Arnaque support et hotline téléphonique

Les arnaques de support téléphoniques ou « tech scam » en anglais sont de plus en plus courantes.
A l’origine, il s’agissait de campagnes téléphoniques se faisant passer pour Microsoft.
Par la suite ces arnaques s’étendent à des pages WEB bloquant le navigateur WEB pour afficher de faux messages de sécurités afin de faire téléphoner à un support téléphonique.
En général, l’escroquerie tente aussi de se faire passer pour Microsoft en utilisant des logos ou écran de Windows.
Le but final est la mise en relation avec la hotline qui a pour but de vous faire acheter des logiciels de désinfection et de nettoyage à des prix exorbitants.

Si l’escroquerie fonctionne l’internaute peut se faire demander des centaines d’euros pour réparer son ordinateur et se faire souscrire à un abonnement.

Les logiciels d’optimisation et de désinfection peu fiables utilisent aussi maintenant ces arnaques via leurs support, notamment le très connu Reimage Repair semblent en faire la pratique, d’après des remontés utilisateurs, certains se sont fait demander plusieurs centaines d’euros pour désinfecter leurs ordinateurs.

De manière générale, ces arnaques de support téléphonique utilisent et s’inscrivent, dans les arnaques plus larges des fausses alertes de virus.

Les arnaques de support et hotline téléphoniques

Les arnaques de support téléphonique

Ces arnaques se présentent sous la forme de faux messages qui arrivent en surfant surtout sur les sites de streaming illégaux etc.
Des pages affichent de faux messages indiquant que votre ordinateur est infecté ou court un risque en se faisant passer pour Microsoft ou Windows.
Ces arnaques tentent de bloquer le navigateur internet à travers diverses méthodes.
Au final on tente de vous faire croire que votre ordinateur rencontre un problème.
Dans tous les cas, ce message vous incite à contacter une hotline téléphonique.

A partir de là, un technicien parfois se faisant passer pour Microsoft, va prendre la main à distance sur votre ordinateur.
Il tente de vous conforter dans le fait que votre ordinateur court un risque de sécurité ou bug.
Des antivirus, logiciels de nettoyage et abonnement à ce support téléphonique vous vous être vendus, parfois cher de 150 à 300 euros.
Il s’agit donc de vente forcée, si vous n’avez pas le réflexe de raccrocher, et que vous souscrivez, il est trop tard.

Lors de la prise en main, le technicien ne vole aucune donnée de votre ordinateur.
Seul la vente de logiciel antivirus et de nettoyage ne les intéresse.

Enfin, la vidéo suivante montre ces arnaques de hotlines téléphoniques en action.

Des arnaques en augmentation

Dans son actualité annuelle, Symantec prétend avoir bloqué plus de 100 millions de tentatives de chargement des tech scam avec une hausse de 200% entre l’année 2015 et 2015 : http://www.symantec.com/connect/blogs/what-symantec-s-intrusion-prevention-system-did-you-2015

Arnaque support et hotline téléphonique en augmentation
Arnaque support et hotline téléphonique en augmentation

En Octobre 2014, Microsoft avait alerté sur une hausse de ces arnaques : « Depuis Mai 2014, Microsoft a enregistré 175 000 plaintes. Cette année, 3 millions d’américains pourraient payer pour un montant de total de 1,5 milliards de dollars. »

Quelques exemples d’arnaques de support téléphoniques

Voici un exemple de deux pages de blocage relative au deux arnaques de support téléphonique les plus actifs.
Ce premier groupe utilise des adresses et domaines avec des mots relatives à des virus dans la langue du pays visité, ainsi on peut trouver des adresses du type.

Fausse page d'erreur et virus pour pousser les arnaques de support téléphonique
Fausse page d’erreur et virus pour pousser les arnaques de support téléphonique

Ces arnaques s’intitulent « Avertissement du navigateur – Windows Firefox Avertissement – Vous pourriez être infecté par un virus adware / Spyware ».

