Desafortunadamente, alguien de mi familia se cayó por una estafa telefónica después de que se filtraron los datos de TalkTalk. Como resultado, permitieron el acceso remoto a dos computadoras y transfirieron dinero de su cuenta bancaria por un valor de más de £ 10,000.
El banco devolverá el dinero, sin embargo, tengo el trabajo de intentar averiguar qué fue lo que se comprometió y realmente agradecería algunos consejos sobre lo siguiente:
Cuando llegué, las ventanas estaban protegidas con Syskey, que el atacante había puesto. El código ya era conocido porque el atacante lo había revelado por teléfono.
Revisé el historial del navegador y vi a la víctima descargar TeamViewer y permití la conexión remota a dos máquinas durante unas horas. El registro de Teamviewer no indica que se haya transferido ningún archivo, el historial del navegador tampoco indica que se haya descargado ningún otro archivo que no sea Teamviewer (por supuesto, podrían eliminarse, pero creo que la víctima cuestionaría eliminar varios fragmentos del historial del navegador). Mirando a través de los archivos de "última modificación" durante bastante tiempo, estoy casi seguro de que no se instaló nada y, a través del inicio y los procesos en ejecución, no pude encontrar nada demasiado sospechoso.
La historia de la víctima es que había un indicador de comando en la pantalla con una ráfaga de texto que se parecía a las rutas de archivo volando por la pantalla en ambas máquinas. Un registro de Rapport muestra que se inició un análisis de virus en ese momento en las dos máquinas que puede haber sido el.
Idealmente, quiero saber si los archivos se enviaron desde las computadoras atacadas ya que hay elementos privados allí. He estado buscando información sobre una estimación aproximada del tráfico de red del ISP, pero incluso con esa información será difícil saberlo ya que Teamviewer se estaba ejecutando. No hay mucho en cuanto al historial del navegador, aparte de visitar los sitios de los bancos, que todavía está allí, y he rastreado (a simple vista durante algunas horas) los diversos registros de eventos de Windows y no he encontrado mucho interés (aparte de encontrar el registro del visor de equipos y algo que dice que se inició un escaneo).
Sin un programa de terceros y utilizando CMD, ¿cómo podría un atacante enviar archivos? Supongo que FTP como Windows tiene un cliente FTP incorporado, pero no puedo encontrar ningún registro (ni sabría dónde estaría si hubiera uno).
Hasta ahora, mi solución ha sido tomar imágenes de ambos discos como copia de seguridad y volver a instalar ventanas en las dos máquinas nuevas y solo mover algunos documentos hacia atrás. Si bien esto principalmente asegura las máquinas (aparte de la ingeniería social), no me dice mucho sobre lo que sucedió durante la sesión de Teamviewer. Desafortunadamente, la víctima estaba bien y realmente desconcertada, por lo que no parece haber una cuenta fantástica de otra cosa que no sea "una ráfaga de texto que se parece a rutas de archivos" y unos pocos comandos cd
.
Supongo que mi pregunta general es:
¿Cómo se pueden mover los archivos utilizando solo las funciones integradas de Windows y sabe de algún registro que producirían? ¿Hay algo más que usted verifique o haga? ¿Qué diversos fragmentos de la historia revisarías personalmente después de un ataque como este?
Tengo una imagen completa de ambas máquinas y, mientras estaba actualizando una a una SSD, también tengo una unidad de disco duro de arranque que no ha sido modificada desde que fue atacada, por lo que los registros generalmente todavía están disponibles.