Исследователь из Франции Иван Квиатковски (Ivan Kwiatkowski) рассказал в своем блоге, как ему удалось проучить скаммера, выдававшего себя за специалиста технической поддержки. Эксперт сумел обмануть мошенника и вынудил его установить вымогателя Locky на собственный компьютер.
Квиатковски пишет, что с мошенниками, выдающими себя за представителей технической поддержки, он решил поквитаться не просто так. Все началось тогда, когда родители исследователя попали на сайт мошенников, и те убедили пожилых людей, что они заражены опасным трояном Zeus.
«Этот чудовищный HTML-агрегат включал в себя всё: аудиосообщение, которое проигрывалось автоматически, бесконечные алерты JavaScript, голубой фон с зашифрованными именами файлов, который возвращал нас в дни синего экрана смерти Windows, а еще сайт показывал рендомный IP-адрес, вместо настоящего IP посетителя», — рассказывает исследователь (см. фото выше).
Хотя компьютер родителей Квиатковски починил быстро, вернувшись домой, он решил проучить мошенников. Он поднял виртуальную машину, зашел на сайт и позвонил по номеру, который был заявлен на странице в качестве номера службы технической поддержки. Исследователю удалось пообщаться с двумя операторами фальшивого колл-центра, расположенного в Индии, и беседа по-началу складывалась не слишком хорошо, так как Квиатковски говорил по-французски, а «специалисты поддержки» языка почти не знали. Тем не менее, в ходе второго разговора, специалист согласился купить у мошенников предложенный ими пакет услуг за €299.99, и принялся диктовать оператору тестовые номера банковских карт с сайта getcreditcardnumbers.com.
Пока оператор пытался снять деньги с тестовой банковской карты, Квиатковски посетила еще одна идея. Он открыл свой почтовый ящик, нашел папку со спамом и скачал из откровенно фишингового письма приложенный файл. Это оказался ZIP-архив, содержащий JavaScript файл и шифровальщика Locky, столь широко распространенного в наши дни.
Исследователь переименовал малварь в Photo(823).png.zip и заявил, что у него проблемы со зрением и он, возможно, неправильно прочитал цифры на банковской карте. Квиатковски попросил оператора поддержки самого посмотреть на «фото». Файл эксперт передал мошеннику в чате, который был запущен параллельно с телефонным разговором. «Я попытался открыть ваше фото, но ничего не произошло», — ответил спустя некоторое время мошенник, даже не подозревая, что в это время Locky уже шифровал все его файлы.
«В заключение могу сказать, — пишет Квиатковски, — что когда вы натыкаетесь даже на самый очевидный скам, ваш гражданский долг – это действовать так, будто вы на него купились. Если вы говорите по-французски, вам точно стоит потратить 15 минут, позвонить им по номеру +339 75 18 77 63 и попытаться использовать на них социальную инженерию, заставив их сделать что-нибудь прикольное».