Tehnilise toe pettus ehk “Appi! Minu arvutisse tungisid häkkerid!”

Küberpättide erinevatest viisidest netikasutajate võrkudesse ja arvutitesse tungimisest ning nende ülevõtmistest võiks ilmselt kirjutada riiuleid täitvaid raamatuid. Tänu netitarbijate küberohuteadlikkuse üleüldisele paranemisele oleme aga üha enam hakanud saama kirju, kus kasutaja on pettusest aru saanud ja tahaks sellest kellelegi teada anda.

Täna keskendume ühele sedasorti skeemile, mis on tuntud kui “Microsofti klienditoe pettus”. Liimile lennanud ja seeläbi oma arvuti üle kontrolli kaotanud kasutajatelt nõutakse kompuutri “puhastamiseks” kopsakaid summasid või lausa lunaraha. Ja kui ohver ei maksa, siis hakkavat tema arvuti ohjeldamatult pahavara, viiruseid ning muud jama levitama.

Järgnev on ühe meie kliendi pöördumine, mis kirjeldab toimunu põgusalt ära. Ta oli lahkesti nõus oma kogemust meie lugejatega jagama, et aidata sellega ära hoida sarnaseid lõksulangemisi tulevikus.

Juhtus selline asi, et internetis surfamise ajal mu arvuti äkki blokeerus, tulid ette mingid kastikesed ja inglisekeelne hääl, mis ütles, et minu arvutisse püüdsid just häkkerid sisse murda, et arvuti on suures ohus jne. Mul ei õnnestunud liikuda ei edasi ega tagasi, panin vahepeal arvuti kinni, aga lahti tehes oli ikka seesama jama ees.

Kastikeses seisis kirjas, et tuleb viivitamatult helistada Microsofti tugikeskusesse (seal oli antud telefon +372 668 24**). Helistasin siis, küsiti, et millega saavad aidata. Kõik toimus inglise keeles. Rääkisin probleemi ära. Kästi minna mõne teise brauseriga leheküljele www.helpme.net. Sinna tuli sisestada oma nimi ja kood, mis anti mulle telefonis. Seejärel laadis arvuti alla ühe .exe faili, mis tuli avada, ja hakkas peale mingi töötlusprotsess. See pidi olema arvuti skanneerimine.

Asi lõppes sellega, et öeldi, et mul on vaja oma arvutile kaitse- või turvaprogramm peale panna, see maksvat 400 eurot ja seda saavat ainult nende käest. Selle peale lõpetasin kõne ära ja lasin ühel tuttaval oma tuttava it-mehe käest küsida, mida selline asi peaks tähendama. Tema ütles, et see olevat lollide püüdmise nipp ja et sellest tuleb kindlasti kuhugi teatada.

Ma aga muretsen nüüd selle pärast, et ma üldse nendega suhtlesin ja selle .exe faili avasin. Lihtsalt ei teadnud, milles asi. Kardan, et äkki neil on nüüd mu arvutile ja andmetele mingi juurdepääs. Esialgu polnud muud hullu märgata, kui nool ei reageerinud klikkamistele. Praegu panin selle arvuti kinni ja võtsin teise arvuti. Aga kas on oht, et mu kontodele võidakse ligi pääseda ja mis ma peaksin nüüd tegema? Kasutan ka internetipanka.

Aitäh, P. – loodetavasti oli Su arvuti ülevaatus päris IT-spetside poolt edukas!

Mis siis toimus?

Asja lühidalt kokku võttes kuvati arvutikasutajale “reklaambännerit” väitega, et arvuti on nakatatud – see võib juhtuda mõne täiesti viisaka veebilehe külastamisel puhta arvutiga. Kuna meil konkreetse reklaami näidet pole, siis laename sarnase päris-Microsofti Windows Security blogist:

Sedapuhku oli aga kirsiks tordil ilus Eestimaine telefoninumber. Mis siis ikka, astusime läbi lähimast Selverist ning ostsime odavaima ehk 1€ kõnekaardi – ning panime püsti värske Windows 8 virtuaalmasina, mille saab pärast blogiposti jaoks piltide tegemist minema visata. Ka võrguühenduseks kasutasime 4G võrku.

Kohustuslik hoiatus: “Palun ära proovi seda kodus järgi teha!”. Meie kasutatud virtuaalmasin läks pärast testi hävitamisele.

On aeg valida number, mis ühendab meid ilmselt kusagilt Indias oleva kõnekeskusega:

Seejärel palutakse kasutajal avada brauser, minna Google lehele ning öeldakse, mis tuleb sisse tippida. Meil tuli otsida “fast support” ning nii jõudsimegi fastsupport.com lehele. Samasse viib edasi ka algses kirjas viidatud helpme.net. Tegemist on tuntud LogMeIn teenusega, mille kaudu osutavad tehnilist kaughaldustuge sajad erinevad infotehnoloogiaettevõtted üle maailma.

