sábado, 28 de junio de 2014

¡Desenmascarando a los falsos técnicos de Microsoft!

Seguro que muchos de vosotros ya habéis oído sobre la nueva estafa telefónica que está circulando en Europa. Los estafadores han estado llamando a muchas personas en países como Alemania, Suecia, el Reino Unido y tal vez más. El engaño es simple; los atacantes se hacen pasar por funcionarios de un departamento de Microsoft, y dicen que recibieron información que indica que tu equipo está infectado con malware. Después se ofrecen (gratis) a verificar si esta información es cierta. Si aceptas, te piden que hagas un par de cosas y escribas algunos comandos. Esto engañará a los usuarios menos experimentados para que piensen que su ordenador de verdad está infectado.
Sólo quiero hacer notar que no existe tal departamento en Microsoft, y que la empresa jamás llamaría a sus clientes para hacerles una oferta como esta. Así que, si alguna vez recibes una llamada “de Microsoft” diciendo que tu ordenador podría estar dañado o infectado, ¡cuelga el teléfono!
A mí me llamaron muchas veces, hasta que me cansé y les seguí el juego. Pero mantuve encendidos mis ordenadores virtuales y grababa todo lo que estaban haciendo. La meta era descubrir quiénes eran y de qué trataba la estafa exactamente. Por suerte pude obtener información como su dirección IP interna, las cuentas de PayPal que usan para transferir dinero y los números de teléfono desde los que realizan las llamadas.
Imaginemos que has recibido la llamada telefónica y que no descartasla idea de que tu ordenador está infectado. El siguiente paso que toman los cibercriminales es convencerte de que tu ordenador, efectivamente, está infectado. Tratan de hacerlo siguiendo varios pasos. A continuación puedes ver una descripción de cada uno de los pasos, incluyendo capturas de pantalla:

  1. Los criminales te explican que tu ordenador está trabajando con recursos MUY bajos porque la infección está consumiendo la mayoría. Esto es una gran mentira. Lo que la imagen muestra es que tu ordenador está usando muy pocos recursos.


  2. Después abren Event Manager para identificar errores, alertas y otra información que se pueda usar para hacerte pensar que tu equipo está infectado. Este visor de sucesos muestra algunos mensajes de error, pero no tienen una relación directa con una infección. Casi todos los ordenadores tienen errores en los archivos de registros, en especial si el equipo no se ha reinstalado en mucho tiempo y está ejecutando muchos programas.


  3. Ahora quieren reforzar la idea de que tu ordenador está infectado y esperan que confirmes que tu ordenador es el que se menciona en los informes de su sistema. Para ello, tratarán de asociar tu equipo con un número único, un número que llaman "Identificación de Licencia del Consumidor", conocido como CLSID por sus siglas en inglés. Pero el CLSID en realidad es el identificador de componentes Class Identifier. En la imagen de abajo puedes ver qué programa o CLSID está asociado con cada extensión de archivos. Después te pedirán que ejecutes el comando “assoc” en una solicitud DOS y te preguntarán si tu Identificación de Licencia de Consumidor es 888DCA60-FC0A-11CF-8F0F-00C04FD7D062. Este es en realidad el CLSID de la extensión de archivos ‘ZFSendToTarget’.


  4. Con esto no sólo tratan de convencerte de que tu ordenador está infectado, también de que el ordenador que están viendo en su sistema es de verdad tu ordenador. Ahora te piden que ejecutes otro comando DOS llamado “verify”. Dicen que si el resultado del comando verify es “off”, significa que la licencia de tu ordenador no está verificada. Este comando no tiene absolutamente nada que ver con tu licencia, sólo te permite activar/desactivar la verificación de que tus datos se han escrito en el disco de forma correcta.
    En este momento, la mujer a con la que estaba hablando comenzó a gritar “¡OH, DIOS MÍO!” en mi oído, estaba muy alterada porque mi licencia no estaba verificada; según ella, esto significaba que no se podían instalar parches de seguridad. Sugirió que el siguiente paso era permitir a un técnico que ingrese al ordenador y arregle todos estos problemas. No dudé en dar mi consentimiento al técnico para que ingrese a mi sistema porque estaba ejecutando todo desde un ordenador virtual vacío :)

