Comment j'ai convaincu un arnaqueur de s'infecter avec Locky
Il y a quelques jours, j'ai reçu un appel paniqué de mes parents qui avaient atterri sur cette page web (aujourd'hui inaccessible, mais voici un screenshot). Celle-ci les avertissait du fait qu'ils étaient infectés par Zeus. Ce tas d'HTML atroce avait tout pour lui : un message audio en lecture automatique, des alertes JavaScript infinies, et même un arrière plan bleu-BSoD parsemé de noms de fichiers cryptiques pour nous rappeler les bons vieux jours de Windows. Malgré celà, la page affichait une adresse IP aléatoire au lieu de mettre celle du visiteur.
Premier appel :
Après que tout le monde ait bien rigolé sur Twitter, j'ai décidé de passer un petit coup de téléphone à ce soi-disant "support technique" pour en apprendre plus sur leur opération. J'ai donc lancé une VM sous Windows XP qui trainait et composé leur numéro.
Je suis accueilli par un message vocal, puis Patricia prend mon appel. J'essaie en premier lieu de lui faire miroiter un gros coup en expliquant que je souhaite régler le problème au plus vite, car je suis un homme d'affaire sur le point de finaliser un très gros contrat. Malheureusement pour moi, elle ne parle pas très bien Français et a du mal à s'éloigner de son script. Elle me décrit une suite d'étapes qui me conduit à télécharger un logiciel d'assistance à distance : Windows+R, taper iexplore remote.join360.net, quelques autres bricoles et puis exécuter le programme proposé. En première instance, il semble s'agir d'un logiciel de support légitime, car sa signature électronique est valide.
Les choses amusantes commencent. Patricia lance cmd.exe sans s'étonner des icônes d'OllyDbg et IDA (des outils d'analyse qui ne sont utilisés que par des experts en sécurité informatique) qui traînent sur le bureau. Sans doute pour m'impressionner, elle exécute un dir /s (un simple listing des fichiers) et prétend que les dates correspondent à mes derniers logins sur le système. Les documents qui défilent, eux, sont "ceux que j'ai ouverts récemment". Je feins l'admiration et tape discrètement CTRL+C dans la console pour interrompre la commande et gagner du temps. Patricia tape ensuite "1452 virus trouvés" puis "ip hacked". Elle me demande quel logiciel anti-virus j'utilise. Je réponds aucun : ils sont trop chers, et @taviso n'arrête pas de les péter de toute manière. La référence lui échappe, mais ça ne l'empêche pas de me gronder.
Quelque chose de surprenant se produit : elle me dit que mes 15 minutes de support gratuit sont écoulées, mais qu'elle va me rappeler afin que nous puissions continuer sans frais - et elle me rappelle quelques minutes plus tard, avec un numéro pennsylvanien (+1-267-460-7257). Elle reprend ses reproches au sujet de mon dédain manifeste pour les règles élémentaires de l'hygiène informatique, et arrive à la conclusion suivante : mon ordinateur est infecté et requiert un nettoyage. Elle m'invite à acheter ANTI SPY ou ANTI TROJAN pour seulement 189.90$. Avant même que je puisse sortir ma carte bleue, elle revient dans le terminal, tape netstat et affirme que quelqu'un est connecté à mon ordinateur à ce moment même ![img]sites/default/files/pictures/techsupport_found.png[/img]
"Regardez dans le terminal ! 1452 virus trouvés ! "Commande introuvable" est aussi un signe que la machine est infectée !"
Au passage, je suspecte 115.115.67.53 d'être sa véritable adresse IP.
— Ce n'est pas vous ? demandé-je. L'adresse est localisée à Delhi.
Un silence. Elle me dit que c'est en réalité la ligne "localhost" qui correspond à son intervention, parce que "localhost signifie connexion sécurisée". Je proteste :
— Vous en êtes sûre ? Je croyais que ça voulait dire "machine locale".
Elle marmonne un peu, me relit texto la section courante de son script, et affirme une nouvelle fois que cette autre adresse IP appartient à quelqu'un qui habite à Delhi, comme elle, mais quelqu'un d'autre : un hacker sans nul doute. A ce stade, il me semble devoir préciser que je n'invente rien.
— C'est d'accord, reprends-je, je veux bien acheter votre truc. Est-ce qu'on peut le trouver à la FNAC ?
Elle semble agacée :
— Je ne sais pas si on peut l'acheter à Paris, répond-elle dans son français haché. Il s'agit d'un programme exclusif qui n'est distribué que par les partenaires de Microsoft et via leurs canaux sécurisés.