“Tehnilise toe” osutamiseks on petturid loonud enesele Fastsupport keskkonnas kasutajakonto, millega kaasneb automaatselt ka kaughaldusrakendus. See laeti “kärbsepaberile” lennanud ohvri arvutisse .exe failina niipea, kui viimane oli petturite “tehnilise toega” telefonitsi ühendust võtnud ning veenvalt ja usutavalt teispool toru inglise keeles esinenud petturitelt saadud koodiga Fastsupporti keskkonda sisenenud.

Ehkki kõnealuse veebilehe sisselogimiskeskkonna päises on hoiatus, mis kutsub kasutajaid üles ettevaatlikkusele oma arvutile ligipääsu võimaldamisel ning kahtlastest tegevustest neile kindlasti märku andma, on küberkriminaalid leidnud siiski viisi ka selle keskkonna kurjalt ärakasutamiseks. Ja nagu eelnevast näitest näha, teevad nad seda osavalt.

Kui keegi meie lugejatest peaks sarnase olukorraga tulevikus kokku puutuma, siis kuni selle hetkeni (kaughaldurakendus on laetud, aga “yes” on klikkimata), pole reaalselt veel mingit kahju tehtud. Siit edasi võtab aga pettur arvuti üle juba täieliku kontrolli, liigutab ekraanil hiirt ja tipib käskusid.

Edasine suhtlus seisnebki selles, et pettur näitab arvutis erinevaid “probleeme”: veateated süsteemsete sündmuste logis, mingid kummalise nimega DLL-failid mille nime googeldamine annab tulemuseks väite, et tegu on tagauksega. Jah, internetis on tõesti olemas veebilehed, mis sisaldavad praktiliselt kõigi Windowsi komponentide kohta selgitust, et tegu on suure probleemiga ja kohe on vaja osta mingi võlts antiviirus:

Et asi veelgi hirmsamaks ajada, käivitatakse käsurealt Netstat näitamaks, et arvutil on mingid võrguühendused püsti ja selle käigus küsitakse kasutajalt, kas ta tunneb neid IP-aadresse. Ei tunne? Raudselt on tegu häkkeritega:

Aga töö käigus mõeldakse ka tulevikule. Meie puhul käis kiiresti ekraanilt läbi tegevus mingi “syskey” nimelise tööriista abil:

See on juba kuri tegu – nüüd peaks Windows hakkama käivitumisel “Startup key” nimelist parooli küsima ja petturil on tõesti õigus väita, et meil on väga tõsine probleem … millest saab üle vaid talle lunaraha makstes.

Edasi avatakse Notepad ja hakatakse sinna tippima nimekirja töödest, mis vaja teha – jõutakse tulemuseni, et see on umbes 50 minutit tööd ning Microsoft’i hinnakirja kohaselt (mida vahepeal brauseris otsitakse ja kuvatakse) maksab lifetime security 1499,99 € ja viieks aastaks 1399,99 €. Ühekordne parandus on kõigest 499,99 €, aga seda ei soovitata, sest siis tuleb aasta pärast porno tagasi:

Nagu näha, on Notepad’is kenasti valmis tehtud väljad krediitkaardinumbri sisestamiseks … ning kui ma lahkun “krediitkaarti otsima” tuleb hindikeelne lausejupp (mille Google tõlgib kui “How are you, bay dog?”), kaughalduslahendus talletab mingi muudatuse virtuaalmasinas … ning siis:

Ilmselt tuli Parallels’i virtuaalmasina kasutus sellele tüübile üllatusena, sest ta küll vaatas vahepeal “dxdiag” tööriista abil süsteemi infot… aga jätkas agaralt müügitööd.

Kuidas selliseid asju vältida?

Nagu paljude asjadega siin elus, saab kõik alguse hügieenist. Täpselt samamoodi, nagu me hoolitseme pimedal ja viirusterohkel aastaajal oma tervise eest, pestes käsi, süües vitamiinirohkeid toitusid ning ohtralt liikudes, tuleb käituda ka virtuaalses maailmas. Mantratena kordame siinkohal soovitusi vältida klõpsamisi kahtlastele linkidele ning siin-seal lahtihüppavatele popup akendele. Uuenduste saabudes värskenda alati oma arvuti operatsioonisüsteemi ning uuenda perioodiliselt viiruse- ja pahavaratõrjet. Need üleskutsed jäävad paratamatult ja tungivalt kõlama ka selle kirjatüki juures. Palun ole valvas. Ole v e e l g i valvsam!

Kindlasti soovitame netiavaruse kahtlasematesse soppidesse sattudes säilitada külma närvi, sest mitmed veebipettused, kaasa arvatud selles kirjatükis lahatav nn. tehnilise toe pettus, toetuvad eeskätt inimlikele nõrkustele ja emotsioonidele: hirmudele ja sellega kaasnevale ehmatusele, mida on osaval pätil väga lihtne oma huvides ära kasutada. Ja mis seal salata – netikasutaja napp teadlikkus ning puudulik valmisolek vilkuvaid ja ähvardavaid veebibännereid sellistes olukordades lihtsalt ignoreerida on vaid kütuseks petturitele.

