Arnaque support téléphonique – PC Support

Les arnaques de support téléphoniques ou “tech scam” en anglais sont de plus en plus courantes.
A l’origine, il s’agissait de campagnes téléphoniques se faisant passer pour Microsoft, ces arnaques ont aussi été élargies à des pages WEB bloquant plus ou moins le navigateur WEB et affichant un message indiquant que l’ordinateur est infecté afin de faire téléphoner à un support téléphonique, parfois se faisant passer pour Microsoft, afin de vous faire acheter des logiciels de désinfection/nettoyage à des prix exorbitants.
Si l’arnaque ne fonctionne pas bien, cela peut tourner à du chantage en bloquant l’ordinateur, soit en insérant un mot de passe Syskey, soit en insérant un “Winlocker” qui va empêcher le chargement de Windows en affichant un message disant de rappeler ce support téléphonique.

Au final, l’internaute peut se faire demander des centaines d’euros pour réparer son ordinateur.

Apparus d’abord aux Etats-Unis, elles ont été ensuite, comme c’est souvent le cas, ces arnaques ont été ensuite internationalisés souvent via des traducteurs automatiques. Ces messages comportent donc comme bien souvent des fautes de syntaxes.
Les logiciels d’optimisation et de désinfection peu fiables utilisent aussi maintenant ces arnaques via leurs support, notamment le très connu Reimage Repair semblent en faire la pratique, d’après des remontés utilisateurs, certains se sont fait demander plusieurs centaines d’euros pour désinfecter leurs ordinateurs.

De manière générale, ces arnaques de support téléphonique utilisent et s’inscrivent, dans les arnaques plus larges des fausses alertes de virus.

arnaque-logo

Les arnaques de support téléphonique : des arnaques en augmentation

En détail, dossier sur les arnaques téléphoniques (Aout 2014) : Arnaques désinfection / support par téléphone et en vidéo :

La version “Security Warning” avec les explications pour fermer la fenêtre.
Pour fermer ces fenêtres de faux messages de virus :

  • Appuyez sur le clavier sur CTRL+ALT+Suppr
  • et ouvrez le Gestionnaire de tâches Windows
  • Sélectionnez la fenêtre du navigateur WEB pointant vers l’arnaque de support téléphonique.
  • En bas, cliquez sur “fin de tâches”.

Dans son actualité annuelle, Symantec prétend avoir bloqué plus de 100 millions de tentatives de chargement des tech scam avec une hausse de 200% entre l’année 2015 et 2015 : http://www.symantec.com/connect/blogs/what-symantec-s-intrusion-prevention-system-did-you-2015

tech_scam_symantec

En Octobre 2014, Microsoft avait alerté sur une hausse de ces arnaques : “Depuis Mai 2014, Microsoft a enregistré 175 000 plaintes. Cette année, 3 millions d’américains pourraient payer pour un montant de total de 1,5 milliards de dollars.”

Voici un exemple de deux pages de blocage relative au deux arnaques de support téléphonique les plus actifs.
Ce premier groupe utilise des adresses et domaines avec des mots relatives à des virus dans la langue du pays visité, ainsi on peut trouver des adresses du type.

Ces arnaques s’intitulent “Avertissement du navigateur – Windows Firefox Avertissement – Vous pourriez être infecté par un virus adware / Spyware”

Celui-ci simule aussi un curseur de souris qui bouge tout seul, pour faire croire à l’internaute que son ordinateur est contrôlé par un pirate :

Le second groupe avec des pages intitulées “PC Support” avec bien entendu des domaines aléatoires, dernièrement relatifs à la cuisine.
Par un moment les domaines étaient liés à rechercheurs de malwares parlant de ces arnaques de support, on a donc eu droit à des domaines du type MALEKAL4.COM ou MALWAREBYTESPREMIUMSUPPORT.COM

PC_Support_arnaque_support_telephonique

Plus récemment, les adresses utilisées sont chez amazonaws.com ou encore storage.googleapis.com

Notez les traductions approximatives:  “votre ordinateur est bloké”
ou encore “Appel de Soutien” traduction de “Call Support”.

ou encore les pages Microsoft Official Support avec un logo Certified Microsoft technician support qui tentent de se faire passer pour Microsoft :

Comment ces arnaques de support téléphoniques sont diffusées

Ces pages d’arnaque de support utilisent deux méthodes de diffusions :

  • via des adwares qui vont utiliser des régies publicitaires peu regardantes, l’ordinateur étant infecté et ralenti, ces pages de support peuvent avoir un impact fort sur l’utilisateur qui peut être enclin à appeler ces numéros.
  • via des régies publicitaires actives sur des sites illégaux et pornographiques “malvertising“, les mêmes régies qui sont aussi touchés par des campagnes du ransomware Browlock ou des campagnes liés aux adwares, via de faux messages de mises à jour Java et Flash, InstallCore et DomaIQ/SoftPulse étant particulièrement actif.