En détails, le dossier sur les arnaques téléphoniques (Aout 2014) sur le forum : Arnaques désinfection / support par téléphone et en vidéo, un exemple de ces pages de blocages :

Celui-ci simule aussi un curseur de souris qui bouge tout seul, pour faire croire à l’internaute que son ordinateur est contrôlé par un pirate :

Faux messages de virus faisant la promotion d'arnaque téléphonique
Faux messages de virus faisant la promotion d’arnaque téléphonique

Sur cet exemple, on fait défilé plein de textes qui paraissent techniques pour impressionner l’internaute et donner de la crédibilité au message « Windows Support Alert ».

Fausse page d'alerte et erreur Windows Support Alert
Fausse page d’alerte et erreur Windows Support Alert

Enfin cette autre campagne avec des pages intitulées « PC Support » avec bien entendu des domaines aléatoires.
Par un moment les domaines étaient liés à rechercheurs de malwares parlant de ces arnaques de support, on a donc eu droit à des domaines du type MALEKAL4.COM ou MALWAREBYTESPREMIUMSUPPORT.COM

PC_Support_arnaque_support_telephonique

Notez les traductions approximatives:  « votre ordinateur est bloké »
ou encore « Appel de Soutien » traduction de « Call Support ».

Fausse page d'erreur et piratage
Fausse page d’erreur et piratage

Les faux BSOD

Les campagnes avec de fausses erreurs continuent et certaines variantes qui reprennent les BSOD de Windows.

Quelques autres exemples avec des faux messages de plantages de Windows type BSOD ou StopCode.

Faux écran bleu et erreur Windows pour pousser des arnaques
Faux écran bleu et erreur Windows pour pousser des arnaques
Faux écran bleu et erreur Windows pour pousser des arnaques
Faux écran bleu et erreur Windows pour pousser des arnaques

ou encore les pages Microsoft Official Support avec un logo Certified Microsoft technician support qui tentent de se faire passer pour Microsoft :

Faux écran bleu et erreur Windows pour pousser des arnaques
Faux écran bleu et erreur Windows pour pousser des arnaques

Les fausses erreurs

D’autres campagnes abusent de faux codes d’erreur.
Le code erreur change mais le contenu reste le même.

Une nouvelle variante « Soutien Technique PC » avec une fausse fenêtre de chat d’un Technicien du « Soutien Technique », en vidéo :

Autre exemple avec une page Security Error 0x00759B – et le message Windows a été bloqué en raison de l’activité douteuse.
Il s’agit d’une page WEB qui bloque le navigateur WEB.
La page reprend la charte graphique du site de Microsoft et les logos.

Windows a été bloqué en raison de l'activité douteuse
Windows a été bloqué en raison de l’activité douteuse

Messages « menace détectée »

Enfin cette autre variante d’arnaque téléphonique assez soignée avec « MENACE CRITIQUE IDENTIFIEE ».
Celle-ci est assez soignée avec un faux CHAT.
Elle reprend aussi le nom du fournisseur d’accès internet.

Les Cryptojacking

Autre point important, ces arnaques intègrent toutes sortes de scripts pour ralentir le navigateur internet et rendre la page difficile à fermer.
Par exemple ci-dessous Firefox prend plus de 2 Go de RAM.
Cela peut aller sur des ordinateurs mal ventilés des plantages BSOD, voire plus grave.

Enfin des campagnes ont pu aussi utiliser des procédés de Cryptojacking.
Le but est d’utiliser le navigateur WEB pour générer de la monnaie virtuelle.
Plus d’informations sur les pages suivantes : Les Cryptojacking : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)

Forte utilisation mémoire et CPU de Firefox à cause de ces pages
Forte utilisation mémoire et CPU de Firefox à cause de ces pages

Pourquoi est-ce une arnaque ?

Le cadre suivant explique en quoi ces méthodes peuvent être assimilées à des arnaques et escroqueries et pourquoi elles relèvent d’infraction.

