L’appelant a dit: « Je vous appelle depuis le support technique de Windows. » Les faux escrocs du support technique ont commis l’erreur de nous appeler aujourd’hui et nous avons joué pour apprendre leurs astuces juste pour le plaisir. Voici ce qui s’est passé.
Pour les non-initiés, nous avons déjà couvert ce sujet auparavant – depuis des années, ces escrocs appelaient à froid les gens, prétendant être de Microsoft, essayant de les convaincre que leur ordinateur était infecté par des virus, puis demandant les payer pour résoudre le problème. On pourrait penser que le gouvernement ferait cesser ce genre de chose… mais des années plus tard, ces escroqueries existent toujours.
Aujourd’hui, nous avons reçu l’un de ces appels et avons décidé de jouer le jeu juste pour le plaisir. Voici notre histoire.
« Je vous appelle depuis Windows »
Le téléphone a sonné, un appelant inconnu du (404) 891-5588, un indicatif régional qui couvre Atlanta, en Géorgie. La personne à l’autre bout avait l’air de tâtonner avec quelque chose et n’a rien dit tout de suite. En arrière-plan, vous pouviez entendre les sons occupés d’un centre d’appels mal organisé, à peine différent de celui de quelqu’un qui vous appelle depuis un bar.
«», Commença-t-il avec un accent épais que je pouvais à peine comprendre. « ». C’était la deuxième fois en une semaine qu’il m’appelait – la première fois que je ne comprenais pas ce qu’il disait, alors il m’a raccroché au nez, mais cette fois j’étais prêt. « »
Il a continué à me dire que mon ordinateur signalait des virus à leurs serveurs, et il avait besoin de moi pour vérifier mon ID de licence grand public pour m’assurer que c’était vraiment mon PC avec les virus. «» Demanda-t-il, avant de lancer un code alphanumérique pour que je le note. 8, 8, 8, D comme chien, C comme chat, A comme pomme, 6, zéro. Puis-je lui relire cela? Je l’ai fait, 888DCA60, et il l’a confirmé.
À ce stade, je me suis brouillé pour démarrer une copie nouvellement installée de Windows dans une machine virtuelle que j’avais heureusement prête.
Ensuite, il m’a demandé si j’étais devant mon ordinateur, et une fois que j’étais, il m’a demandé d’appuyer sur la touche Windows et la touche R en même temps, puis m’a dit de taper C, M, D et d’appuyer sur Entrée. Une fois que je l’ai fait, il m’a demandé si je pouvais taper «assoc» et appuyer à nouveau sur Entrée. L’envie de se mettre à rire était presque insupportable, mais ma curiosité me fit tenir le coup pour voir quelles absurdités ils allaient me dire.
Vous n’êtes pas un vrai geek jusqu’à ce que vous puissiez diagnostiquer les virus avec assoc.exe.
«» Je l’ai fait, en notant que les chiffres étaient les mêmes qu’ils m’avaient fait écrire plus tôt, alors que j’ai finalement commencé à comprendre le jeu.
Ce code long, {888DCA60-FC0A-11CF-8F0F-00C04FD7D062}, est en fait un CLSID, un identifiant unique au monde trouvé dans le registre Windows, et il est utilisé pour indiquer à Windows l’emplacement dans le registre qui gère cette extension de fichier. Parce que assoc.exe, la commande qu’ils m’ont demandé de taper, est utilisée pour afficher les extensions de fichiers associées à quelles applications et n’a rien à voir avec les virus. L’avantage supplémentaire de l’arnaque est que l’extension ZFSendToTarget sera toujours proche de la fin et aura l’air effrayant pour votre grand-mère.
« ». Ahh… ça va être amusant. «
Il m’a demandé d’ouvrir l’Observateur d’événements en tapant eventvwr et en appuyant sur Entrée, et à ce stade, je devenais fatigué de vérifier chaque chose que je voyais à l’écran pour lui. La précision pure de ce script appelant à froid était impressionnante, mais très irritante quand on sait ce qui va suivre.
Ce qui, bien sûr, consistait à filtrer le journal des événements système uniquement sur des erreurs critiques, puis à me dire que mon ordinateur présentait de nombreuses erreurs. Il m’a fait lire le nombre total d’événements avant de me dire sciemment qu’il voyait la même chose de son côté.
Saviez-vous que ce sont tous des virus? Je n’ai certainement pas.
