Domanda:
Il supporto tecnico legittimo utilizza un software di controllo remoto?
Skawang
2020-07-03 13:37:58 UTC
view on stackexchange narkive permalink

Vedo molti video di truffe del supporto tecnico su YouTube, il che mi ha fatto riflettere; le società di supporto tecnico legittime utilizzano il controllo remoto per le chiamate regolari al servizio clienti?

Ricordo di aver chiamato il supporto tecnico Lenovo dal loro sito web qualche tempo fa (ho ricontrollato che fosse il loro sito ufficiale perché sono paranoico) e loro ho dovuto usare un software di controllo remoto per controllare il mio PC. Ho pensato che fosse come consegnare il tuo PC a un'officina fintanto che sai che è legittimo.

Ora sto pensando; usano anche questo tipo di software?

Quali sono i difetti / implicazioni di sicurezza di lasciarglielo fare? Va bene finché possiamo vedere il nostro schermo e mantenere il controllo del cursore?

Come qualcuno che lavora nel supporto e utilizza tali strumenti: è dannatamente più facile convincere qualcuno ad aprire una sessione di teamviewer per digitare i comandi che potrebbero essere richiesti o per vedere il problema che si verifica piuttosto che essere descritto dall'utente per telefono.
@tombull89: Ho visto sessioni di supporto legittime in cui la guida per scaricare e avviare l'applicazione TeamViewer QuickSupport richiede più tempo della risoluzione del problema reale.(Forse dovremmo imparare quella parte dai criminali ...)
Aneddoto personale: il supporto Microsoft utilizza abitualmente un qualche tipo di software di controllo remoto per risolvere i problemi con l'attivazione di Windows.
Voglio aggiungere a questo argomento che questi sono video di YouTube.Puoi sceneggiarlo da morire.Probabilmente la maggior parte sono falsi
Sette risposte:
#1
+66
schroeder
2020-07-03 13:47:51 UTC
view on stackexchange narkive permalink

Sì, è normale che il supporto tecnico legittimo utilizzi strumenti di supporto remoto. È molto più facile che provare a guidare ciecamente qualcuno attraverso una complicata serie di passaggi tecnici. Aziende come TeamViewer esistono per questo motivo.

I rischi del software sono:

  • avere una "backdoor" persistente in un sistema, ma ci sono misure di sicurezza in la maggior parte del software per limitare queste
  • vulnerabilità nel software che potrebbe essere sfruttato da altri
  • un utente malintenzionato del supporto tecnico che utilizza un accesso legittimo per creare danni

Ci sono diverse funzioni negli strumenti di supporto remoto oltre al controllo del cursore che potrebbero anche creare problemi secondari, come la possibilità di caricare e scaricare file.

Finché tutto ciò che è abilitato è "visualizzazione remota" o "schermo condividi ", i tuoi rischi sono limitati. Maggiore è il controllo che dai, maggiori sono i rischi.

Non solo supporto tecnico dannoso.Non tutti gli utenti del supporto tecnico sono competenti;potrebbero fare un grave danno per mezzo di un errore onesto, se viene dato troppo accesso.
#2
+34
Esa Jokinen
2020-07-03 14:30:10 UTC
view on stackexchange narkive permalink

Sì, lo fanno. Una differenza fondamentale è che in genere hai avviato la sessione chiedendo loro di aiutarti. A tal fine, potrebbero chiederti di avviare uno strumento di controllo remoto, poiché è più facile che assisterti al telefono e più veloce ed economico rispetto al portare il dispositivo.

Prodotti commerciali disponibili per questo, ad es TeamViewer (possibilmente con marchio), sono progettati per essere trasparenti, ad es. evitando l'accesso persistente (modifica periodica delle password, verifica per consentire la sessione di controllo remoto), mostrando finestre di dialogo di azioni in background come trasferimenti di file ecc.

D'altra parte, sia gli attori legittimi che quelli malintenzionati possono utilizzare gli stessi strumenti:

  • Un supporto tecnico legittimo potrebbe non essere sufficientemente competente per utilizzare gli strumenti appropriati in modo appropriato, il che potrebbe lasciare il computer più vulnerabile agli attori malintenzionati di terze parti. Per esempio. una password che dia accesso permanente a un computer può sembrare conveniente dal loro punto di vista, ma una tale password potrebbe trapelare, lasciando i loro clienti compromessi.
  • I criminali utilizzano gli stessi strumenti per sembrare più affidabili. Sono in grado di agire in modo naturale e possono sembrare di aiutarti risolvendo problemi reali e facendo le loro azioni dannose in background.
  • Un singolo dipendente su un supporto tecnico legittimo potrebbe abusare della posizione di cui & si fida. Anche se alla fine vengono scoperti, c'è ancora una tale possibilità. Proprio come un riparatore di telefoni può rubare le tue foto intime mentre ripara uno schermo rotto.

Se non hai veramente avviato la sessione con un supporto che hai scelto fidarsi (o altrimenti sapere che dovrebbero monitorare attivamente i tuoi sistemi, come sottolineato da @ Draco-S), non consentire il controllo remoto.

  • Se qualcuno ti chiama per dirti che hai problemi con il tuo computer e ti offre aiuto tramite telecomando, è una truffa.

  • Se lo schermo del tuo computer dice che il tuo computer è infetto e ti dà un numero da chiamare o un programma di controllo remoto da eseguire, è una truffa.

  • Se tu sospetti che qualcosa non vada, contatta invece qualcuno di cui ti fidi.

