it-swarm.com.de

Fast verliebt in "technischen Support" Betrug - was ist das Risiko?

Ein Bekannter von mir erhielt einen Anruf von einem mutmaßlichen Microsoft-Mitarbeiter und gewährte ihm über den Team Viewer (allgemein als Betrug beim technischen Support bekannt) Zugriff auf seinen Windows 10-Computer. Aber als der Betrüger ihm eine Datei schicken wollte, wurde er misstrauisch und schaltete den Computer sofort aus, bevor etwas gesendet werden konnte. Er gab weder seine Kreditkartennummer noch andere persönliche Daten preis. Danach änderte er sofort seine Passwörter von einem anderen Computer und verband den betroffenen Computer seitdem nicht mehr mit dem Internet. Er hat mich jetzt um Hilfe gebeten, aber ich bin mir nicht sicher, welche Schritte notwendig sind.

  • Denken Sie, dass der Computer infiziert sein könnte? Eine Remote-Sitzung des Team Viewers war aktiv, aber wie gesagt, es wurde keine Datei gesendet. Ist es noch möglich, einen Computer zu infizieren?
  • Mein Plan ist es, eine Live-CD zu starten und einen Virenscan durchzuführen, aber ich bin nicht sicher, ob es notwendig ist, die gesamte Festplatte zu löschen. Wäre der sicherere Weg, aber auch viel zeitaufwändiger.
  • Ist es möglich, dass der Router infiziert wurde? Ich möchte die DNS-Einstellungen überprüfen. Gibt es noch etwas, das ich überprüfen sollte? Oder sollte ich den Router komplett zurücksetzen?

Wäre schön, wenn mir jemand Hinweise und Ratschläge geben würde. Ich denke nicht, dass die Frage ein Duplikat dieser beiden ist:

Weil ich mehr daran interessiert bin, ob es möglich war, den Computer zu infizieren, ohne eine Datei zu senden, als darüber, was zu tun ist, wenn sich ein Virus auf dem Computer befindet.

PS Ich komme aus Deutschland, anscheinend hat der Betrug mit dem technischen Support auch nicht englischsprachige Länder erreicht ...

31
Phil

Aus Ihrer Beschreibung geht hervor, dass Sie sich keine Sorgen machen müssen. Das Opfer hat den Bildschirm nur mit dem Angreifer geteilt, ohne dem Angreifer die Kontrolle zu geben oder dem Angreifer irgendwelche Informationen zu geben.

Da das Opfer ein gemeinsames Tool (TeamViewer) verwendet und kein vom Angreifer bereitgestelltes, besteht in der freigegebenen Sitzung kein Risiko.

Es besteht kein Risiko für den Router, da der Angreifer nie Zugriff darauf hatte.

Es ist nicht bekannt, welche Informationen der Angreifer auf dem Bildschirm gesehen hat, aber möglicherweise besteht die einzige Sorge in der Offenlegung der IP-Adresse. Dies kann durch Ein- und Ausschalten des Routers (was in einigen Fällen funktioniert) oder durch Aufforderung des ISP nach einer neuen IP-Adresse gemindert werden.

28
schroeder

In meiner Uni-Zeit, als ich Nagware knackte, packte ich das ursprüngliche Installationsprogramm oft mit meinem Crack und allen Änderungen, die ich am Code vorgenommen hatte, einschließlich zusätzlicher Dateien/Binärdateien, neu. Die Werkzeuge waren damals viel einfacher als heute.

Nichts garantiert, dass Ihr Freund einen "echten TeamViewer" installiert hat.

Nichts garantiert auch, dass, obwohl er "gesehen" hat, was sie taten, sie es nicht getan hatten, als er auf eine Binärdatei/ein Installationsprogramm klickte, dass eine sekundäre Steuerungsverbindung zu einem Partner der mit ihm sprechenden Personen oder zusätzlicher Software geöffnet wurde wurde im Hintergrund heruntergeladen.

Obwohl das Opfer "nur" TeamViewer installiert und "gesehen" hat, was getan wurde, ist IMO die einzig sinnvolle Lösung, den Computer zu formatieren und alles für alle Fälle von Grund auf neu zu installieren.

Es ist auch ein ziemlich falsches Sicherheitsgefühl, vorausgesetzt, es ist nichts mehr übrig, wenn eine AV-Lösung keine Signaturen findet. Ein AV findet keine speziell gestalteten Binärdateien/Skripte oder "offizielle" Software zurück.

