recrudescence d'arnaque

[chapsteph]

Salut à tous,

 

Cette semaine c'est la troisième victime dans mon petit patelin d’arnaque au site web accrocheur qui dis qu'il faut appeler tout de suite le numéro par ce que le PC à un virus etc

Les gens appelle bien sur un numéro surtaxé

Puis un pseudo technicien prend la main sur le PC et installe des merdes

Avez vous eu le cas ?

3 en une semaine je trouve çà beaucoup.

[Makarov62]

Hello,

j'ai eu le cas la semaine dernière d'un client.

Affichage d'une page web au démarrage du PC, indiquant que le PC est infecté et qu'il faut appeler un numéro en 09xx

Mon client a appelé, puis donné son numéro de CB, et un "technicien" a pris la main via Teamviewer, pour installer des merdes sur le PC.

Résultat, mon client a du faire opposition sur sa carte, dépôt de plainte au commissariat pour escroquerie. Et moi, j'ai nettoyé son PC et reset tous ces mots de passe.

Malheureusement, mon client m'a appelé une fois le mal fait, tandis que s'il m'avait contacté lorsque son PC affichait la page web,il se serait évité bien des soucis.

A mon sens, on a un gros travail de pédagogie à faire avec nos clients, surtout ceux qui ne sont pas à l'aise avec l'informatique, mais malheureusement, on ne peut pas être tout le temps avec eux pour vérifier ce qu'ils font

[SkySky]

J'en ai eu  au moins une dizaine depuis un an qui ont payé. La plupart, les pages venaient de  Facebook où ils étaient  abonnés à des pages pourries.  Les autres c'etaient des malwares et cie.  Les tarifs que j'ai vu de 100 euros a  250 euros mais c'etait une promo  

 

[modjo]

L' un de mes clients a payé 400€. l'une de mes clientes a donné le contrôle et ils ont installé un ransomware. 

[RenOo]

Salut,

 

Idem de mon coté par contre à part faire changer les mots de passes, passer un coup des nettoyeurs (adwcleaner, roguekiller, malwarebytes..) que faire en plus ? cela suffit il ?

Qu'en pensez vous ?

[Pyrithe]

Quelques conseils ici dans un article que j'ai mis en ligne il y a un an mais encore valable : https://www.tech2tech.fr/forensics-retrouver-les-traces-dun-piratage/

 

[chapsteph]

4 eme client cette semaine pour moi, heureusement aucun n'a payé mais il ont tous laissé la main sur leurs PC et tout un tas de merde installé.

Du coup cette semaine j'arrive a faire des désinfections les yeux bandés

 

[Remiblues]

Salut,

 

WOW

Si vous êtes la seule référence en informatique de vos clients.

Même si vous n'êtes pas des experts en cybercriminalité.  «« Quoi qu'avec internet ! »»

Vous connaissez l'actualité virale.  Communiquer.la !

 

Préparer et faite parvenir ««régulièrement»» une liste de mesures de sécurité à appliquer, par courriels à vos clients.

Et assurez le suivit quand vous les rencontrez.

 

Aussi.

Utiliser l''actualité comme prétexte pour relancer les clients, avec de nouveaux exemples sur le phishing & les ransomware. ««Régulièrement 3-4 fois / année.»»

Ex. Revirement de situation - Intel déconseille d'installer ses patchs contre Meltdown/Spectre.

 

 

 

Quelques mesures pour, se protéger des hackers et de soi même.

Un article avec description complète sur le phishing.  Réf. Wiki et internet pour un supplément avec des exemples.

- Lesquels viennent majoritairement, de courriels de sociétés connues-Fake et dont le but est que la victime se logue sur un site Fake ==>> le serveur du hacker.

- Ou un script sur un site qui affiche à pleine page dans le navigateur, ces pseudo services tech. de Microsoft, comme ChapSteph et Makarov62 mentionnaient.

- Ou encore de pseudo Tech. Qui traverse le navigateur via un exploit, pour s'installer dans un point de chargement "généralement au Démarrage". 