Kirjeldatud petuskeemi eest hoiatas oma säutsuga käesoleva kuu alguses meie kõigi kübarturvalisuse eest hoolt kandev CERT.ee, mis soovitab kasutada efektiivset ja tõhusat tööriista pahavara avastamiseks: https://www.malwarebytes.com/ . Selle soovitusega ühineme ka meie.

Hoidku kõigevägevamad (Google, Facebook ja AliExpress) meie blogi lugejaid sarnastesse olukordadesse sattumast, kuid kui see peaks kõigele vaatamata juhtuma, siis kindlasti ärge tehke petturitele mingisuguseidki järeleandmisi!

Sarnaselt meie loo ohvriga katkesta kõne, jäta selles arvutis katki kõik pooleliolevad toimingud ning lase esimese asjana oma arvuti üle vaadata ja seejärel puhastada pädeval IT-spetsialistil.

Ehkki tegu on rahvusvahelise mastaabiga petuskeemiga ning selle ametlik menetlemine jõuametkondade poolt ei pruugi tulemusteni viia, ei tee paha ka juhtunust teatamine meie küberpolitseile cybercrime@politsei.ee ja Riigi Infosüsteemi Ameti küberintsidentide tiimile cert@cert.ee, kes saavad sellest lähtuvalt vähemalt meedia kaudu hoiatuse teiste kasutajateni viia.

Lisaks: kui oledki sarnase skeemi poolt juba “pihta saanud”, siis soovitame teist arvutit kasutades ära vahetada kõik oma olulisemate teenuste paroolid: Zone, Gmail, Facebook jt ning rakendada neis nn. kahe faktoriga sisselogimist. Kuigi meie testis tundus asi piirduvat krediitkaardi numbri õngitsemisega ei või kunagi kindel olla, mida nad kasutajale märkamatult on paigaldanud.

Google puhul saab sellega alustada https://www.google.com/landing/2step/ ning selleks piisab kõige lihtsamast lahendusest, mis saadab mobiilile SMSiga kontrollkoodi, kui proovid uuest seadmest sisse logida. Ka Facebook’i jaoks leiab samasuguse lahenduse.

Netipankade – ja Zone teenuste – kasutamisel mobiil-ID või ID-kaardi (pankade puhul lisaks ka Smart-ID) abil tõenäoliselt riski ei ole, aga kindlasti ei maksaks seda teha sellest arvutist, kuhu klienditoe-petturid üle kaughalduse ligi said, enne kui spetsialist selle üle kontrollis ja ära puhastas. Hunt seda teab, mis nad oma ladusa jutu kõrval tegid – või mis selles arvutis juba varem või probleemiks olla.

P.S. Kui tekstist paistab läbi isiksuse kahestumine, siis olgu selgitatud, et Jaanus kirjutas kõigepealt õpetliku jutu kokku… ja siis jõudis kohale Pets eurose SIM-kaardiga ning kirjutas sinna keskele praktilise testi.

 

7 mõtet “Tehnilise toe pettus ehk “Appi! Minu arvutisse tungisid häkkerid!”” kohta

  1. Olin eile sama asjaga hädas. Must pilt valgete hoiatustega ja sama tel. numbriga. Lisaks hoiatus Esetilt viitega microsoftile sama numbriga väiksemas aknas ja eesti keeles. Kui sain ta eile, siis kas gmailist, ühe pildi avamisel või uploadist allatirimisel. Algul võttis nõutuks aga siis keerasin heli maha (naishääl hoiatas inglise keeles) ja hakkasin tegutsema. Selle akna jätsin avatuks. Õnneks lasi uusi aknaid avada ja ka koopiaid teha, mida ma oma vajalikest asjadest kiiresti tegema asusin. Siis lasin kõikide olemasolevate viirustõrjete ja muude (Avast, Antispyware, Adware, ccleaner, Spybot jne) progedega arvuti üle. Leiti mõni asi küll ja peale restarti oli sigadus kadunud. Kokku 5-6 tundi. Läks õnneks ja helistamisele ei mõelnud kohe mitte. Oli väga kahtlane, et Eesti number ja inglise keel. Aga kohutas algul küll, et nüüd on kõik vajalik läinud.

    1. Ega Sa täiesti juhuslikult sellest screenshotti ei teinud? Ma heameelega vahetaks blogipostituses selle MS näite maakeelse vastu välja?

  2. Mul juhtus Eelmisel reedel sama lugu aga tol hetkel ei hakanud isegi tagumisel taustal lugema mis toimub. Sain ainult aru, et brauser viskab aina uuesti ja uuesti seda sama jama ette. Aga piisas kui avasin Task Manageri ja sealt brauserile “end task” tegin. Peale seda pole rohkem seda ette pole visanud.

Kommenteerimine on suletud