Pour ce dernier cas, à lire aussi : Les sites de streaming et les virus

A noter que des publicités malicieuses sur Facebook ont pu en diffuser, exemple avec cette vidéo :

Si certaines régies publicitaires semblent être vraiment victimes, d’autres régies publicitaires diffusent ces arnaques depuis plusieurs mois sans avoir l’air vraiment de les combattre (RevenueHits, ZeroPark, AdsTerra, Propeller Ads).
Pensez que ces dernières gagnant de l’argent en diffusant ces publicités malicieuses.
Par exemple, le réseau publicitaire Exoclick supprime ces publicités malicieuses dans la seconde où elles sont rapportées : https://twitter.com/malekal_morte/status/687277980310224898
Alors que tous les réseaux cités plus haut, ne répondent pas aux emails et tweets (RevenueHits, ZeroPark) ; certaines diffusent ces arnaques téléphoniques depuis des mois.

Côté blocage antivirus, c’est assez aléatoire, Avast! peut toute les bloquer comme parfois en bloquer aucune.
Les adresses des publicités malicieuses peuvent être bloquées (j’en rapporte souvent à Avast!), ce qui permet de bloquer en amont de la page du support téléphonique. Par exemple ci-dessous avec redm11.com :
avast_blocage_arnaque_support_tech_scam

 

avast_blocage_arnaque_support_tech_scam_2

avast_blocage_arnaque_support_tech_scam_3

Ci-dessous Antivir qui ne voit que du feu :

antivir_blocage_arnaque_support_tech_scam

La protection WEB de Malwarebytes Anti-Malware disponible dans la version payante doit aussi bien protégé de ces arnaques (je n’ai pas testé), étant donné que Malwarebytes suit de près ces dernières.

Il s’agit donc d’arnaque, si la page se charge chez vous, aucun malware n’est installé sur l’ordinateur. Un utilisateur non protégé par son antivirus mais avertit parce type d’arnaque n’a juste qu’à fermer la page WEB.

Les points communs à ces escroqueries

Les points communs dans toutes ces escroqueries d’hotline téléphonique :

  • Elles sont diffusées par des publicités, notamment sur les sites qui ne respectent pas les droits d’auteurs : scan de mangas, sites de streaming illégaux, torrent etc
  • Elles bloquent généralement le navigateur WEB, boucle de popup, passage en plein écran automatiquement, popup d’authentification. Le but est de vous empếcher de cliquer sur la croix de fermeture
  • Elles tentent de se faire passer pour Microsoft, afin de vous faire mettre en relation avec un soit-disant technicien Microsoft : logo, message de Windows ou Microsoft. Certains affiches de fausses pages de Windows Defender.

Le but final est de vous faire acheter des logiciels de nettoyage et de désinfection ou prendre des abonnements à la hotline.
Aucun virus n’est installé sur l’ordinateur durant la phase de prise en main.

FAQ – Comment fermer ces faux messages de virus ?

Ces pages tentent de bloquer le navigateur WEB pour faire croire que votre ordinateur est infecté.
Les techniques diffèrent selon les campagnes, mais globalement, il s’agit :

  • d’ouvrir des popups en boucle pour empêcher de fermer l’onglet ou le navigateur WEB
  • de passer le navigateur WEB en plein écran afin de masquer le bouton de fermeture

Pour fermer le plein écran, il faut appuyer sur la touche F11, toutefois, la page va tenter de repasser en plein écran rapidement.
Vous pourrez récupérer la main pendant un court laps de temps.

Chrome

Sur Google Chrome, si une de ces fausses pages de virus s’ouvre, appuyez sur la touche CTRL +T
Cela va ouvrir un nouvel onglet.
Vous pourrez alors facilement fermer la fausse page de virus.

En second lieu, si vous parvenez à récupérer la barre des tâches, faites un clic droit sur l’icône de Chrome puis Fermer la fenêtre

Si rien ne fonctionne, passez à la procédure standard.

Edge

Microsoft Edge permet de cocher une option pour que les popups arrêtent de boucler et reprendre la main.

Si vous réussissez à récupérer la barre des tâches, cliquez droit sur l’icône Edge, et forcer la fermeture.
Relancez alors Microsoft Edge.