- De Facebook qui fait régulièrement l'objet de piratages, comme SkySky.

P.S.

Si ton institution financière envoi un courriel avec lien Web, qui demande se loguer = suspect. 

Vérifier l'adresse http://..  à la recherche d'un préfixe hors norme.     Aussi. Au lieu du lien Web du courriel, utiliser le favori de l'institution qui dans le navigateur.

 

Sur les ransomware qui transit en majorité, via des pièces-jointe(.Exe. .Zip. Pdf, Word, Excel, etc) de courriels inconnus.  ««Les fausses factures etc.»»

- Même avec les courriels d'origine connus avec pièce-jointe. Avant de lancer la pièce-jointe, vérifier avec l'expéditeur qui pourrait s'être fait piraté ses contacts.

«« Aucun antivirus(avec 3-4 jours de retard) n'est mieux placé que l'utilisateur, pour évaluer efficacement les courriels d'origines inconnus & connus-Fake. »»

P.S.

Utiliser n'importe quel autre lecteur pdf qu'Adobe, qui est ciblé par les pirates 

Et Désactiver Windows Script Host, pour le code VB illicite susceptible d'être contenu dans des fichiers Word, Excel ..

 

 

Pareil avec les supports USB d'origines inconnus, qu'on ne doit jamais ouvrir par un double-clic.  Mais plutôt par un clic-droit --> Ouvrir.

Et si un support USB contient un fichier autorun.inf accompagner d'un fichier .VBS ou .VBE <<-- supprimer ces fichiers qui sont le vecteur d'infection.

Si des fichiers & rép. ont "en apparence" été transformés en raccourcis.  Ils sont la réelle infection. Donc ne pas double-cliquer sur eux. Supprimer les plutôt.

Et ré-afficher les fichiers & rép. qui ont simplement été cachés. <<-- Dans les "Options des fichiers" ainsi que dans les Propriétés de chacun.

Si, à cause du double-clic, l'infection s'est déployée dans Windows.  C'est au Démarrage, avec comme ligne de commande; wscript.exe suivit d'un VBS ou .VBE.

P.S.

La Désactivation de Windows Script Host, est aussi valable avec les .VBS et .VBE.

Tout comme la désactivation de la fonction Autorun de Windows, qui peut s'appliquer qu'aux supports amovibles.  

Les Antivirus gratuits ont tous une option (pas toujours activée), qui bloque les fichiers Autorun.inf que sur les supports USB.

Et y a l'ajout d'un répertoire autorun.inf pour contrer la mise en place d'un fichier autorun.inf, pour les supports USB qui vont en promenade.

 

 

 

L'importance du rôle de l'utilisateur en prévention. 

Avec près de 95% des infections, qui viennent de décisions / actions des utilisateurs.
Les téléchargements y sont pour beaucoup ; 
• rien que les PUPs, adware & infections de navigateurs, de logiciels gratuits, représentent près de 80% de tous les sujets de désinfections. 
• les Faux plugins FlashPlayer, lecteur vidéo & codec vidéo .. sur les sites «« à fuir »», qui les obligent pour accéder à leur site. 
• les Fix bidon(SpyHunter, Re-Image etc) sur les Faux sites de conseils de sécurité.    «« Y en a tellement. »»
• les logiciels crackés ≈ botnet = ordi. zombie. 
• .. 
Et. 
• les pièces-jointe & liens Web de courriels d'origines ;  inconnus ≈ ransomware   &   connus-Fake ≈ phishing.
• les supports USB inconnus.  À lancer par un clic-droit → Ouvrir (au lieu du double-clic) etc.
                                                      
Bref.   Toutes des choses qu'un utilisateur avisé devrait éviter aisément. 
 
Alors.  Dans la majorité des cas.   
            Quand l'antivirus a à intervenir(s'il le peut), c'est que l'usager a commis une erreur de sécurité. 

 
Et après. 

