Arnaque support téléphonique – PC Support

Les arnaques de support téléphoniques ou « tech scam » en anglais sont de plus en plus courantes.
A l’origine, il s’agissait de campagnes téléphoniques se faisant passer pour Microsoft, ces arnaques ont aussi été élargies à des pages WEB bloquant plus ou moins le navigateur WEB et affichant un message indiquant que l’ordinateur est infecté afin de faire téléphoner à un support téléphonique, parfois se faisant passer pour Microsoft, afin de vous faire acheter des logiciels de désinfection/nettoyage à des prix exorbitants.
Si l’arnaque ne fonctionne pas bien, cela peut tourner à du chantage en bloquant l’ordinateur, soit en insérant un mot de passe Syskey, soit en insérant un « Winlocker » qui va empêcher le chargement de Windows en affichant un message disant de rappeler ce support téléphonique.

Au final, l’internaute peut se faire demander des centaines d’euros pour réparer son ordinateur.

Apparus d’abord aux Etats-Unis, elles ont été ensuite, comme c’est souvent le cas, ces arnaques ont été ensuite internationalisés souvent via des traducteurs automatiques. Ces messages comportent donc comme bien souvent des fautes de syntaxes.
Les logiciels d’optimisation et de désinfection peu fiables utilisent aussi maintenant ces arnaques via leurs support, notamment le très connu Reimage Repair semblent en faire la pratique, d’après des remontés utilisateurs, certains se sont fait demander plusieurs centaines d’euros pour désinfecter leurs ordinateurs.

De manière générale, ces arnaques de support téléphonique utilisent et s’inscrivent, dans les arnaques plus larges des fausses alertes de virus.

arnaque-logo

Les arnaques de support téléphonique : des arnaques en augmentation

En détail, dossier sur les arnaques téléphoniques (Aout 2014) : Arnaques désinfection / support par téléphone et en vidéo :

La version « Security Warning » avec les explications pour fermer la fenêtre.
Pour fermer ces fenêtres de faux messages de virus :

  • Appuyez sur le clavier sur CTRL+ALT+Suppr
  • et ouvrez le Gestionnaire de tâches Windows
  • Sélectionnez la fenêtre du navigateur WEB pointant vers l’arnaque de support téléphonique.
  • En bas, cliquez sur « fin de tâches ».

Dans son actualité annuelle, Symantec prétend avoir bloqué plus de 100 millions de tentatives de chargement des tech scam avec une hausse de 200% entre l’année 2015 et 2015 : http://www.symantec.com/connect/blogs/what-symantec-s-intrusion-prevention-system-did-you-2015

tech_scam_symantec

En Octobre 2014, Microsoft avait alerté sur une hausse de ces arnaques : « Depuis Mai 2014, Microsoft a enregistré 175 000 plaintes. Cette année, 3 millions d’américains pourraient payer pour un montant de total de 1,5 milliards de dollars. »

Voici un exemple de deux pages de blocage relative au deux arnaques de support téléphonique les plus actifs.
Ce premier groupe utilise des adresses et domaines avec des mots relatives à des virus dans la langue du pays visité, ainsi on peut trouver des adresses du type.

Ces arnaques s’intitulent « Avertissement du navigateur – Windows Firefox Avertissement – Vous pourriez être infecté par un virus adware / Spyware »

Celui-ci simule aussi un curseur de souris qui bouge tout seul, pour faire croire à l’internaute que son ordinateur est contrôlé par un pirate :

Le second groupe avec des pages intitulées « PC Support » avec bien entendu des domaines aléatoires, dernièrement relatifs à la cuisine.
Par un moment les domaines étaient liés à rechercheurs de malwares parlant de ces arnaques de support, on a donc eu droit à des domaines du type MALEKAL4.COM ou MALWAREBYTESPREMIUMSUPPORT.COM

PC_Support_arnaque_support_telephonique

Plus récemment, les adresses utilisées sont chez amazonaws.com ou encore storage.googleapis.com

Notez les traductions approximatives:  « votre ordinateur est bloké »
ou encore « Appel de Soutien » traduction de « Call Support ».

 

Comment ces arnaques de support téléphoniques sont diffusées

Ces pages d’arnaque de support utilisent deux méthodes de diffusions :

  • via des adwares qui vont utiliser des régies publicitaires peu regardantes, l’ordinateur étant infecté et ralenti, ces pages de support peuvent avoir un impact fort sur l’utilisateur qui peut être enclin à appeler ces numéros.
  • via des régies publicitaires actives sur des sites illégaux et pornographiques « malvertising« , les mêmes régies qui sont aussi touchés par des campagnes du ransomware Browlock ou des campagnes liés aux adwares, via de faux messages de mises à jour Java et Flash, InstallCore et DomaIQ/SoftPulse étant particulièrement actif.