À ce stade, il a dit qu’il allait me transférer vers son support technique plus avancé pour approfondir le problème. Je ne me suis rendu compte que plus tard que cela faisait partie de leur plan pour ressembler à un véritable centre d’appels, mais aussi pour éviter théoriquement (et à tort) d’avoir des ennuis pour vous arnaquer.
Vous allez prendre le contrôle de mon PC avec un logiciel russe étrange? Sûr!
Le prochain gars de la chaîne – qui était beaucoup plus facile à comprendre – a commencé à me faire taper une URL dans mon navigateur préféré (oui, il m’a demandé quel navigateur je préférais), en épelant une URL courte tinyurl.com caractère par caractère , puis m’a demandé de lui relire. Appuyez sur Entrée, dit-il, puis une fois de plus avec le script extrêmement précis… « » On me demande de cliquer sur le bouton Exécuter, puis le script a un peu dépassé la cible, car il a oublié de me dire de cliquer sur Oui sur l’invite UAC. Je pense qu’il a dit quelque chose à propos de Continue, mais j’étais excité de voir ce qui allait se passer ensuite et j’ai sauté le pistolet. (Non, je ne l’ai pas dit à voix haute)
N’essayez pas ca a la maison. Nous sommes des professionnels.
J’ai été surpris de voir qu’ils n’utilisaient pas TeamViewer comme la plupart des escrocs que j’ai lus; à la place, ils utilisaient un programme étrange appelé Ammyy Admin, qui semble être une entreprise en Russie. Le bon sens devrait vous dire tout ce que vous devez savoir, mais une petite recherche sur le Web montre que ce n’est pas une entreprise à laquelle vous devriez faire confiance avec votre argent. Ou votre ordinateur. Éviter. Je ne l’ai pas fait, et lui ai dit le code d’identification, j’ai cliqué sur Se souvenir et accepter pour le laisser entrer dans mon PC. Au cas où vous vous poseriez la question, l’adresse IP a été mappée sur un serveur aux États-Unis.
À ce stade, le gars a commencé à examiner plusieurs choses et à passer par la plupart des mêmes étapes que le dernier gars vient de me demander de faire. Il explique qu’il doit vérifier l’Observateur d’événements, puis semble préoccupé par ce qu’il trouve. Il y a beaucoup de virus partout sur mon ordinateur, continue-t-il à me dire, et toutes ces erreurs dans l’Observateur d’événements sont très graves.
Ils se rapprochent
Il doit me transférer à quelqu’un d’autre pour essayer de voir s’il peut diagnostiquer le problème. Le troisième gars a un accent différent, plus oriental. Alors que le premier gars était presque inintelligible et que le second parlait clairement, cet accent était suffisamment différent pour que je remarque immédiatement la différence. Ou était-ce quelque chose d’autre?
Bien sûr, c’était plus que juste l’accent: ce type n’était pas sur le même scénario. Il avait l’air plus compétent, un peu moins scripté et n’avait aucun problème à naviguer sur l’ordinateur. C’est alors que j’ai réalisé qu’il était le plus proche – c’est son travail de conclure l’affaire, de vous convaincre que votre ordinateur est infecté et qu’ils peuvent le réparer pour vous. C’est aussi là que ça a commencé à s’amuser.
Saviez-vous même que la commande tree existe? Je parie que la plupart des gens ne le font pas.
Tout d’abord, il m’a dit qu’il avait besoin de lancer une analyse de mon ordinateur pour savoir ce qui se passait. Il l’a fait en ouvrant une invite de commande et en exécutant une commande tree / f. Avez-vous déjà fait ça? Cela prend un temps assez long… parce qu’il répertorie tous les dossiers et fichiers de votre ordinateur dans un format «arborescent», et bien sûr, cela n’a rien à voir avec une analyse antivirus. C’est comme taper dir ou ls à une invite de commande, cela vous montre simplement la liste des fichiers.
C’est là qu’il est devenu vraiment délicat. Pendant que la commande était en cours d’exécution (une bonne minute environ sur ma machine virtuelle), il tapait «faille de sécurité..trojans trouvés ..». Bien sûr, vous ne verrez pas ce qu’il tapait car tout défile, et le shell conserve cette entrée jusqu’à ce que la sortie soit terminée. Donc, une fois qu’il a fini de taper le message, il utilise CTRL + C pour empêcher la commande d’arborescence de fonctionner pour toujours. Et maintenant vous voyez son faux message d’erreur. Vous devez admettre que c’est un peu génial.
Ce type a trouvé des chevaux de Troie avec la commande tree. C’est un sorcier!
