Presque tombé pour une arnaque de "support technique" - quel est le risque?
Une de mes connaissances a reçu un appel d'un employé présumé de Microsoft et lui a donné accès à son ordinateur Windows 10 via la visionneuse d'équipe (communément appelée arnaque du support technique). Mais lorsque l'escroc a voulu lui envoyer un fichier, il est devenu suspect et a immédiatement éteint l'ordinateur avant que quoi que ce soit puisse être envoyé. Il n'a pas donné son numéro de carte de crédit ni aucune autre information personnelle. Par la suite, il a immédiatement changé ses mots de passe d'un autre ordinateur et n'a pas connecté l'ordinateur affecté à Internet depuis. Il m'a demandé de l'aide maintenant, mais je ne sais pas quelles étapes sont nécessaires.
- Pensez-vous que l'ordinateur pourrait être infecté? Une session à distance de visionneuse d'équipe était active, mais comme je l'ai dit, aucun fichier n'a été envoyé. Est-il toujours possible d'infecter un ordinateur?
- Mon plan est de démarrer un CD live et d'exécuter une analyse antivirus, mais je ne sais pas s'il est nécessaire d'effacer tout le disque. Ce serait la manière la plus sûre, mais aussi beaucoup plus de temps.
- Est-il possible que le routeur ait pu être infecté? Je souhaite vérifier les paramètres DNS, dois-je vérifier autre chose? Ou dois-je réinitialiser complètement le routeur?
Ce serait bien si quelqu'un me donnait quelques conseils et astuces. Je ne pense pas que la question soit un double de ces deux:
- que faire après une arnaque de "support technique"
- Aide! Mon PC personnel a été infecté par un virus! Que dois-je faire maintenant?
Parce que je suis plus intéressé s'il était possible d'infecter l'ordinateur sans envoyer de fichier plutôt que de savoir quoi faire s'il y a un virus sur l'ordinateur.
PS Je viens d'Allemagne, il semble que l'arnaque du support technique ait également atteint des pays non anglophones ...
D'après votre description, il n'y a rien à craindre. La victime vient de partager l'écran avec l'attaquant sans lui donner le contrôle ni lui fournir aucune information.
Comme la victime a utilisé un outil commun (TeamViewer) et non fourni par l'attaquant, il n'y a aucun risque dans la session partagée.
Il n'y a aucun risque pour le routeur car l'attaquant n'y a jamais eu accès.
On ne sait pas quelles informations l'agresseur a vues à l'écran, mais la seule préoccupation est peut-être la divulgation de l'adresse IP. Cela peut être atténué en allumant/éteignant le routeur (qui fonctionne dans certains cas) ou en demandant au FAI une nouvelle IP.
Dans mon temps Uni, quand j'ai craqué le nagware, j'ai souvent reconditionné l'installateur d'origine avec mon crack et toutes les modifications que j'avais apportées au code, y compris les fichiers/binaires supplémentaires. Les outils à l'époque étaient beaucoup plus simples qu'aujourd'hui.
Rien ne garantit que votre ami a installé un "véritable TeamViewer".
Rien ne garantit également qu'en dépit d'avoir "vu" ce qu'ils faisaient, qu'ils n'avaient pas au moment où il a cliqué sur un binaire/installateur, qu'une connexion de contrôle secondaire a été ouverte à un partenaire des personnes qui parlent avec lui, ou un logiciel supplémentaire a été téléchargé en arrière-plan.
Bien que la victime n'ait "que" installé TeamViewer et "ait vu" ce qui a été fait, l'OMI la seule solution sensée consiste à formater l'ordinateur et à tout installer à partir de zéro au cas où.
C'est également un faux sentiment de sécurité en supposant qu'il ne reste rien si une solution AV ne trouve pas de signatures. Un AV ne trouvera pas de binaires/scripts spécialement conçus ou de logiciels "officiels" laissés pour compte.
S'ils n'ont pas donné de carte de crédit et n'ont pas reçu le dossier, il ne devrait pas y avoir de motif important de préoccupation. Je voudrais qu'ils exécutent une analyse antivirus et une détection de logiciels malveillants et suppriment tout ce qui a été trouvé.
Aux États-Unis, la Federal Trade Commission a créé une page non technique sur ces types d'escroqueries. Vous pourriez y diriger votre ami pour de plus amples informations.
Cela ne fait jamais de mal d'être trop protecteur si vous pensez que quelque chose s'est produit. Il s'agit du niveau de confort de la personne après le fait que ses données informatiques sont toujours intactes.
Teamviewer par défaut permet à l'autre partie de contrôler votre ordinateur. Cependant, ce contrôle est entièrement visible, comme s'ils étaient assis juste à côté de votre machine, à l'aide d'une souris et d'un clavier.
Pour infecter le PC, l'attaquant pourrait télécharger et exécuter un fichier via votre PC; l'envoi d'un fichier via la télévision n'est certainement pas nécessaire. Mais s'ils ont essayé de le faire, il est très probable que cela faisait partie de leur plan. Pourquoi faire autrement.
Si votre ami a vu l'ensemble du processus, il peut savoir à quoi l'attaquant a accédé. Si votre ami sait qu'il n'a rien fait de tout cela et qu'il ne s'est pas configuré lui-même via RDP ou autre chose, il est fort probable qu'il n'ait pas "piraté" l'ordinateur. Il s'agit d'une arnaque facile à ceux qui ne se doutent de rien, il est peu probable qu'elle soit combinée à une attaque sous radar sophistiquée.
Si l'ordinateur n'est pas utilisé pour traiter des informations sensibles, il n'est probablement pas nécessaire de prendre des mesures hors de l'ordinaire (vérification des logiciels malveillants). Juste pour être sûr, certaines autres étapes qui peuvent être prises incluent la désinstallation de Teamviewer (au cas où il a été configuré pour un accès sans surveillance), la suppression des mots de passe bancaires dans le navigateur/l'utilisation d'un gestionnaire protégé par mot de passe et la modification des mots de passe bancaires là où 2FA n'est pas '' t utilisé (pas une mauvaise chose à faire chaque année ou de toute façon).
La version Teamviewer n'a pas été spécifiée.
Les versions plus anciennes autorisaient le partage du presse-papiers (y compris les fichiers) par défaut. Pire, le partage du presse-papiers n'avait aucune indication d'être utilisé, donc on peut copier des fichiers sur un ordinateur distant (éventuellement sur les emplacements de démarrage) sans que personne ne le remarque.
Il existe un risque qu'un programme ait été copié sur la machine télécommandée. Cela n'a aucun effet immédiat, mais toute charge utile malveillante sera activée au prochain démarrage. On peut également remplacer des fichiers régulièrement utilisés par les services. Alors oui, la machine peut être infectée.
Exécuter un CD en direct et effectuer une vérification manuelle peut être la meilleure solution. Une analyse antivirus peut manquer des fichiers obscurcis ou la charge utile malveillante n'est tout simplement pas reconnue par le scanner. De manière réaliste, il existe de nombreuses options d'attaque une fois que l'on a accès en écriture à une machine (par exemple, en remplaçant les fichiers de pilotes fréquemment chargés, en remplaçant les fichiers utilisés par les services communs), donc une vérification manuelle pourrait même ne pas être possible.
En utilisant l'approche ci-dessus, le routeur peut être infecté en théorie, bien que je doute fortement que sauf si vous êtes confronté à une menace persistante et dédiée.