Casi caí en la estafa de "soporte técnico": ¿cuál es el riesgo?

Navega tus respuestas
31

Un conocido mío recibió una llamada de un presunto empleado de Microsoft y le brindó acceso a su computadora con Windows 10 a través del visor del equipo (comúnmente conocido como la estafa de soporte técnico). Pero cuando el estafador quiso enviarle un archivo, sospechó e inmediatamente apagó la computadora antes de que pudiera enviar algo. No entregó su número de tarjeta de crédito ni ninguna otra información personal. Luego, inmediatamente cambió sus contraseñas de otra computadora y no conectó la computadora afectada a Internet desde entonces. Me pidió ayuda ahora, pero no estoy seguro de qué pasos son necesarios.

  • ¿Crees que la computadora podría estar infectada? Un visor de equipo remoto. La sesión estaba activa, pero como dije, no se envió ningún archivo. Es todavia ¿Es posible infectar una computadora?
  • Mi plan es iniciar un CD en vivo y ejecutar un análisis de virus, pero no estoy seguro Si es necesario borrar todo el disco. Sería la forma más segura, pero también mucho más tiempo.
  • ¿Es posible que el enrutador se haya infectado? Quiero verificar la configuración del DNS, ¿hay algo más que deba verificar? ¿O debería restablecer completamente el enrutador?

Estaría bien si alguien me diera algunos consejos y sugerencias. No creo que la pregunta sea un duplicado de estos dos:

Porque estoy más interesado si era posible infectar la computadora sin enviar un archivo en lugar de saber qué hacer si hay un virus en la computadora.

PS, soy de Alemania, parece que la estafa de soporte técnico también ha llegado a países que no hablan inglés ...

    
pregunta Phil 15.05.2018 - 17:31
fuente

5 respuestas

28

A partir de su descripción, no hay nada de qué preocuparse. La víctima acaba de compartir la pantalla con el atacante sin darle el control del atacante ni darle ninguna información al atacante.

Como la víctima usó una herramienta común (TeamViewer) y no una proporcionada por el atacante, no hay riesgo en la sesión compartida.

No hay riesgo para el enrutador ya que el atacante nunca tuvo acceso a él.

No se sabe qué información vio el atacante en la pantalla, pero quizás la única preocupación sea la divulgación de la dirección IP. Esto puede mitigarse encendiendo / apagando el enrutador (que funciona en algunos casos) o solicitando al ISP una nueva IP.

    
respondido por el schroeder 15.05.2018 - 17:46
fuente
3

Si no entregaron una tarjeta de crédito y no recibieron el archivo, no debería haber un motivo de preocupación importante. Les pediría que ejecuten análisis de virus y detección de malware y que eliminen cualquier cosa encontrada.

En los EE. UU., la Comisión Federal de Comercio creó una página no técnica sobre este tipo de estafas. Puede dirigir a su amigo allí para un mayor conocimiento.

Nunca está de más ser demasiado protector si crees que algo pudo haber ocurrido. Se trata del nivel de comodidad que tiene la persona después del hecho de que los datos de su computadora aún están intactos.

aquí está el enlace de la FTC de EE. UU.

    
respondido por el jedicurt 15.05.2018 - 17:48
fuente
3

En mi Uni veces, cuando descifré nagware, a menudo volvía a empaquetar el instalador original con mi crack y cualquier modificación que hubiera hecho al código, incluidos los archivos / binarios adicionales. Las herramientas en ese momento eran mucho más simples que las actuales.

Nada garantiza que su amigo haya instalado un "TeamViewer genuino".

Nada garantiza también que, a pesar de que él "había visto" lo que estaban haciendo, que no lo habían hecho para cuando hizo clic en un instalador binario, que se abrió una conexión de control secundaria con un compañero de la gente que hablaba con él, o software adicional fue descargado en el fondo.

A pesar de que la víctima "solo" instaló TeamViewer y "habiendo visto" lo que se hizo, IMO, la única solución sensata es formatear la computadora e instalar todo desde cero, por si acaso.

También es un sentido de seguridad bastante falso, asumiendo que no queda nada si alguna solución AV no encuentra firmas. Un AV no encontrará binarios / scripts especiales o software "oficial" dejado atrás.

    
respondido por el Rui F Ribeiro 16.05.2018 - 09:39
fuente
2

Teamviewer de forma predeterminada le permite a la otra parte controlar su computadora. Sin embargo, este control es completamente visible, como si estuvieran sentados justo en tu máquina, usando un mouse y un teclado.

Para infectar la PC, el atacante podría descargar y ejecutar un archivo a través de su PC; enviar un archivo por TV definitivamente no es necesario. Pero si intentaron hacerlo, es muy probable que fuera parte de su plan. Por qué hacerlo de otra manera.

Si tu amigo ha visto todo el proceso, puede saber a qué ha accedido el atacante. Si su amigo sabe que no hicieron nada de eso y no configuraron el acceso por sí mismos a través de RDP u otra cosa, entonces es muy probable que no hayan "pirateado" la computadora. Esta es una estafa fácil de los confiados, es poco probable que se combine con un sofisticado ataque de radar.

Si la computadora no se utiliza para procesar información confidencial, es probable que no sea necesario tomar medidas fuera de lo normal (verificación de malware). Solo para estar seguros, algunos pasos adicionales que se pueden tomar incluyen desinstalar Teamviewer (en caso de que se haya configurado para el acceso desatendido), borrar el navegador de las contraseñas bancarias / usando un administrador protegido por contraseña, y cambiar las contraseñas bancarias donde 2FA no está t utilizado (no es una mala cosa que hacer todos los años o algo así).

    
respondido por el Therac 15.05.2018 - 18:11
fuente
1

La versión de Teamviewer no se especificó.

Las versiones anteriores permitían el uso compartido del portapapeles (incluidos los archivos) de forma predeterminada. Peor aún, el uso compartido del portapapeles no tenía ninguna indicación de uso, por lo que uno puede copiar archivos a una computadora remota (posiblemente en ubicaciones de inicio) sin que nadie se dé cuenta.

Existe el riesgo de que un programa se haya copiado a la máquina que se está controlando a distancia. Esto no tiene ningún efecto inmediato, pero cualquier carga maliciosa se activará en el próximo arranque. También se pueden reemplazar los archivos que los servicios utilizan periódicamente. Así que sí, la máquina puede estar infectada.

Ejecutar un CD en vivo y realizar una comprobación manual puede ser la mejor manera de hacerlo. Un análisis de virus puede omitir archivos confusos, o el escáner no reconoce la carga maliciosa. De manera realista, hay muchas opciones de ataque una vez que uno tiene acceso de escritura a una máquina (por ejemplo, reemplazando los archivos de controladores que se cargan comúnmente, reemplazando los archivos utilizados por los servicios comunes), por lo que una verificación manual podría no ser viable.

Usando el enfoque anterior, el enrutador puede estar infectado en teoría , aunque dudo mucho que a menos que esté enfrentando una amenaza persistente y dedicada.

    
respondido por el pandalion98 16.05.2018 - 20:12
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro está (in) POP / IMAP / SMTP? ¿Es posible aumentar el costo de BCrypt o PBKDF2 cuando ya está calculado y sin la contraseña original?