Thèmes
Services
Accueil > Attention Support- ...
FR
FR DE IT EN

Attention aux escrocs du support

Microsoft a récemment présenté une nouvelle étude. Les chiffres montrent que les formes d'escroquerie les plus connues sont toujours répandues : Fausses offres de support par téléphone, par e-mail, par pop-up ou encore redirection lors de la navigation sur le web. Le spécialiste de la sécurité informatique G Data révèle un autre type d'escroquerie avec un prétendu support technique : Trojan d'extorsion au design Microsoft !

Rédaction - 7 novembre 2016

achtung-support-betrueger-it-security

On connaît la chanson : un appelant venu d'Inde tente de vous convaincre que votre ordinateur est en panne et que vous devez absolument installer un logiciel. Cette arnaque n'est certes pas nouvelle, mais cette forme d'escroquerie est très répandue. Ingénierie sociale est d'une actualité brûlante.

Une forme d'escroquerie au support technique que Microsoft ne met pas explicitement en évidence dans son analyse est l'attaque par le ransomware Screenlocker. Les utilisateurs d'ordinateurs ne reçoivent pas d'appel ni d'e-mail, mais leur accès à l'ordinateur est bloqué par un cheval de Troie de chantage. Les victimes doivent alors appeler un prétendu numéro de téléphone Microsoft pour renouveler leur licence prétendument expirée pour leur PC. Les experts de G Data se sont penchés de plus près sur ce type d'escroquerie :

L'arnaque du ransomware Screenlocker

Le fichier malveillant se présente toujours sous la forme d'un soi-disant programme d'installation pour un produit, par exemple VMC Media Player ou autre. Mais le programme annoncé n'est pas du tout contenu dans cet installateur ! La famille de logiciels malveillants analysée utilise Smart Install Maker pour générer l'installateur. L'analyse suivante de G Data se base sur le fichier suivant, qui s'est fait passer pour "Free Download Manager" : SHA256 : c72fb6e95375900999d14cd10541021a4db0a9065e387ed6b45266d80bb18d55

Après l'exécution, cet installateur place un fichier .bat et un fichier .exe (selon la variante, ceux-ci ont des noms différents). Le fichier .exe est inscrit en tant que démarrage automatique, aussi bien sous Winlogon Shell que sous l'entrée de démarrage automatique habituelle : SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Le fichier .bat

Le .bat contient du code batch qui redémarre l'ordinateur après un certain délai.

Le fichier .exe

Il s'agit du code malveillant proprement dit, le verrou d'écran. Dans notre exemple de cas, le fichier d'assemblage .NET s'appelle fatalerror.exe et nécessite .NET 2.0 pour son exécution.

G Data écrit qu'il a vu d'autres échantillons nécessitant .NET 4.6 pour s'exécuter. Si ces fichiers tombent sur Windows XP (où la version ne peut pas être installée) ou sur un système avec une version .NET inférieure, le redémarrage effectué se traduit par un écran vide qui n'affiche plus que son propre fond d'écran Windows et le curseur de la souris.

Il n'est toutefois pas possible de se connecter ou de lancer l'Explorateur Windows dans l'un ou l'autre cas.

Les personnes concernées voient s'afficher un écran de verrouillage au design de Windows 10. Si l'on n'utilise pas Windows 10, on pourrait déjà remarquer à ce stade que quelque chose ne va pas, comme l'écrit G-Data.

Conclusion

Les arnaques au support technique ne sont pas un phénomène nouveau. Vous ne recevrez à aucun moment un appel honnête de Microsoft ou de ses partenaires vous demandant de payer pour une réparation d'ordinateur.

L'apparition accrue du ransomware Screenlocker a été une évolution dans ce contexte et peut inquiéter encore davantage les utilisateurs. D'autant plus qu'ici, un escroc ne signale pas de prétendus problèmes sur l'ordinateur, mais bloque activement l'accès à l'appareil. Il est donc malheureusement exclu d'ignorer les faux avertissements.

Conseils et astuces

  • Gardez à l'esprit que le titre de "partenaire Microsoft" n'indique pas qu'une personne est particulièrement digne de confiance. L'effort à fournir pour s'enregistrer en tant que partenaire officiel Microsoft est relativement faible.
  • N'accordez pas à une personne d'assistance l'accès à distance à votre appareil, à moins que vous ne soyez absolument certain qu'elle fournit un service légitime et que vous l'avez engagée pour le faire.
  • Résistez à la curiosité et ne vous laissez pas attirer par de prétendus collaborateurs du service d'assistance sur des pages web contenant des informations importantes. Ces pages web pourraient être spécialement préparées pour infecter les visiteurs avec des logiciels malveillants ou pour phisher des données.
  • Refusez l'aide par téléphone ou sur le site web si des frais inattendus vous sont facturés. Ne communiquez pas vos données de paiement (p. ex. les données de votre carte de crédit) ou d'autres données personnelles.
  • Bien entendu : ne donnez jamais de mots de passe à d'autres personnes !

Source : G Data

(Visité 62 fois, 1 visites aujourd'hui)

Plus d'articles sur le sujet

Sicheres Datenverbundnetz Plus (SDVN+): Neuplanung der Erschliessung der Kantonsstandorte lanciert

Beirat Digitale Schweiz: Austausch zur Regulierung von künstlicher Intelligenz

Bundesrat veröffentlicht Bericht zur Bekämpfung der Cyberkriminalität in der Schweiz

ACTUALITÉS SUR LA SÉCURITÉ

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren E-Mail-Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Vous pouvez vous désinscrire à tout moment !
close-link