S'il y a un endroit où l'incertitude a sa place en sécurité, c'est avec la navigation.
Alors que des pub vérolées, Exploits .., peuvent même surgir sur des sites safe piratés .. 
L'utilisateur doit donc utiliser davantage de mesures de sécurité, avec les navigateurs. 
Aussi. 
Pour protéger la navigation des URL/sites à risques ; 
• le fichier Hosts, à mettre à jour aux 30 jours,   «« uBlock en a, sauf que plus on ajoute de liste plus ça ralentit le navigateur. Alors qu'une liste dans le Hosts, est valable pour tous. »»
• bouclier Web d'antivirus,  
• les navigateurs qui doivent être m-à-j régulièrement.  Leurs m-à-j servent souvent qu'à colmater des failles de sécurité.
• les extensions de sécurité ; uBlock Origin, NoScript etc
੦ facultatif - On peut même remplacer les IP du serveur DNS du FAI, par NortonDNS ou OpenDNS .., qui bloquent aussi des sites. 
Cela. 
• Sans négliger l'ajout d'un anti-Exploit, comme ; EMET ou mb-ae free.    «« Les antivirus payants en on un ! »»
Et. 
• Tenir à jours; les plugins d'Adobes & Java, à télécharger que sur le site de l'éditeur.  Si possible, désactiver Java(plein de failles) dans les navigateurs.
• Évidemment. On pourrait ajouter d'éviter les sites à risque. 
 
 
À propos. 

 

Les navigateurs.

Chrome a redéfini les normes de ce que doit être un navigateur.

Par contre.  Avec leur penchant avoué pour la collecte de données.   Y a Chromium, Opera etc, qui partagent le même ADN que Chrome.

 

Pour Firefox.  Après avoir été mis de coté en 2016, dans une convention de hacker sur la sécurité.  L'éditeur s'est enfin décidé de remodeler son navigateur en 2017.

  
L'extension de sécurité NoScript.
NoScript est une authentique protection contre les menaces zero-day.

Aussi. Cette extension est la plus puissante et la plus difficile à maitriser.  

 

«« Si on Autorise tout sur ses sites favoris etc.  Aussi bien ne pas installer NoScript. »»

 

Au début on doit investiguer chaque Domaine/URL, c'est long.   

Après.  Comme plusieurs sites utilisent les mêmes Domaine/URL, ça devient plus rapide. «« On peut sauvegarder les autorisations enregistrées. »»

 

Si nécessaire.  On doit d'abord autoriser le Domaine du site visité.
Ensuite.
Au cas par cas, pour retracer les Domaines/URL utiles pour accéder aux fonctions/services du site visité. 
Ex. comme avec la fonction qui sert à s'inscrire ou se loguer sur un site etc.  
Parmi les URL "non autorisés par défaut", y en a qui servent à sniffer, à de la pub, afficher des vidéo etc, etc. 

Que ce soit les sites favoris visités à chaque jours ou les gros sites comme TF1 etc.   Y a aucun site exempt d'être piraté. 
Et rare sont les sites qui ne sont pas associés à des régie publicitaire, pour faire un peu de cash.  
En tout cas. Les sites de streaming vidéo, sont très dangereux.
  

 

[gilou65]

très bien ton topo sur la prévention.

je n'ai pas du par le passé appliquer toutes tes consignes parce quelques adwares du type PUP , des publicités donc ont passé mes filtres (CCleaner antivirus windows,et MALWAREBYTES, )

Oh d'après ce dernier ils ne sont pas dangereux mais bon ils me mangent environ 20 % de la vitesse de mon processeur (mesuré sur le gestionnaire de tâches) et donc me ralentissent un peu.

J'ai bien essayé divers trucs (anti adware, le logiciel revo uninstall, le gestionnaire pour les désinscrire et baisser leur niveau de priorité) mais ils sont toujours la , ils s'appellent "campuses", et "stagnation"

Impossible de  les virer

J'ai lu des avis très techniques qui proposent de toucher au Registre windows mais je ne suis pas  très chaud pour m'y coller.

As tu une solution ?

merci de m'avoir lu

[Remiblues]

Effectivement, farfouiller dans le registre n'est jamais le 1ière option recommandée.   

