Nowe zagrożenie udaje wsparcie techniczne Microsoftu

Było wyłudzanie "na wnuczka", było "na afrykańskiego księcia", a teraz będzie "na pracownika Microsoftu". Przestrzegamy przed jeszcze nowszym oszustwem cyberprzestępców! Oto, w jaki sposób działają tym razem i w jaki sposób możemy zabezpieczyć się przed atakiem.

Oszustwa poprzedzone wzbudzeniem zaufania ofiary noszą wspólne miano _ scamu _i nie są w sieci niczym nowym. Można założyć, że od początku istnienia internetu na większość skrzynek mailowych wpadła co najmniej jedna obietnica uzyskania znaczącego profitu (np. spadku) w zamian za podanie danych identyfikujących rzekomego spadkobiercę - czyli odbiorcę fałszywego komunikatu. Trzeźwo myślący internauta nie uwierzy w swoje pokrewieństwo z nigeryjskim księciem, ale w obliczu sfabrykowanych "dowodów od prawnika" opór użytkownika może niebezpiecznie zmięknąć. Do tego stopnia, że w dobrej wierze udostępni naciągaczom swoje poufne dane, otwierając im furtkę do wyczyszczenia konta.

Autorzy najnowszego scamu pozyskiwanie zaufania użytkownika skrócili do minimum - podszywając się pod firmę Microsoft. Według ustaleń firmy bezpieczeństwa_ IT Malwarebytes _oszustwo rozpoczyna się od zainfekowania komputera ofiary specjalnie napisanym zagrożeniem, rozprowadzanym m.in. jako dodatek do aplikacji wyświetlających reklamy (adware). Przy kolejnym uruchomieniu maszyny złośliwy program blokuje urządzenie, wyświetlając fałszywe okno aktualizacji systemu Windows. Ofiara czyta w nim m.in. że jej klucz licencyjny Windows wygasł i konieczny jest kontakt telefoniczny ze wsparciem technicznym firmy Microsoft. Wykręcając podany numer, poszkodowany łączy się z fałszywym pracownikiem wsparcia, który za swą pomoc w odblokowaniu komputera żąda opłaty (równowartość tysiąca złotych). Obecnie na celowniku naciągaczy są głównie Wielka Brytania, Stany Zjednoczone i Kanada, ale można się spodziewać ekspansji zagrożenia także na Europę Środkową.

Analiza kodu wykazała kilka ciekawych faktów. Po pierwsze, mimo obecnego rozkwitu złośliwych programów szyfrujących, zagrożenie działa na wzór wczesnych wersji _ ransomware _, które nie szyfrowały plików, a jedynie odcinały do nich dostęp. Po drugie, zastosowanie kombinacji klawiszy Ctrl+Shift+T uruchamia wbudowany w zagrożenie instalator usługi TeamViewer. Wykorzystując to popularne narzędzie pracy zdalnej, udający support cyberprzestępcy mogą symulować nieudane próby pomocy, umacniając ofiarę w przekonaniu, że tylko płatna usługa (a w rzeczywistości haracz) pozwoli jej odzyskać dostęp do danych. W zagrożeniu ukryto też kilka numerów seryjnych - prawdopodobnie to za ich pomocą fałszywy pomocnik techniczny po otrzymaniu od ofiary okupu odblokowuje jej komputer.

Odcięcie pojedynczej stacji roboczej nie jest może przyjemne - zwłaszcza dla użytkownika indywidualnego - ale nieporównywalnie mniej kosztowne niż np. blokada firmowego serwera bazodanowego. Jak więc uniknąć płacenia okupu, jeśli już padliśmy ofiarą szantażystów? Przywracając wykonany wcześniej backup. Regularne tworzenie kopii bezpieczeństwa uchroni przed skutkami ataków każdą maszynę i każdą sieć. Dysponując odpowiednim systemem backupu można w 1. minut przywrócić kilka TB niesprawnego systemu i wznowić przerwaną pracę tak, jak gdyby przestój w ogóle nie miał miejsca.

Warto zaznaczyć, że sama firma Microsoft przestrzega przed telefonami z żądaniem opłaty za rzekomą pomoc techniczną od osób, które podają się za jej pracowników lub partnerów. Informacje o przekręcie pochodzą ze źródeł firmy Anzena.

słk