente che a meno che tu non abbia una minaccia persistente e dedicata.