Une arnaque au support Microsoft est actuellement en cours. Cette arnaque à déjà fait beaucoup de victimes en France et en Europe. L’arnaque est diffusée à travers des sites Web piégés ou via des régies publicitaires. La victime reçoit une POPUP lui indiquant un message : Votre ordinateur est Verrouillé ou encore Votre ordinateur à été infecté.
Contents
Description de l’arnaque Windows Support
L’arnaque au support technique Windows fait de nombreuses victimes, essentiellement chez les + de 60 ans. Paniqué et pressé de débloquer leur ordinateur qui affiche un écran bleu ou une POPUP alarmante, les victimes composent le numéro de téléphone affiché. Les escrocs se font passer pour des experts en résolvant des problèmes qui n’existent pas, puis réclament un paiement de plusieurs centaines d’euros sous forme d’un paiement unique ou d’abonnement.
Ce Scam est toujours actif, nous l’avons testé à travers le domaine magazzino.com qui diffusait le script PHP malicieux il y a encore quelques jours. Le site de programmes TV Télé-loisirs à travers le domaine programme-tv.net diffusait quand à lui, des publicités piégés via des régies publicitaires douteuses pas plus tard qu’hier.
La POPUP affichée à la victime n’a qu’un seul objectif, lui faire peur ! Elle est généralement accompagnée d’un fichier audio afin d’accentuer la pseudo gravité de l’alerte. Voici un exemple de message audio utilisé dans la diffusion du Scam en France :
Les PopUp ou écrans bleu varient selon les variantes du Scam :
Pour cette arnaque, plusieurs numéros de téléphone sont utilisés, en voici une liste que nous avons découvert pendant notre enquête (Si vous connaissez d’autres numéros, n’hésitez pas à les ajouter en commentaire) :
- 09.70.38.92.10
- 09.70.18.25.57
- 09.70.18.21.46
- 09.70.18.18.25
- 09.70.38.86.08
- 09.70.18.05.63
- 09.70.18.91.62
- 09.70.38.84.24
- 09.70.18.15.17
- 09.70.38.84.47
- 09.70.18.08.40
- 09.71.07.85.03
Les escrocs se présentent comme : une société reconnue mondialement dans la sécurité informatique certifiée Microsoft et Apple. La première étape de l’entourloupe consiste pour eux à soit vous faire installer un logiciel de contrôle à distance ou soit de vous faire aller sur un site web, un plugin de navigateur servira alors de logiciel de contrôle à distance.
Ils utilisent généralement TeamViewer ou ConnectWise. Pour crédibiliser leur support, ils utilisent les domaines et sous-domaines suivant : internetsecur.com ; go.internetsecur.com ; infopc24.com ; go.infopc24.com ; ordi2020.com ; pc12.tech .
Ils feront ensuite un pseudo nettoyage en utilisant des outils diverses et variés. Ils installeront PC Privacy Shield. Cette application simule un scan de sécurité vous faisant croire que rien ne va sur votre ordinateur. PC Privacy Shield est ni plus ni moins qu’un Rogue
Leur but n’est pas de vous voler des données ou bien encore garder l’accès à votre PC sur du long terme. Ils vont éviter d’effectuer des actions illégales afin de ne pas être poursuivi en justice. En effet il est difficile de les traduire en justice puisque c’est l’utilisateur qui compose le numéro, c’est l’utilisateur qui installe le logiciel de contrôle à distance etc … Nous avons suivi leur instructions, nous avons donc composé le numéro et enregistré la conversation. Vous pouvez écouter cette conversation en utilisant le lecteur média ci-dessous :
Nous avons réitéré l’appel peut de temps après en appelant un autre numéro que l’arnaque utilise. Dans cette conversation, on sent bien la méfiance de l’escroc. Il pèse ses mots en évitant de se mettre en porte à faux. Nom d’une frite, vous êtes Belge une fois !
L’arnaque au Support Windows diffusée par Amazon !
La société Amazon ne va pas aimer le titre de ce paragraphe mais pourtant il en est ainsi. Le script malicieux est bel et bien diffusé à travers l’infrastructure d’hébergement de Amazon. Les escrocs utilisent le cloudfront d’Amazon. Cela rend particulièrement difficile toute attaque DDOS contre eux. Difficile également de blacklister une url car les compte AWS sont très volatiles. Nous nous sommes rapproché du support des comptes AWS d’Amazon afin de faire fermer les comptes concernés et d’identifier l’émetteur. Le dossier est en cours … L’url de diffusion ressemble à cela : hxtps://id-temporaire.cloudfront.net/XMCH7xe/?phone=tel-09-70-du-support
Comment supprimer l’écran bleu du faux support Windows ?
L’arnaque a plusieurs variantes mais dans la plupart des cas, il suffit de fermer le processus du navigateur en faisant CTRL + ALT + SUPPR pour ouvrir le gestionnaire des tâches puis un clic droit sur le processus du navigateur (Firefox, Chrome, Edge ..) et choisir Fin de tâche. Vous pouvez également forcer l’arrêt de votre PC en appuyant longuement sur le bouton Marche / Arrêt.
Certaines versions plus virulentes pourraient demander l’intervention d’un professionnel. La page pourrait provenir d’un malware, installé grâce à un phishing réussi. Dans ce cas-là, vous pouvez contacter un professionnel.
Quel réflexe adopter si vous tombez dans le panneau ?
- Commencez par faire opposition sur votre carte bancaire.
- Désinstallez le logiciel de bureau à distance de l’escroc.
- Changez tous vos mots de passe.
- Signalez le SCAM à Microsoft : https://www.microsoft.com/fr-fr/concern/scam?rtc=1
- Signalez votre mésaventure sur Pharos.
- Déposer plainte au commissariat.
- Envisagez de réinitialiser Windows 10
Bonjour J ai un nouveau n0 de la même série 0970387986