— Oh, je peux l'acheter sur microsoft.com alors ?
— …Oui.
— Parfait alors.
— Parfait.
— …
— Vous aviez d'autres questions ? Non ? Merci, et au revoir.
Deuxième appel :
Je présume que ce n'est pas la manière standard d'arnaquer les gens. Ce devait être une stagiaire arnaqueuse, ou quelque chose comme ça. A ce moment-là, je réalise que certains des screenshots que j'ai pris ne conviennent pas. J'attends donc une petite demi-heure et rappelle, prévoyant de prétexter que je ne trouve pas le logiciel décrit sur le site officiel de Microsoft. Cependant, c'est un nouvel opérateur qui décroche : Dileep. Je suis obligé de subir toute la procédure une fois de plus. Dileep semble beaucoup plus à l'aise avec son script et ajoute quelques touches personnelles, comme ouvrir la liste des services Windows et me montrer qu'une grande partie d'entre eux sont arrêtés, ce qui n'est "pas du tout normal". Sa conclusion est la même : ma machine est infectée, il l'a nettoyée gratuitement mais recommande l'achat d'un abonnement Tech Protection pour que je n'aie plus jamais de virus de ma vie. Son package coûte 299.99€, mais comme il semble plus expérimenté que Patricia, pourquoi pas. J'accepte de mettre la main au portefeuille et me dépêche de trouver des numéros de test pour carte bleue. Evidemment, le prestataire de traitement des paiements rejette la transaction et nous réessayons quatre ou cinq fois. Je finis par suggérer d'utiliser ma seconde carte bleue et pioche un autre numéro valide (du point de vue de l'algorithme de Luhn en tout cas) dans la liste. Dileep me fait recommencer une bonne dizaine de fois avec les deux cartes. Je fais l'idiot. Pendant ce temps-là, j'entends dans le bruit de fond d'autres opérateurs qui répètent numéros de carte bleue et CVVs à voix haute. Probablement une violation de la norme PCI-DSS. Soudain, j'ai un éclair de génie : j'ouvre le dossier spam de ma boîte mail où attendent de mourir des pourriels de la dernière campagne Locky. Je prends un fichier joint au hasard (ces archives zip qui contiennent un script JS téléchargeant un ransomware) et le dépose dans ma VM. Le client d'assistance à distance que Dileep m'a fait installer a une fonctionnalité de partage de fichiers. Je lui uploade l'archive et dis :
— J'ai pris une photo de ma carte bleue, est-ce que vous pourriez essayer de taper les numéros vous-même ? Peut-être que ça marchera.
Au début, il m'ignore. Il me fait taper mes informations bancaires encore et encore (points bonus pour la persévérance), jusqu'à ce que je mette le holà :
— Ecoutez Dileep, je suis vieux et ma vue n'est pas très bonne. Ça commence à me faire mal à la tête de me concentrer pour lire ces petits numéros, et je crois avoir prouvé que je ne suis pas à l'aise avec les ordinateurs de toute manière. Vous ne voulez pas me donner un coup de main ?
Il ne dit rien pendant un moment, et revient vers moi :
— J'ai essayé d'ouvrir votre photo, mais il ne se passe rien.
Je fournis un effort surhumain pour ne pas exploser de rire.
— Vous êtes certain ? Vous utilisez bien Windows, hein ? Des fois, mes photos ne veulent pas s'afficher sur les Mac.
— Oui, confirme-t-il. Vos images doivent être corrompues à cause du virus. C'est pour ça qu'il vous faut une protection.[img]sites/default/files/pictures/techsupport_photo.png[/img]
Et, tandis qu'un processus chiffre silencieusement son système de fichiers, nous essayons quelques fois de plus de valider la commande avec mes numéros de carte bleue aléatoires. Il finit par renoncer, m'invite à appeler ma banque pour tirer la situation au clair et promet de rappeler le lundi suivant.
En conclusion, quand on tombe sur une arnaque de ce type, il me semble que l'acte civique est de prétendre qu'on est dupe. Ma logique est la suivante : les arnaqueurs n'ont pas la possibilité de faire la différence entre les véritables victimes et ceux qui font semblant : leur business plan part du principe que seuls les gens les plus crédules vont mordre à l'hameçon. Si en revanche une pluie de faux pigeons s'abattait sur eux, leur charge de travail augmenterait tellement que leurs arnaques ne seraient plus profitables. Si vous parlez français, je vous invite donc à prendre 15 minutes de votre temps, les appeler au +339 75 18 77 63 et les pousser à faire quelque chose de drôle.