Pour ce dernier cas, à lire aussi : Les sites de streaming et les virus

A noter que des publicités malicieuses sur Facebook ont pu en diffuser, exemple avec cette vidéo :

Si certaines régies publicitaires semblent être vraiment victimes, d’autres régies publicitaires diffusent ces arnaques depuis plusieurs mois sans avoir l’air vraiment de les combattre (RevenueHits, ZeroPark, AdsTerra, Propeller Ads).
Pensez que ces dernières gagnant de l’argent en diffusant ces publicités malicieuses.
Par exemple, le réseau publicitaire Exoclick supprime ces publicités malicieuses dans la seconde où elles sont rapportées : https://twitter.com/malekal_morte/status/687277980310224898
Alors que tous les réseaux cités plus haut, ne répondent pas aux emails et tweets (RevenueHits, ZeroPark) ; certaines diffusent ces arnaques téléphoniques depuis des mois.

Côté blocage antivirus, c’est assez aléatoire, Avast! peut toute les bloquer comme parfois en bloquer aucune.
Les adresses des publicités malicieuses peuvent être bloquées (j’en rapporte souvent à Avast!), ce qui permet de bloquer en amont de la page du support téléphonique. Par exemple ci-dessous avec redm11.com :
avast_blocage_arnaque_support_tech_scam

 

avast_blocage_arnaque_support_tech_scam_2

avast_blocage_arnaque_support_tech_scam_3

Ci-dessous Antivir qui ne voit que du feu :

antivir_blocage_arnaque_support_tech_scam

La protection WEB de Malwarebytes Anti-Malware disponible dans la version payante doit aussi bien protégé de ces arnaques (je n’ai pas testé), étant donné que Malwarebytes suit de près ces dernières.

Il s’agit donc d’arnaque, si la page se charge chez vous, aucun malware n’est installé sur l’ordinateur. Un utilisateur non protégé par son antivirus mais avertit parce type d’arnaque n’a juste qu’à fermer la page WEB.

FAQ – Un faux technicien a pris la main sur mon ordinateur, que faire ?

Le but de ces arnaques est de vous faire acheter des logiciels antivirus et autres programmes soit disant d’optimisation à des prix excessifs.
Ces derniers comme ont tendance au final à ralentir l’ordinateur.
Le technicien n’est pas là pour installer des virus/malwares, voler des mots de passe et compagnie.

1/ Dans un premier temps, n’hésitez pas à les harceler pour tenter d’être remboursé, vous ne récupérerez probablement pas l’intégralité de la somme versée mais probablement une partie 25%/50% – en :

2/ Inspectez ensuite les programmes installés dans le Panneau de configuration > Programmes et fonctionnalités.
Trier la liste par date d’installation afin de regrouper les applications par leur date d’installation.
Vérifiez si des logiciels ont été installés le jour de la prise en main par le technicien.
Voir la page : Désinstaller les programmes sur Windows.

3/ Changez tous vos mots de passe WEB (Facebook, compte en ligne, jeu) et Windows.

4/ Signaler l’arnaque sur le portail PHAROS – mentionnez bien le nom de la société qui pratique ces arnaques d’hotline ainsi que le numéro de téléphone si possible.

Conclusion

La prochaine évolution logique est un mix entre des ransomware type Winlocker qui bloque l’accès à Windows et ces demandes d’appel à ces faux supports téléphoniques.
On devrait donc avoir bientôt des ransomware qui bloquent Windows en disant que l’ordinateur est infecté et en demandant d’appeler un numéro de téléphonique.
Ici un que j’ai récupéré, début Janvier : Arnaques support téléphonique : le premier ransomware
Apparemment, il existe une variante affichant de faux BSOD en donnant un numéro de téléphone.

De manière générale, ces arnaques de support téléphonique utilisent et s’inscrivent, dans les arnaques plus larges des fausses alertes de virus.

Sujet connexe à ces faux messages : Fausses pages web et messages de virus téléphones/tablettes

EDIT – Fin Avril 2016 : arnaque de support téléphonique toujours d’actualité

Ces arnaques sont toujours d’actualité, dans notre dernière actualité, celles-ci sont passées numéro 1 en Australie.
Les messages d’utilisateurs abusés continuent d’affluer, parmi les sociétés citées, on trouvé :

Le nom d’une société a dû être retirée après avoir reçu des menaces en message privé, tout en proposant de faire de la pub pour leur soft..
Les softs cités sont masqués sinon, ça va encore pleurnicher….. Mais je peux vous dire, qu’ils sont d’aucune utilité…

EDIT – Début Mai 2016 : arnaque de support téléphonique – Ecran bleu et nouvelle variante Soutien Technique PC » avec un chat

La variante faux écran bleu est très répandue, celle-ci affiche une erreur B4259FErreur B4259F

On notera aussi par la suite, l’utilisation d’adresses en amazonaws.com, exemple avec l’adresse s3-us-west-1.amazonaws.com/adware-infection/danger-navigation.htm

Une nouvelle variante « Soutien Technique PC » avec une fausse fenêtre de chat d’un Technicien du « Soutien Technique », en vidéo :

Security Error 0x00759B

Autre exemple avec une page Security Error 0x00759B – et le message Windows a été bloqué en raison de l’activité douteuse.
Déjà Windows n’est pas bloqué, vu qu’il s’agit d’une simple page WEB…
La page reprend la charte graphique du site de Microsoft et les logos.

On demande d’appeler au numéro 09.75.12.80.49

(Visité 6 677 fois, 15 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel AdwCleanerTutoriel Cortana

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com