大多数人把技术支持诈骗(又名假微软支持调用)和技术人员坐在拥挤的嗡嗡声锅炉房近海的地方。

事实上所有的技术支持诈骗我们已经跟踪到目前为止公司座落在孟买、加尔各答在印度或其他地方。但上个月,我们偶然发现了假警报页面要求用户拨打一个号码为“紧急技术支持”。

当我们打电话时,我们听到美国技术员听起来感到惊讶。事实证明,他们的公司是建立在“阳光的状态美国的佛罗里达州。

改进的恐吓战术

以下是欺诈网站显示一条警告消息和播放声音效果吓到的目标用户,让他们相信他们的计算机被感染[1]。

“你的电脑可能感染”
“你的电脑可能是在风险”
“立即紧急技术支持电话”
“系统可能已经发现(2)病毒Browser.Hijacker构成严重威胁。间谍。/ Trojan.FakeAV-Download”
“你的个人和财务信息可能不是安全的。”

aredwarning

abluewarningothererror

有一个正在进行的和强大的联盟活动推动这些警告。你可能遇到他们浏览网络,尤其是在网站声誉不佳。

这是url的列表我们已经找到类似的主题(我们在这里发布,这样其他人也可以将他们列入黑名单):

hxxp: / /www.error711971669.com/ hxxp: / /www2.securedship.com/ hxxp: / /errormessagenumber.com/ hxxp: / /system32warnings.com/ hxxp: / /www.systems32security.com/alert/indexna.php hxxp: / /esystemalerts.com/345/ hxxp: / /warningmessage32.com/

网站通常通过一个代理注册的匿名(WHOISGUARD保护,由代理领域,LLC)。

了解如何流行的这些扫页面,看看一些数据(由让用户):

交通

有6月达1160万人次systems32security.com

一个虚假的推销

看到警告消息,许多人可能觉得有真正正常的机器。

事实上,页面本身设计以这样一种方式,你不能关闭它们通过单击“X”。而不是你需要有力的“杀死”浏览器通过TaskManager或其他Windows实用程序。

上钩的人将调用与技术员和1 - 800免费电话说这就是他们真正的麻烦开始了。

警告页面实际上是一个发射台的技术员讨论网络威胁,给最近的袭击和最终的例子恐慌用户:

“这是一个间谍软件感染,很类似于感染,进入目标系统的几个月前,同样也陷入上周eBay的系统。”

但为什么用户接收这些警告直接到他们的电脑上呢?

“微软想所有的机器上运行一个诊断。现在,当他们跑的诊断,任何机器显示的病毒或被病毒感染的迹象,他们继续和收到警告,这样他们可以继续打电话,让他们充分意识到发生了什么和你的机器。”

当然这不是真的。微软已经所述很多时候,“你永远不会得到一个合理的调用从微软或我们的合作伙伴收取你的电脑修复。必威客服app

如果有任何疑问剩下的合法性这个技术员,他们成了压扁在几秒钟之内:

evwr

“它看起来像现在你有127受感染的文件。”

事件查看器不显示感染文件的数量,它不是一个病毒扫描程序。骗子海外数年来都在使用这种方法,它是真的令人震惊的听到他们的美国同行去也。

更糟的是技术人员继续使用隐喻来进一步推动他的观点传达一种紧迫感和情况:

“这是要继续传播。这几乎就像一个癌症,它会下来到你的系统,它会继续传播感染每天越来越多的文件,直到这台电脑崩溃。”

利用无辜的受害者和欺骗他们的辛苦赚来的钱和养老金是卑鄙的。

受害者表达任何疑问,技师不犹豫地说谎。

问题:所以它如何扫描时发现这些东西?
技术员:老实说,我不是很确定ie浏览器是如何工作的就安全而言。

人应该运行一个安全诊断这是一个缺点。

问题我们可以相信这个信息是正确的吗?
技术员:你为什么要怀疑?

第一次尝试确认页面是假的,但技术员不让步。

问题:为什么你的电话号码吗?
技术员:因为他们想要你打电话给某人在Windows和运行的诊断系统。

第二次尝试:再一次,他的公司的技术人员完全没有问题的电话号码被印在一个欺诈网页。

问题微软:你的一部分?
技术员:是的。

无可奉告。

问题:这是一个合法的网页?
技术员:正确。

第三个和最后一个试图给他一个机会改变主意失败。

我们尝试多次,我们总是被重定向到同一个“服务台”一贯建议一个技术支持的公司:E-Racer科技(又名清洁电脑)。

最重要的是,帮助台和E-Racer科技是相同的实体。两步过程只是为了让受害者相信他们与不同党派,E-Racer科技建议由微软的帮助台。

客户,违反许可协议

B先生进入。,your typical retired and unsavvy computer user who agreed to play the victim for the purpose of this investigation.