3
Rui F Ribeiro

Wenn sie keine Kreditkarte angegeben und die Datei nicht erhalten haben, sollte es keinen wesentlichen Grund zur Besorgnis geben. Ich würde sie Virenscan und Malware-Erkennung ausführen lassen und alles finden, was gefunden wurde.

In den USA hat die Federal Trade Commission eine Nicht-Technik-Seite über diese Art von Betrug zusammengestellt. Sie können Ihren Freund dorthin führen, um weitere Informationen zu erhalten.

Es tut nie weh, übermäßig beschützt zu sein, wenn Sie glauben, dass etwas passiert ist. Es geht um den Komfort, den die Person hat, nachdem ihre Computerdaten noch intakt sind.

hier ist der Link von der US FTC

3
jedicurt

Mit Teamviewer kann die andere Partei standardmäßig Ihren Computer steuern. Dieses Steuerelement ist jedoch vollständig sichtbar, als würden sie mit einer Maus und einer Tastatur direkt an Ihrem Computer sitzen.

Um den PC zu infizieren, kann der Angreifer eine Datei über Ihren PC herunterladen und ausführen. Das Senden einer Datei über das Fernsehen ist definitiv nicht erforderlich. Aber wenn sie das versuchten, war es sehr wahrscheinlich, dass es Teil ihres Plans war. Warum anders?.

Wenn Ihr Freund den gesamten Vorgang gesehen hat, kann er wissen, auf was der Angreifer zugegriffen hat. Wenn Ihr Freund weiß, dass er beides nicht getan hat und keinen eigenen Zugriff über RDP oder etwas anderes eingerichtet hat, ist es sehr wahrscheinlich, dass er den Computer nicht "gehackt" hat. Dies ist ein einfacher Betrug für Ahnungslose. Es ist unwahrscheinlich, dass er mit einem hoch entwickelten Betrug unter dem Radarangriff kombiniert wird.

Wenn der Computer nicht zur Verarbeitung vertraulicher Informationen verwendet wird, müssen wahrscheinlich keine ungewöhnlichen Schritte unternommen werden (Malware-Prüfung). Zu den weiteren Schritten, die ausgeführt werden können, gehören die Deinstallation von Teamviewer (falls dieser für den unbeaufsichtigten Zugriff eingerichtet wurde), das Löschen von Bankkennwörtern im Browser/die Verwendung eines kennwortgeschützten Managers und das Ändern der Bankkennwörter, wenn 2FA nicht vorhanden ist. t verwendet (keine schlechte Sache, um jedes Jahr oder so zu tun).

2
ZOMVID-20

Die Teamviewer-Version wurde nicht angegeben.

Ältere Versionen erlaubten standardmäßig die Freigabe der Zwischenablage (einschließlich Dateien). Schlimmer noch, die Freigabe der Zwischenablage hatte keinen Hinweis auf die Verwendung, sodass Dateien auf einen Remotecomputer (möglicherweise an Startorten) kopiert werden können, ohne dass dies jemand bemerkt.

Es besteht die Gefahr, dass ein Programm auf das ferngesteuerte Gerät kopiert wurde. Dies hat keine unmittelbaren Auswirkungen, aber böswillige Nutzdaten werden beim nächsten Start aktiviert. Man kann auch Dateien ersetzen, die regelmäßig von Diensten verwendet werden. Also ja, die Maschine kann infiziert sein.

Das Ausführen einer Live-CD und das manuelle Überprüfen ist möglicherweise der beste Weg. Bei einem Virenscan werden möglicherweise verschleierte Dateien übersehen, oder die schädliche Nutzlast wird vom Scanner einfach nicht erkannt. Realistisch gesehen gibt es viele Angriffsoptionen, sobald man Schreibzugriff auf einen Computer hat (z. B. Ersetzen häufig geladener Treiberdateien, Ersetzen von Dateien, die von allgemeinen Diensten verwendet werden), sodass eine manuelle Überprüfung möglicherweise nicht einmal möglich ist.

Bei Verwendung des obigen Ansatzes kann der Router infiziert sein theoretisch, obwohl ich dies sehr bezweifle, es sei denn, Sie sind mit einer anhaltenden, dedizierten Bedrohung konfrontiert.

1
PNDA