N’hésitez pas à harceler la « société » derrière ces pratiques en utilisant ces arguments et en les menaçant de porter plainte à la police.
Parfois, cela permet de récupérer une partie de la somme à travers un remboursement partielle.

Les infractions autour des arnaques téléphoniques
source : https://www.cybermalveillance.gouv.fr/wp-content/uploads/2017/12/20171214_fiche_arnaque_support_technique.pdf

Comment ces arnaques de support téléphoniques sont diffusées

Ces pages d’arnaque de support utilisent deux méthodes de diffusions :

  • via des adwares qui vont utiliser des régies publicitaires peu regardantes, l’ordinateur étant infecté et ralenti, ces pages de support peuvent avoir un impact fort sur l’utilisateur qui peut être enclin à appeler ces numéros.
  • via des régies publicitaires actives sur des sites illégaux et pornographiques « malvertising« , les mêmes régies qui sont aussi touchés par des campagnes du ransomware Browlock ou des campagnes liés aux adwares, via de faux messages de mises à jour Java et Flash, InstallCore et DomaIQ/SoftPulse étant particulièrement actif.

Pour ce dernier cas, à lire aussi : Les sites de streaming et les virus

Facebook

A noter que des publicités malicieuses sur Facebook ont pu en diffuser, exemple avec cette vidéo :

Régies publicitaires peu regardantes

Si certaines régies publicitaires semblent être victimes.
D’autres régies publicitaires diffusent ces arnaques depuis plusieurs mois sans avoir l’air vraiment de les combattre (RevenueHits, ZeroPark, AdsTerra, Propeller Ads).
Pensez que ces dernières gagnant de l’argent en diffusant ces publicités malicieuses.
Par exemple, le réseau publicitaire Exoclick supprime ces publicités malveillantes : https://twitter.com/malekal_morte/status/687277980310224898
Alors que tous les réseaux cités plus haut, ne répondent pas aux emails et tweets (RevenueHits, ZeroPark) ; certaines diffusent ces arnaques téléphoniques depuis des mois.

Mail

Enfin on peut aussi assister à des campagnes de mails.
Ci-dessous un mail vous faisant croire à l’achat pour 600 euros.

Tech scam par mail

Au final, vous êtes redirigé vers une fausse page d’arnaque de support téléphonique.

Tech scam par mail

Les antivirus sont à la rue

Dans la majorité des cas, les antivirus ne bloqut rien.

Avast! bloque une page de fausses alertes de virus
Avast! bloque une page de fausses alertes de virus

Côté blocage antivirus, c’est assez aléatoire, Avast! peut toute les bloquer comme parfois en bloquer aucune.

Par exemple, ci-dessous Antivir qui ne voit que du feu :

Antivir ne bloque pas les arnaques d'hotline téléphonique
Antivir ne bloque pas les arnaques d’hotline téléphonique

La protection WEB de Malwarebytes Anti-Malware disponible dans la version payante doit aussi bien protégé de ces arnaques (je n’ai pas testé), étant donné que Malwarebytes suit de près ces dernières.

Il s’agit donc d’arnaque, si la page se charge chez vous, aucun malware n’est installé sur l’ordinateur. Un utilisateur non protégé par son antivirus mais avertit parce type d’arnaque n’a juste qu’à fermer la page WEB.

Enfin, notez que depuis Septembre 2017, Windows Defender peut détecter ces pages, sans que cela puisse vous protéger de ces arnaques, car la page reste ouverture sur le navigateur internet.
Les détections ont pour préfixe SupportScam/JS suivi de la famille, par exemple SupportScam/JS:TechBrolo :

SupportScam/JS étecté par Windows Defender
SupportScam/JS détecté par Windows Defender
Les arnaques de support téléphonique et détection Windows Defender en SupportScam/JS:TechBrolo
SupportScam/JS:TechBrolo détecté par Windows Defender

Les points communs à ces escroqueries

Les points communs dans toutes ces escroqueries d’hotline téléphonique :

  • Elles sont diffusées par des publicités depuis des sites qui ne respectent pas les droits d’auteurs : scan de mangas, sites de streaming illégaux, torrent etc
  • Elles bloquent le navigateur WEB, boucle de popup, passage en plein écran, popup d’authentification. Le but est de vous empêcher de cliquer sur la croix de fermeture
  • Elles tentent de se faire passer pour Microsoft, afin de vous faire mettre en relation avec un soit-disant technicien Microsoft : logo, message de Windows ou Microsoft. Certains affiches de fausses pages de Windows Defender.

