Alguien que conozco vio un mensaje emergente en su iMac con Sierra (10.13.5) que les aconsejó llamar al 877-336-5833.
Llamaronalnúmeroyelrepresentantelerecomendóqueinstalenunprogramallamado"GoToAssist" para obtener acceso remoto. Lo hicieron.
En este punto, me gustaría limpiar todo lo que se haya instalado.
Busqué en los archivos que se modificaron en la fecha en que llamaron al número.
Un posible archivo de interés fue:
/Library/Logs/DiagnosticReports/GoToAssist Customer_2018-06-28-181403_Irwins-iMac.wakeups_resource.diag
... creado en Jun 28 18:14 .
Otro, encontrado en el directorio de usuarios fue:
./Library/Logs/com.logmein.g2a.rs/Customer/20180628_181221/GoToAssist Remote Support Customer_00.log
que me mostró que la sesión de GoToAssist fue exactamente entre 2018-06-28 18:12:19.403450 y 2018-06-28 18:28:09.964376
Con eso, puedo reducir los cambios de archivo:
$ sudo find / -newermt "2018-06-28 18:12" ! -newermt "2018-06-28 18:29" > /tmp/changed.txt
Pero, no estoy realmente seguro de qué buscar.
Y me doy cuenta de que si están siendo disimulados, pueden cambiar las fechas modificadas de todos modos.
Noté que el .bash_history del usuario se modificó en ese momento, pero lo último que hay es algo que hice una semana antes. Entonces, eso me hace pensar que algo se eliminó de .bash_history ??
¿Sería mejor simplemente reinstalar todo de manera limpia?
¿Las herramientas como MacKeeper funcionan bien para encontrar cosas como esta? ¿O algún software antivirus en particular?
¿O sería el enfoque más inteligente simplemente reinstalar el sistema operativo y restaurar sus archivos personales?
Probablemente, eso es lo que acabaré haciendo, pero no quiero perder tiempo si simplemente puedo encontrar cualquier aplicación que ellos hayan instalado y eliminado.
No quiero ser paranoico, pero me doy cuenta de que con una estafa como esta, uno puede instalar fácilmente lo que quiera y quiero ser cauteloso.