web-dev-qa-db-ja.com

「技術サポート」詐欺にほとんど落ちました-リスクは何ですか?

知人がマイクロソフトの従業員から電話を受け、チームビューア(通常はテクニカルサポート詐欺として知られている)を介してWindows 10コンピューターにアクセスできるようにしました。しかし、詐欺師が彼にファイルを送信することを望んだとき、彼は疑わしくなり、何かが送信される前にすぐにコンピューターをシャットダウンしました。彼は自分のクレジットカード番号やその他の個人情報を提供しませんでした。その後、彼はすぐに自分のパスワードを別のコンピューターから変更し、影響を受けたコンピューターをインターネットに接続しませんでした。彼は私に助けを求めましたが、どの手順が必要かわかりません。

  • コンピューターが感染していると思いますか?チームビューアのリモートセッションがアクティブでしたが、言ったように、ファイルは送信されませんでした。コンピュータに感染することはまだ可能ですか?
  • 私の計画はライブCDを起動してウイルススキャンを実行することですが、ディスク全体を消去する必要があるかどうかはわかりません。安全な方法になりますが、時間がかかります。
  • ルーターが感染している可能性はありますか? DNS設定を確認したいのですが、他に確認する必要があるものはありますか?または、ルーターを完全にリセットする必要がありますか?

誰かが私にいくつかのヒントとアドバイスをしてくれたらいいですね。質問はこれら2つの重複ではないと思います。

コンピューターにウイルスが存在する場合の対処方法よりも、ファイルを送信せずにコンピューターに感染することが可能である場合の方が興味があるからです。

PS私はドイツ出身です。技術サポート詐欺は英語圏以外の国にも広がっているようです...

31
Phil

あなたの説明から、心配することは何もありません。被害者は、攻撃者に制御を与えたり、攻撃者に情報を与えたりせずに、画面を攻撃者と共有しました。

被害者が攻撃者が提供したものではなく、共通のツール(TeamViewer)を使用したため、共有セッションにリスクはありません。

攻撃者がルーターにアクセスしたことがないため、ルーターにリスクはありません。

攻撃者が画面にどのような情報を表示したかはわかりませんが、おそらく唯一の懸念はIPアドレスの開示です。これは、ルーターをオン/オフにするか(場合によっては機能します)、またはISPに新しいIPを要求することで軽減できます。

28
schroeder

Uni時代には、nagwareをクラックしたときに、元のインストーラーをクラックと、追加のファイルやバイナリーを含めてコードに加えたすべての変更を加えて再パッケージすることがよくありました。当時のツールは今日よりはるかにシンプルでした。

友達が「本物のTeamViewer」をインストールしたことを保証するものは何もありません。

彼が彼らがやっていたことを「見た」にもかかわらず、彼がバイナリー/インストーラーをクリックしたときまでに彼らがそうしていなかったこと、彼と話している人々のパートナーへの二次制御接続、または追加のソフトウェアが開かれたことも何も保証しませんバックグラウンドでダウンロードされました。

被害者がTeamViewerを「のみ」インストールし、何が行われたかを「見た」にもかかわらず、IMOが唯一の賢明な解決策は、万が一に備えてコンピュータをフォーマットし、すべてを最初からインストールすることです。

また、一部のAVソリューションが署名を見つけられない場合、何も残っていないことを想定すると、これはまったく誤った安心感です。 AVは、特別に細工されたバイナリ/スクリプトまたは「公式」ソフトウェアを置き去りにすることはありません。

3
Rui F Ribeiro

彼らがクレジットカードを提供せず、ファイルを受け取っていない場合、心配する大きな理由はないはずです。ウイルススキャンとマルウェアの検出を実行して、見つかったものをすべて削除してもらいます。

米国では、連邦取引委員会が、これらのタイプの詐欺に関する専門家以外のページをまとめました。さらに知識を得るために友達をそこに誘導するかもしれません。

何かが発生した可能性があると思っても、過度に保護されていても害はありません。それはすべて、コンピューターデータがまだ完全であるという事実の後の人の快適さのレベルです。

これは米国FTCからのリンクです

3
jedicurt

Teamviewerでは、デフォルトで相手がコンピュータを制御できるようになっています。ただし、このコントロールは、マウスとキーボードを使用して、まるでマシンの前に座っているかのように完全に表示されます。

PCに感染するために、攻撃者はPCを介してファイルをダウンロードして実行する可能性があります。 TV経由でファイルを送信する必要はありません。しかし、彼らがそうしようとした場合、それは彼らの計画の一部であった可能性が非常に高いです。なぜそうしないのですか。

あなたの友人がプロセス全体を見た場合、彼らは攻撃者が何にアクセスしたかを知ることができます。友人がそのどちらも行わなかったことを知っていて、RDPやその他の方法で自分用のアクセスを設定しなかった場合は、コンピューターをハッキングしなかった可能性が高いです。これは無警戒で簡単な詐欺であり、レーダー攻撃の下で洗練されたものと組み合わせられることはまずありません。

コンピュータが機密情報の処理に使用されていない場合は、通常の手順(マルウェアチェック)を行う必要はおそらくありません。念のため、実行できる追加の手順には、Teamviewerのアンインストール(無人アクセス用にセットアップされている場合)、銀行のパスワードのブラウザーのクリア、パスワードで保護されたマネージャーの使用、2FAが存在しない銀行のパスワードの変更などがあります。使用している(とにかく毎年やることは悪いことではない)。

2
ZOMVID-20

Teamviewerのバージョンが指定されていません。

古いバージョンでは、デフォルトでクリップボード共有(ファイルを含む)が許可されていました。さらに悪いことに、クリップボードの共有には使用の兆候がなかったため、誰にも気付かれずにファイルをリモートコンピュータ(おそらくスタートアップの場所)にコピーできます。

リモート制御されているマシンにプログラムがコピーされている可能性があります。これには即時の影響はありませんが、悪意のあるペイロードは次回の起動時にアクティブになります。また、サービスによって定期的に使用されるファイルを置き換えることもできます。つまり、マシンmayに感染することになります。

ライブCDを実行して手動でチェックするのが最善の方法です。ウイルススキャンでは、難読化されたファイルを見逃す可能性があります。または、悪意のあるペイロードがスキャナーで認識されません。現実的には、マシンへの書き込みアクセス権が与えられると多くの攻撃オプションがあります(たとえば、一般的にロードされるドライバーファイルの置き換え、一般的なサービスで使用されるファイルの置き換えなど)。

上記のアプローチを使用すると、ルーターが感染する可能性があります理論的には

1
PNDA