Qualcuno che conosco ha visto un pop-up sul proprio iMac con Sierra (10.13.5) che li ha avvisati di chiamare 877-336-5833.
Hannochiamatoilnumeroeilrappresentantehaavvisatocheinstallanounprogrammachiamato"GoToAssist" per ottenere l'accesso remoto. Hanno fatto.
A questo punto, vorrei ripulire tutto ciò che potrebbe essere stato installato.
Ho controllato i file che sono stati modificati nella data in cui hanno chiamato il numero.
Un possibile file di interesse era:
/Library/Logs/DiagnosticReports/GoToAssist Customer_2018-06-28-181403_Irwins-iMac.wakeups_resource.diag
... creato su Jun 28 18:14
.
Un altro, trovato nella directory dell'utente era:
./Library/Logs/com.logmein.g2a.rs/Customer/20180628_181221/GoToAssist Remote Support Customer_00.log
che mi ha mostrato che la sessione di GoToAssist era esattamente tra 2018-06-28 18:12:19.403450
e 2018-06-28 18:28:09.964376
Con ciò, posso restringere le modifiche ai file:
$ sudo find / -newermt "2018-06-28 18:12" ! -newermt "2018-06-28 18:29" > /tmp/changed.txt
Ma non sono sicuro di cosa cercare.
E mi rendo conto che se sono subdoli, possono comunque modificare le date modificate.
Ho notato che la .bash_history
dell'utente è stata modificata in quel momento, ma l'ultima cosa che c'è è qualcosa che ho fatto una settimana prima. Quindi, questo mi fa pensare che qualcosa è stato cancellato da .bash_history ??
Sarebbe meglio reinstallare semplicemente tutto?
Strumenti come MacKeeper funzionano bene per trovare cose come questa? O qualche particolare software anti-virus?
O l'approccio più intelligente sarebbe semplicemente reinstallare il sistema operativo e ripristinare i loro file personali?
Probabilmente è quello che finirò per fare, ma sono anche io e non voglio perdere tempo se riesco a trovare qualsiasi applicazione che potrebbero aver installato e rimosso.
Non voglio essere paranoico, ma mi rendo conto che con una truffa come questa, si può facilmente installare ciò che vogliono e io voglio essere cauto.