Le but final est de vous faire acheter des logiciels de nettoyage et de désinfection ou prendre des abonnements à la hotline.
Le faux technicien ne tentera pas d’installer des virus ni voler des données durant la phase de prise en main.

FAQ – Comment fermer ces faux messages de virus ?

Ces pages tentent de bloquer le navigateur WEB pour faire croire que votre ordinateur court un risque de sécurité.
Les techniques diffèrent selon les campagnes, mais il s’agit :

  • d’ouvrir des popups en boucle pour empêcher de fermer l’onglet ou le navigateur WEB
  • de passer le navigateur WEB en plein écran afin de masquer le bouton de fermeture

Pour fermer le plein écran, il faut appuyer sur la touche F11, toutefois, la page va tenter de repasser en plein écran rapidement.
Vous pourrez récupérer la main pendant un court laps de temps.

Chrome

Sur Google Chrome, si une de ces fausses pages de virus s’ouvre, appuyez sur la touche CTRL +T
Cela va ouvrir un nouvel onglet.
Vous pourrez alors fermer la fausse page de virus.

En second lieu, si vous parvenez à récupérer la barre des tâches, faites un clic droit sur l’icône de Chrome puis Fermer la fenêtre

Fermer les fausses pages d'arnaque téléphonique sur Chrome
Fermer les fausses pages d’arnaque téléphonique sur Chrome

Si rien ne fonctionne, passez à la procédure standard.

Edge

Microsoft Edge permet de cocher une option pour que les popups arrêtent de boucler et reprendre la main.

Edge empêcher la réouverte des fausses pages de virus
Edge empêcher la ré-ouverte des fausses pages de virus
Edge empêcher la réouverte des fausses pages de virus
Edge empêcher la ré-ouverte des fausses pages de virus

Si vous réussissez à récupérer la barre des tâches de Windows alors cliquez droit sur l’icône Edge, et forcer la fermeture.
Enfin, relancez alors Microsoft Edge afin de retrouver une tranquillité de surf.

Edge empêcher la réouverte des fausses pages de virus
Edge empêcher la réouverte des fausses pages de virus

Procédure standard pour fermer ces fausses pages d’alerte de virus

Si vraiment vous ne parvenez à rien faire :

  • Ouvrez le gestionnaire de tâches de Windows : CTRL+ALT+Suppr
  • Dans la liste des programmes ouverts, sélectionnez le navigateur WEB et faites fin de tâches pour forcer la fermeture.
  • Relancez ce dernier en ne restaurant pas la session (ou décochez la page de virus).

Si la fausse page de virus s’ouvre à l’ouverture du navigateur WEB, un nettoyage CCleaner peut aider à régler ce problème.

Fermer le navigateur avec le gestionnaire de tâches
Forcer la fermeture du navigateur avec le gestionnaire de tâches

Enfin cette vidéo qui montre comment fermer ces pages bidons.

FAQ – Un faux technicien a pris la main sur mon ordinateur, que faire ?

Le but de ces arnaques est de vous faire acheter des logiciels antivirus ou abonnement à des prix excessifs.
Ces derniers comme ont tendance au final à ralentir l’ordinateur.
Le technicien n’est pas là pour installer des virus/malwares, voler des mots de passe et compagnie.

