Comment les arnaques au support technique ont généré des millions de dollars

Ahhh, ce doux parfum de vengeance ! Rien de tel que d’envoyer des ransomwares en masse aux cybercriminels se cachant derrière ces arnaques au support technique, hein ?

Cependant, et heureusement pour eux, il n’y a pas assez d’heures dans une journée pour prendre sa revanche et donner une bonne leçon à tous ces escrocs et autres experts en ingénierie sociale.

Sauf peut être pour les chercheurs de l’Université Stony Brook, qui ont récemment mis au point un robot pour explorer automatiquement le web, trouver les escrocs au support technique et déterminer où ils se cachent, comment ils monétisent leur arnaque sur internet et quels logiciels ils utilisent pour mettre en œuvre leurs actes odieux.

Cet outil s’appelle RoboVic. Il s’agit de l’acronyme de Robot Victim, et ce n’est qu’une partie de cette immersion sans précédent dans l’univers de l’escroquerie au support technique entreprise par deux étudiants en doctorat Stony Brook U. Najmeh Miramirkhani et Oleksii Starov, avec les conseils avisés de Nick Nikiforakis.

Au cours de l’étude, ils ont utilisé RoboVic pour découvrir des centaines de numéros de téléphone et de domaines utilisés par les cybercriminels. Et puis, ils ont sauté sur le téléphone, pour échanger avec 60 autres escrocs et déterminer quelles techniques d’ingénierie sociale ils pouvaient utilisent pour extorquer de l’argent à leurs victimes.

Comme ils le décrivent dans leur article, intitulé Dial One for Scam (PDF), les chercheurs ont mené cette première étude systématique sur les escroqueries au support technique et les centres d’appels par lesquels ils transitent, en partie pour savoir comment les utilisateurs se retrouvent exposés à ces escroqueries au tout début.

La réponse : malvertising. Afin d’entrainer RoboVic pour trouver des pages web d’escroqueries au support technique, les chercheurs ont profité du fait que ces arnaques sur internet se trouvaient souvent sur des pages web avec des noms de domaine squatté.

Il s’agit de pages qui tirent parti des fautes de frappe que nous faisons lors de la saisie des noms de domaine populaires. Par exemple, une entreprise malveillante enregistrera un nom de domaine typosquatté tel que twwitter.com.

Les entreprises spécialisées dans le domain parking ont enregistré des dizaines de milliers de noms de domaine populaires, mal orthographiés mais ressemblant aux vrais à s’y méprendre. Des études ont montré que les visiteurs qui se retrouvent sur ces pages typosquattées sont souvent redirigés vers des pages piégées avec des malwares, alors qu’un certain pourcentage atterrissent sur des pages d’escroqueries au support technique.

Une fois sur ces dernières, l’internaute est bombardé de messages lui indiquant que son système d’exploitation est infecté par des malwares. Généralement, le site est décoré avec des logos et fait apparaitre des marques évoquant des sociétés de sécurité bien connues ainsi que leurs produits ou encore des interfaces utilisateur.

Une tactique assez populaire a consisté à présenter aux utilisateurs une page qui imitait l’écran bleu mortel Windows. Vous êtes un utilisateur Mac, vous dites ? Pas besoin de s’inquiéter ? Malheureusement, vous vous trompez. Les cybercriminels observent tous vos faits et gestes depuis un moment, note Paul Ducklin de Sophos Naked Security:

Il ne s’agit plus uniquement des mots-clés “Microsoft” et “Windows”. Il y a un ou deux ans, presque tous les rapports que nous avons reçus des lecteurs, montraient que les cybercriminels mettaient en avant une affiliation étroite avec Microsoft, ce qui est devenu un indicateur bien connu que l’appel était frauduleux. 

Récemment, cependant, les lecteurs ont signalé des escroqueries téléphoniques où les personnes émettant l’appel mentionnaient à présent “Apple” et “iCloud”. Cette nouvelle technique permet non seulement d’éviter l’alerte rouge “Microsoft”, mais élargit l’éventail des potentielles victimes, compte tenu de la gamme des différentes plateformes au sein desquelles les utilisateurs utilisent leurs comptes iCloud.  