  5. Los delincuentes utilizan un programa de administración a distancia llamado AMMYY. No conocía este programa antes de este incidente. Parece bastante directo y legítimo. El programa permitió que el técnico se conectara a mi ordenador y trabajara en él desde una ID única. Yo también podía ver todo lo que hacía. Un operador con la identificación “10878203” se conectó a mi equipo, y abajo están los permisos que solicitó.


  6. El administrador se conectó a mi equipo y lo comenzó a utilizar. Abrió el Administrador de Certificaciones y seleccionó un certificado viejo. La mujer todavía estaba en el teléfono, y me explicó que el operador había descubierto que el certificado inválido había impedido que mi equipo recibiera actualizaciones desde 2011.


  7. Ahora es cuando las cosas se comenzaron a poner muy turbias: me dijo que la única solución era activar mi sistema e instalar programas de seguridad que me iban a proteger contra virus, malware, troyanos, hackers y otras amenazas. Me preguntó si quería hacerlo y me dijo que, si lo hacía, el operador arreglaría mi ordenador e instalaría este programa. Dijo que sólo me costaría unos 250 $.

  8. Después, el operador instaló un programa llamado ‘G2AX_customer_downloader_win32_x86.exe’ desde el sitio web www.fastsupport.com.Cuando terminó de hacerlo, apareció una ventana de chat. Una persona llamada “David Stone” me informó que mi ordenador ya no estaba en peligro.



  9. Me dijo que, como había aceptado que actualizaran mi equipo, debía llenar un formulario y pagar 250 $. Después se abrió un formulario de PayPal. Pude recoger varias cuentas de PayPal diferentes, incluyendo: ukfastcare@gmail.com y ddkcare@gmail.com

  10. Sabía que esta era sólo una estafa y quería tratar de conseguir más información sobre esta gente. Así que traté de escribir una información falsa de Visa y MasterCard varias veces y dije que no podía comprar cosas por Internet con mi tarjeta. Los frustré. Después les pedí que visitaran un sitio web, diciéndoles que era el sitio web de un “amigo” que había publicado allí su información de tarjeta de crédito. El sitio era sólo un archivo de texto que decía lo siguiente: “Hola, por favor conéctese desde una IP diferente porque está detrás de un proxy".


  11. Lo intentamos varias veces desde mi ordenador, usando diferentes navegadores, pero después les pedí que lo revisaran desde su sitio y, para mi sorpresa, lo hicieron. Estaba viendo mi archivo de registros y en cuanto se conectaron conseguí su dirección IP :)101.xxx.xxx.197 - - [01/Aug/2012:13:44:31 +0200] "GET //.txt HTTP/1.1" 200 413 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
    También me desconecté varias veces del teléfono mientras hablábamos porque quería ver desde qué número me llamaban. Pude conseguir los siguientes números: 00441865589771, 008028, 002127773456 y un número oculto.


Después de recoger la información, me puse en contacto con los grupos pertinentes, como el equipo de seguridad de PayPal y varias agencias gubernamentales, con la esperanza de que detengan a los criminales. Están robando mucho dinero a gente inocente. Sé que ya se ha alertado a la gente sobre estas estafas, pero mi conclusión es que los criminales siguen llamando porque siguen ganando dinero con estos ataques.

El programa que utilizaron no tenía nada de malicioso, lo que significa que ningún programa de seguridad puede detectar este tipo de estafas. Esta es una de las razones principales por las que escribí este artículo y otros parecidos: necesitamos mantener a la gente informada hasta que los cibercriminales se vean obligados a detenerse.


Saludos.
Lexer Pars

No hay comentarios:

Publicar un comentario