La vidéo suivante montre comment un technicien fait croire que l’ordinateur est infecté à partir d’élément technique bidon :

Harcelez pour être remboursé

Dans un premier temps, n’hésitez pas à les harceler.
Cela fin d’être remboursé.
Vous ne récupérerez pas l’intégralité de la somme versée mais une partie 25% à 50% en :

Désinstaller les programmes installés

Inspectez ensuite les programmes installés dans le Panneau de configuration > Programmes et fonctionnalités.
Trier la liste par date d’installation afin de regrouper les applications par leur date d’installation.
Vérifiez si des logiciels ont été installés le jour de la prise en main par le technicien.
Voir la page : Désinstaller les programmes sur Windows.

Désinstaller des applications sur Windows
Désinstaller des applications sur Windows

Changez vos mots de passe

Par sécurité, nous vous recommandons de changer tous vos mots de passe WEB (Facebook, compte en ligne, jeu) ainsi que les mots de passe Windows.
Il s’agit ici plus d’une recommandation de sécurité élémentaire car le faux technicien n’a installé aucun malware.

Signalez ces méthodes

Signaler l’arnaque sur le portail PHAROS – mentionnez bien le nom de la société qui pratique ces arnaques d’hotline ainsi que le numéro de téléphone si possible.
Vous pouvez aussi signaler ces pratiques à Microsoft qui peut se joindre aux autorités sur des enquêtes : Signaler un escroquerie au support technique à Microsoft
Si vous avez été victime, lisez la page : Recours pour les victimes de virus ou arnaque sur internet

Quelques sociétés usant de ces escroqueries

Ces arnaques sont toujours d’actualité, dans notre dernière actualité, celles-ci sont passées numéro 1 en Australie.
Les messages d’utilisateurs abusés continuent d’affluer, parmi les sociétés citées, on trouve les suivantes.
Les noms changent dans le temps lorsque la mauvaise réputation est faites

  • Compufly LTD lié à adlook.com qui est derrière EasySupport qui est par la suite devenue yoursecured247.com
  • Le support PC – 09 70 38 66 16 – contact@lesupportpc.com
  • Master Support PC avec beaucoup de variantes
  • Eureka24 (plus actif)
  • FRSupport – TechSupport
  • SolidTech (plus actif)
  • software-dynamic.com : Témoignage
  • gigasoftpc.fr / gigasoftwarepc.com
  • PC Protect 365 (plus actif)

Le nom d’une société a dû être retirée après avoir reçu des menaces en message privé, tout en proposant de faire de la pub pour leur soft..
Les softs cités sont masqués sinon, ça va encore pleurnicher….. Mais je peux vous dire, qu’ils sont d’aucune utilité…

Evolution vers des Trojan Winlock

Puis en 2008, une évolution attendue vers des trojanS Winlock.
Ces derniers cherchent à bloquer l’ouverture de l’ordinateur et de Windows.
Là aussi le but est se faire passer pour un message de Windows et de faire contacter une hotline.
Plus d’informations : Virus : Windows a détecté des activités suspectes

ou encore la variante : Virus : Votre ordinateur a été bloqué par votre antivirus

Conclusion

De manière générale, ces arnaques de support téléphonique utilisent et s’inscrivent, dans les arnaques plus larges des fausses alertes de virus.

Ce n’est pas parce qu’une page s’ouvre pour vous indiquer que votre ordinateur est infecté, que cela est vrai.

Exemple de faux scan et alerte de virus est accessible sur la page : https://www.malekal.com/fakescan/

Fausse page de scan et d'alerte
Fausse page de scan et d’alerte

Sujet connexe à ces faux messages : Fausses pages web et messages de virus téléphones/tablettes

(Visité 28 612 fois, 23 visites ce jour)
Arnaque support et hotline téléphonique
Note : 5 (100%) 4 votes

6 Comments

  1. Bidib 18 février 2016
  2. didcan 27 juin 2016
  3. MENIER 30 octobre 2016
  4. montiont 5 décembre 2016
  5. hennebert laurence 29 décembre 2016
  6. hennebert laurence 29 décembre 2016

Add Comment