Et lorsqu'on y est forcé, c'est avec beaucoup de vigilance, sauvegardes, etc.

 

Ce qui n'est pas nécessaire lorsqu'il s'agit d'infections,

 

Puisque la principale tâche de FRST, est d'afficher tous les points de chargement ; de Windows et des logiciels. 
Et que les infections, doivent forcément utiliser les mêmes points de chargement, pour s'activer. 
Alors.  Peu importe la date d'apparition des infections ou le type d'infection.  ⇐ Lacunes des antivirus et scanners. 
            S'il y a infection, c'est affichés.    «« généralement »»
De plus.  

            Sans en être un spécialiste, les rootkits font l'objet de recherches(couche TCP/IP, fichiers systèmes etc).
Et en prime.    

            FRST affiche les erreurs ;  de l'Observateur d'événements   &   du Gestionnaire de périphérique.
                                                  Ce qui permet de ratisser plus large que le domaine viral, pour retracer des bugs. 

 

 

[gilou65]

Merci pour cette réponse immédiate

si j'ai bien compris tu préconises l'utilisation du scan FRST.

Et une fois le scan installé procéder à une analyse et suivre les recommandations pour le nettoyage.

J'ai vu un autre tuto pour la mise en oeuvre des  préconisations FRST sur malekal....envoi du résultat analyse à un soutien via pjjoint etc...

j'ai noté au passage que le concepteur de FRST précisait que l'utilisation de l'outil était à nos risques et périls, je comprends: ils ne peuvent pas être tenus pour responsables d'erreurs de notre part dans la mise en ouvre des corrections, qui plus est en utilisant un outil gratis.

Donc je pars en recherche d'un soutien

[Remiblues]

gilou65,

Comme les techniciens «« selon les sujets observés »», ne doivent pas aller sur les forums de désinfection pour leur client.

Alors.  Vous ne devez pas être un technicien «« qui discutent de l'utilisation de FRST »».

 

Effectivement.  Y a des sites d'experts pour newbie et autres forums de désinfections.

Sauf que tous sans exception, semblent tenir à ce que vous restiez newbie.

Puisqu'ila ne vont jamais plus loin que de recommander le fameux scan antivirus, pour désinfecter un ordinateur.

Auquel s'ajoute les scanners  AdwCleaner etc.

 

Et pourtant.   L'utilité des points de chargement est tellement important en désinfection.

La preuve.     Les désinfecteurs auxquels on fait appels, après qu'antivirus et scanners aient échoués à la tâche,

                       Lesquels  utilisent des logiciels de diagnostique, dont la principale tâche est d'afficher les points de chargement.

 

Alors.

 

Parce qu'antivirus & scanners(AdwCleaner etc) ont l'impossible tâche de courir après les infections.
Ce qui implique des jours / semaines de retard sur l'actualité virale.
Sans compter qu'ils ne peuvent prendre en charge tous les types d'infections.
Ajouté.  Qu'après leurs scans, on ne sait jamais ce qui se trame réellement "peut-être encore" sur l'ordinateur.

 

Au lieu d'un simple clic avec FRST etc.   On peut aussi utiliser les différentes fonctions de Windows, en plusieurs clic.

 

Aussi.

Sachant que près de 99% des infections utilisent des points de chargement, pour s'activer. 

                                                                                                  Et dans un moindre %, des rootkits.

 

S'il y a plus d'une 20aine de points der chargement.

 

Présentement, selon l'actualité virale.  

Les points de chargement suivants, sont utilisés par la grande majorité des infections. 
 
• msconfig [Démarrage]  & [Services]..en cochant ; Masquer les services Microsoft. 
• Les Tâches planifiées à ne jamais négliger.   Que ceux Logiciels, donc sans les sous-rép. Microsoft et WPD.
• Les Drivers. Que ceux Logiciels = non-Microsoft. 

 

Auxquels on doit ajouter ;

• Les Extensions de navigateurs.  et les Désinstallateurs de Logiciels pour les PUPs/PUA.