« », il dit, « ». Il continue à me dire comment les chevaux de Troie ont infecté mon ordinateur, et qu’il va devoir l’examiner plus en détail, mais ce n’est certainement pas une bonne chose. Mon ordinateur est-il déjà lent? Est-ce que je reçois des messages d’erreur sur les sites Web?
175 $ pour nettoyer mon PC?
Il est à peu près sûr que je suis convaincu, car j’ai fait du bon travail pour le guider, j’espère. Il se lance dans la mise à mort: « » Je réponds par « OK, mais combien cela va-t-il me coûter? » Il commence à se demander comment cela coûtera 175 $, mais cela va non seulement nettoyer mon ordinateur, mais aussi me donner un an d’assistance.
Le processus de nettoyage va prendre 1 à deux heures, pendant lesquelles ils vont installer Windows Defender et exécuter des analyses de tout mon ordinateur, et s’assurer que tout est nettoyé et mis à jour. Il va devoir me transférer chez quelqu’un d’autre pour collecter mon argent et faire les réparations, bien sûr.
Je suis un peu sceptique. Il peut le dire. Ce qu’il ne sait pas, c’est que je ris et que j’essaye de ne pas le laisser entendre.
Il procède à l’ouverture de mes informations système et commence à regarder autour de moi, c’est alors que j’ai réalisé que le gabarit était peut-être en place – je veux dire, c’est une machine virtuelle. Le modèle du système est VirtualBox, et le nom de l’ordinateur est WIN81VM10… comment peut-il ne pas le remarquer? D’une manière ou d’une autre, il ne le fait pas, et continue à me dire que mon BIOS est vraiment obsolète, et n’a pas été mis à jour depuis 2006, ignorant complètement que mon BIOS est par «VirtualBox»… mais lentement les pièces commencent à se mettre en place. Il commence à me demander quand j’ai eu l’ordinateur, quand je l’ai mis à jour pour la dernière fois. Il fait de son mieux pour me vendre, mais à ce stade, je ris comme un fou et j’essaie de couvrir le téléphone pour qu’il ne le remarque pas.
« Votre BIOS est vraiment obsolète, il date de 2006 »
Il remarque que la machine virtuelle n’a que 1,49 Go de RAM, certainement pas normal du tout, et pas exactement possible sur un vrai ordinateur. Il essaie toujours de me dire qu’il y a un problème avec mon ordinateur, mais il n’arrête pas de s’interroger sur la RAM, puis il se rend compte que si «je viens d’acheter le PC», il n’aurait pas de BIOS à partir de 2006.
Je n’en peux plus, alors je lui demande carrément « Les gens vous paient vraiment 175 $ pour cette arnaque? ». Il sait que le jig est en place et se met à rire nerveusement pendant un bref instant, mais il refuse de briser le personnage ou de me donner plus d’informations. Il commence à se demander pourquoi diable je l’accuse d’essayer d’arnaquer qui que ce soit. Il essaie juste de m’aider à éliminer les virus et les chevaux de Troie sur mon ordinateur. De façon hilarante, il commence à lire la définition du terme «arnaque» du dictionnaire, puis me dit que je suis un mauvais menteur. Il a toujours su que j’étais un informaticien.
Je commence à lui demander où il se trouve vraiment, dit-il à Sacramento. Je signale que son indicatif régional est d’Atlanta, et il dit qu’il n’a pas le temps de répondre à des questions idiotes. Je demande s’il est vraiment de Microsoft comme il l’a prétendu. C’est alors qu’il souligne qu’il n’a jamais rien dit de tel. Il ne m’a jamais demandé ma carte de crédit ni tenté de me vider de l’argent. Il ne fait rien de mal. S’il s’agissait d’une arnaque, pourquoi aurait-il suggéré que je l’apporte à un atelier de réparation? (Il répète cela au moins 10 fois. Cela ne peut pas être une coïncidence). Et c’est le jeu auquel il s’accroche pendant au moins 15 minutes à essayer de lui faire admettre son opération.
Vous voyez, le premier type appelle et prétend qu’il vient de «Windows» et que vous avez des virus. Ensuite, le deuxième type vous demande de vous connecter, puis le troisième vous dit que cela va vous coûter de l’argent, et vous transfère au quatrième gars qui, selon nous, prendrait votre argent, ne ferait rien d’utile avec votre PC, installera probablement des chevaux de Troie sur il, puis vous laisser vous sentir comme une ventouse.
Et c’est l’histoire de la façon dont j’ai perdu 41 minutes à m’amuser avec un escroc.