En plus d’effrayer les internautes avec de fausses alertes, les pages de support technique vont les piéger avec du code JavaScript intrusif afin n’éviter qu’ils ne quittent la page en question. Par exemple, ils montreront constamment des fenêtres d’alerte qui demanderont à la victime ciblée d’appeler le numéro du support technique. Comme les chercheurs l’ont décrit, d’autres techniques visent à perturber une éventuelle tentative de l’utilisateur de fermer l’onglet du navigateur ou de quitter le site en butant sur l’événement Onunload.

En se sentant piégé comme une mouche pris dans une toile, un utilisateur naïf appellera un numéro gratuit pour recevoir de “l’aide” au sujet de “cette infection par un malware”. La personne à l’autre bout de la ligne demandera à la victime de télécharger un bureau distant pour permettre au technicien de se connecter à sa machine. Cela donnera au cybercriminel un contrôle total sur l’ordinateur de la victime. À ce moment-là, des messages en provenance du système et parfaitement innocents seront interprétés comme des preuves de l’horrible infection.

Bien sûr, nous pouvons le réparer, diront-ils, une fois que le piège se sera refermé. Les chercheurs ont constaté que le coût s’élève généralement à des centaines de dollars, le coût moyen d’un “correctif” étant de 290.90 $.

Voici quelques-uns des nombreux résultats intéressants de cette étude qui a duré huit mois :

• Ces cybercriminels enregistrent des milliers de noms de domaine peu coûteux, tels que .xyz et .space, qui reprennent les marques déposées de grandes entreprises d’édition de logiciels.
• Ils utilisent des réseaux de diffusion de contenu afin d’obtenir un hébergement gratuit pour leurs escroqueries.
• Les cybercriminels dupent 15 opérateurs de téléphonie, mais quatre entreprises majeures de télécommunication sont responsables de la part la plus importante, plus de 90%, des numéros de téléphone analysés par les chercheurs.
• Les cybercriminels évitent activement les systèmes d’analyse dynamique situés sur les Clouds ​​publics.
• Les bénéfices : en utilisant les analyses de serveur web publiquement exposées, les chercheurs ont estimé que, pour une petite partie des domaines surveillés, les cybercriminels avaient certainement gagné plus de 9 millions de dollars.
• Ces gars passent du temps pour nous embobiner. La durée moyenne des appels était de 17 minutes.
• Ils utilisent seulement une poignée d’outils d’administration à distance (81% des cybercriminels ont utilisé uniquement un voire deux logiciels). Leurs favoris incluaient LogMeIn Rescue, CITRIX GoToAssist et TeamViewer.
• Les escrocs utilisent plus de 12 techniques pour convaincre les utilisateurs que leurs systèmes sont infectés, tels que des services interrompus et des pilotes.
• On estime que les centres d’appel utilisés par ces cybercriminels emploient, en moyenne, 11 personnes en support technique.

Au fait, au cas où vous vous poseriez la question, les chercheurs n’ont absolument pas payé ces cybercriminels :

Nous avons choisi de ne pas payer ces escrocs principalement pour des raisons éthiques. Comme décrit [ailleurs dans l’étude], la somme moyenne demandée par un cybercriminel est d’à peu près 300 $. Pour obtenir des chiffres statistiquement significatifs, nous aurions dû payer au moins 30 cybercriminels, ce qui aurait représenté un investissement approximatif de 9 000 $, dont une partie serait presque certainement utilisée pour financer de nouvelles campagnes de malvertising afin d’attirer de nouvelles victimes.  

Les chercheurs suggèrent que pour garder le public à l’abri de ces cybercriminels, nous allons avoir besoin d’une plus grande sensibilisation du public, avec une utilisation plus large des annonces de service public, par exemple, et une aide des éditeurs de navigateurs.

En l’état, les utilisateurs désespérés qui n’arrivent pas à quitter ces pages essaient souvent de redémarrer. Les navigateurs qui se souviennent des onglets ouverts auparavant conduiront les victimes directement au même endroit. Les chercheurs suggèrent que les éditeurs de navigateurs devraient pouvoir les aider en adoptant un bouton d’urgence universel : à savoir, un raccourci pour les utilisateurs qui se sentent en danger sur une page web.

C’est une bonne chose. Mais notre conseil est encore plus simple : si vous vous êtes retrouvés piégés par l’une de ces pages frauduleuses, n’appelez pas ce numéro. Comme nous l’avons déjà dit en ce qui concerne les appels au support technique non sollicités, il n’y a rien d’utile à entendre et rien d’utile à dire !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de How tech support scammers have made millions of dollars, par Lisa Vaas, Sophos NakedSecurity.