Procédure standard

Si vraiment vous ne parvenez à rien faire :

  • Ouvrez le gestionnaire de tâches de Windows : CTRL+ALT+Suppr
  • Dans la liste des programmes ouverts, sélectionnez le navigateur WEB et faites fin de tâches pour forcer la fermeture.
  • Relancez ce dernier en ne restaurant pas la session (ou décochez la page de virus).

Si la fausse page de virus s’ouvre à l’ouverture du navigateur WEB, un nettoyage CCleaner peut aider à régler ce problème.

FAQ – Un faux technicien a pris la main sur mon ordinateur, que faire ?

Le but de ces arnaques est de vous faire acheter des logiciels antivirus et autres programmes soit disant d’optimisation à des prix excessifs.
Ces derniers comme ont tendance au final à ralentir l’ordinateur.
Le technicien n’est pas là pour installer des virus/malwares, voler des mots de passe et compagnie.

1/ Dans un premier temps, n’hésitez pas à les harceler pour tenter d’être remboursé, vous ne récupérerez probablement pas l’intégralité de la somme versée mais probablement une partie 25%/50% – en :

2/ Inspectez ensuite les programmes installés dans le Panneau de configuration > Programmes et fonctionnalités.
Trier la liste par date d’installation afin de regrouper les applications par leur date d’installation.
Vérifiez si des logiciels ont été installés le jour de la prise en main par le technicien.
Voir la page : Désinstaller les programmes sur Windows.

3/ Changez tous vos mots de passe WEB (Facebook, compte en ligne, jeu) et Windows.

4/ Signaler l’arnaque sur le portail PHAROS – mentionnez bien le nom de la société qui pratique ces arnaques d’hotline ainsi que le numéro de téléphone si possible.
Si vous avez été victime, lisez la page : Recours pour les victimes de virus ou arnaque sur internet

Conclusion

La prochaine évolution logique est un mix entre des ransomware type Winlocker qui bloque l’accès à Windows et ces demandes d’appel à ces faux supports téléphoniques.
On devrait donc avoir bientôt des ransomware qui bloquent Windows en disant que l’ordinateur est infecté et en demandant d’appeler un numéro de téléphonique.
Ici un que j’ai récupéré, début Janvier : Arnaques support téléphonique : le premier ransomware
Apparemment, il existe une variante affichant de faux BSOD en donnant un numéro de téléphone.

De manière générale, ces arnaques de support téléphonique utilisent et s’inscrivent, dans les arnaques plus larges des fausses alertes de virus.

Ce n’est pas parce qu’une page s’ouvre pour vous indiquer que votre ordinateur est infecté, que cela est vrai.

Exemple de faux scan et alerte de virus est accessible sur la page : https://www.malekal.com/fakescan/

Sujet connexe à ces faux messages : Fausses pages web et messages de virus téléphones/tablettes

EDIT – Fin Avril 2016 : arnaque de support téléphonique toujours d’actualité

Ces arnaques sont toujours d’actualité, dans notre dernière actualité, celles-ci sont passées numéro 1 en Australie.
Les messages d’utilisateurs abusés continuent d’affluer, parmi les sociétés citées, on trouvé :

Le nom d’une société a dû être retirée après avoir reçu des menaces en message privé, tout en proposant de faire de la pub pour leur soft..
Les softs cités sont masqués sinon, ça va encore pleurnicher….. Mais je peux vous dire, qu’ils sont d’aucune utilité…

EDIT – Début Mai 2016 : arnaque de support téléphonique – Ecran bleu et nouvelle variante Soutien Technique PC” avec un chat

La variante faux écran bleu est très répandue, celle-ci affiche une erreur B4259FErreur B4259F

On notera aussi par la suite, l’utilisation d’adresses en amazonaws.com, exemple avec l’adresse s3-us-west-1.amazonaws.com/adware-infection/danger-navigation.htm

Une nouvelle variante “Soutien Technique PC” avec une fausse fenêtre de chat d’un Technicien du “Soutien Technique”, en vidéo :

Security Error 0x00759B

Autre exemple avec une page Security Error 0x00759B – et le message Windows a été bloqué en raison de l’activité douteuse.
Déjà Windows n’est pas bloqué, vu qu’il s’agit d’une simple page WEB…
La page reprend la charte graphique du site de Microsoft et les logos.

On demande d’appeler au numéro 09.75.12.80.49

EDIT – MENACE CRITIQUE IDENTIFIEE

Un message d’arnaque téléphonique assez soignée avec “MENACE CRITIQUE IDENTIFIEE”.
Celle-ci est assez soignée avec un faux CHAT.
Elle reprend aussi le nom du fournisseur d’accès internet.

(Visité 15 785 fois, 1 visites ce jour)

Vous pouvez aussi lire...