b先生只是浏览网页时,突然间,一个可怕的页面(一样见上图)接管了他的屏幕。

问题:有很多红色的东西,那是坏吗?
技术员:这是所有感染,这就是所谓的恶意软件。是的,那是非常糟糕的

恐吓战术工作后,技术员的最后陈述:

“这是100%保证工作通过一个名为E-Racer科技的公司。他们是一个微软的合作伙伴。”

b先生收到一个折扣包病毒清除和电脑清理。而不是支付299美元,b先生是“只有”199美元的账单。

包还包括伪反恶意软件E-Racer科技费用99美元。必威平台APP注意:你可以购买相同的程序(实际上新版本)直接从24.95美元必威平台APPmalwarebytes.org

transaction_record

inuse

技术员开始下载各种工具和运行一个脚本自动化“修复”的过程。

MBAM

安装、注册和伪反恶意软件扫描通过脚本实现自动化,包括一个硬编码的许可密钥:必威平台APP

注册

当你购买溢价伪反恶意软件,必威平台APP你有权使用相同的许可证密钥只有3个人电脑。

我们检查,发现它已经使用的关键2341倍在过去的几个月里。在99美元/客户(他们收取的价格),我们估计加起来231759美元值得在销售一个伪安全许可证密钥!必威平台APP

备案,这已经不是第一次肆无忌惮的技术支持企业使用和滥用伪反恶意软件。必威平台APP许可证许可协议是非常清楚的:

你可能不会在网络上运行软件,但必须在个人电脑上安装它只你许可,这些计算机上本地运行它。你可能不会使用软件,或向第三方提供该软件的功能,对于任何商业目的,包括但不限于提供任何电脑维修,帮助台或故障排除服务任何第三方。您不得将本软件与第三方脚本、应用程序、硬件或工具,因为它运行在一个自动化或无人值守。

佛罗里达东南部:技术支持诈骗的温床

国旗

“我们做最好的为我们的客户,这意味着没有技术支持外包给印度这样的国家。”

佛罗里达东南部技术员的IP地址点:

佛罗里达

有趣的是,的面积波卡拉顿似乎充斥着技术支持公司,其中有许多有很多抱怨。

朋友这是你的代码使用(朋友对于你公司调查和关闭他们的账户):

  • 988610年
  • 914889年
  • 882157年

不同的国家,同样的骗局

技术员是否从印度或美国,配方和目标都是相同的。一些技术支持的公司正在利用电脑盲用户和欺骗自己的脸,绝对没有第二个想法。

很容易假定骗局从印度搬到美国因为如何有效的和有利可图的。但现实可能比这更复杂。首先,美国公司都不太可能去推销人,因为被抓的风险,更不要说这种做法有一个坏名声。

相反,他们将寻找方法来推动手机流量支持以各种方式:

  • 广告在谷歌或必应搜索结果[2]针对某些流行的关键字(例如联邦调查局病毒,Netflix支持)
  • 免费注册表吸尘器/优化器生成一个误导性的错误数量[2]
  • 边缘型假/欺诈网页旨在恐吓用户

在许多情况下,您将看到什么似乎是一个分层的基础设施,这样如果出现错误,他们可以责怪别人。例如,它非常聪明分离自己从子公司甚至Tier1支持男人的工作是做销售。

另一个骗子建立海外的主要区别是,确保客户满意度,使这个行业可行的从长远来看。首先,你有更多的担心被抓到的业务实践和发生在美国。

事实上,这些欺诈性的美国公司甚至可能从客户获得合法的和积极的评论。技术员很友好,说正确的英语和工作及时、高效地完成。

但是,这些受害者可能不会看到什么,我们决定公开,就是一些不诚实的技术支持公司训练有素的员工编造谎言来恐吓他们的前景客户支付很多钱他们实际上不需要的服务。

在一天结束的时候,这是一个艰难的问题,因为有很多人(尤其是老年人),需要一些帮助他们的电脑,经常没有太多选择。如果他们在网上寻找,很有可能他们会被宰了。

为了合法公司和潜在的受害者,重要的是要确定那些滥用系统和揭露他们。

我们发送E-Racer科技停止信他们的欺诈使用我们的软件,但没有得到回音。

我们增加了他们的网站和数字技术支持骗子黑名单

特别感谢JP Taggart援助在这个项目。

[1]随时查看自己的广泛资源页面技术支持诈骗(使用技巧,公司等)在这里

[2]如果你遇到一个误导性或欺骗性的广告,请报告在这里。TrustInAds.org是一个联盟,致力于打击不良广告。

微软最近做了一个有趣的[3]声明关于注册表吸尘器:“一些产品,如注册表清理工具表明注册表需要定期维护或清洁。然而,严重的问题可能发生当你修改注册表错误地使用这些类型的实用程序。这些问题可能需要用户重新安装操作系统,由于不稳定。微软不能保证可以解决这些问题没有重新安装操作系统的变化的程度由注册表清理工具从应用程序到应用程序。”