Con un supporto tecnico legittimo hai il diritto di mettere in discussione le loro azioni e chiedere loro di spiegare cosa stanno facendo. Puoi anche assicurarti che lo strumento di controllo remoto sia spento / disattivato / disinstallato dopo la sessione.

Se ti dicono che stanno chiamando da "Microsoft Windows", è una truffa.Non so cosa passa per la mente di chi scrive i loro script.FWIW, finora ho avuto una percentuale di successo del 100% su questi chiamanti truffa, che se chiedo loro di dirmi da quale indirizzo IP hanno rilevato la presunta attività sospetta, riattaccano immediatamente.Quindi presumibilmente questa tattica funziona anche se non sai cosa sia un indirizzo IP.
@SteveJessop Parte del successo del truffatore dipende dal fatto che i loro obiettivi non siano all'oscuro.Qualsiasi accenno di abilità tecniche o intelligenza è un segnale per loro che stanno sprecando il loro tempo.
@BoogaRoo È vero.[Kitboga (canale YouTube)] (https://www.youtube.com/c/KitbogaShow/) fa un ottimo lavoro sprecando il proprio tempo per divertirsi.Sebbene principalmente esilaranti, i suoi video sono anche buoni esempi di come operano questi truffatori.
E generalmente ti chiedono di eseguire un comando che restituisce [888DCA60-FC0A] (https://www.google.com/search?q=888DCA60-FC0A&ie=utf-8&oe=utf-8) e afferma che identifica la tua casella di Windows.Ovviamente ogni utente Windows ha quel CLSID.La ricerca di quel CLISD fa apparire un intero elenco di rapporti di truffa.Se sto giocando con il truffatore gli dico prima il numero e gli chiedo di cercarlo su Google e poi mi dica cosa trova.Le loro reazioni non hanno prezzo.
A volte giocavo un po 'quando mi chiamavano per dirmi che c'erano problemi con il mio computer.Ora per lo più non mi preoccupo nemmeno di una risposta improvvisa "non interessata".Non appena rilevo che la chiamata non è richiesta, semplicemente riaggancio.La vita è troppo breve per perdere tempo a parlare con questi parassiti.In realtà sospetto che ora possano avere il riconoscimento vocale per i loro robo-dialer, che si rivolgono a determinati dati demografici, anziani e donne.Molto spesso ora la chiamata si interrompe non appena dico "ciao", presumibilmente possono dire dal tono della mia voce che non sarò un bersaglio facile.
#3
+11
Draco-S
2020-07-04 07:58:40 UTC
view on stackexchange narkive permalink

La risposta breve è "sì, con alcuni avvertimenti".

La risposta lunga è sì, ma devi assicurarti che sia stata stabilita una fiducia preventiva con l'agente dell'assistenza assicurandoti che uno dei punti sia true:

  1. Hai avviato la chiamata di supporto. Ad esempio, chiami Microsoft, Dell, HP ecc. E ti chiedono di connettersi al tuo computer. Questo è sicuro perché sai chi stai chiamando.
  2. Hai registrato un ticket e hai ricevuto una richiamata prevista. In questo caso, l'agente dovrà confermare la fiducia fornendoti i dettagli che solo una parte legittima conoscerà, come il numero del biglietto, il tuo nome, i dettagli del caso ecc.
  3. Ti sei fidato in precedenza di un agente, ad esempio, è il reparto IT della tua azienda o un appaltatore esterno che ha già accesso.

Si riteneva che fosse necessario avviare il caso di supporto. Questo non è vero, in senso stretto, specialmente per l'opzione 3 in cui il tuo computer è gestito. In più occasioni ho chiamato i clienti in base agli avvisi generati dal nostro software di monitoraggio. Ma in questo caso abbiamo già un agente di controllo remoto installato sul computer e lo chiamiamo per avvisare del problema e avvisare che dobbiamo prendere il controllo.

+1 per aver segnalato un caso in cui il supporto IT potrebbe avviare la sessione.È anche positivo che tu abbia spiegato che in questo caso si tratta in genere di un noto reparto IT o di un appaltatore con strumenti preinstallati.
#4
+5
Damon
2020-07-03 22:41:16 UTC
view on stackexchange narkive permalink

Sì, ad esempio in una tipica impostazione "Enterprise". Ma nota che il supporto tecnico sarà uno della tua azienda (o una filiale, un partner noto, qualunque cosa). Lo raggiungerai tramite il sistema di ticketing della tua azienda. Sì, hanno lo stesso cattivo accento dei criminali nei tuoi video, ma sono legittimi (non necessariamente informati o utili, però ... una volta uno di loro ha eliminato un anno di dati "inutili" per un l'intera regione geografica prima che potessi gridare "stop this!").

Una cosa da notare è che il supporto tecnico non inizia mai la sessione (come sottolineato anche nella risposta di Esa Jokinen ). Se qualcuno te lo chiede, è sicuro al 100% illegittimo.

Tuttavia, e questo è importante, tieni presente che la conclusione inversa non è vera. Se hai avviato la sessione, ciò non significa necessariamente che l'altra parte sia legittima o professionale o non fraudolenta. Certamente sembra così , ma non è necessariamente così.
In effetti, la procedura mostrata nei video che citi sfrutta proprio questo aspetto per indurre il piccione a fidarsi del criminale .

Ti viene mostrata una sorta di avviso spaventoso e devi chiamare l'assistenza (sono così gentili da fornire anche il numero, quindi non è necessario cercarlo su Google!). Quindi effettivamente avvii la sessione. Chiaramente è legittimo, no!
Se mostri segni di dubbio, anche il criminale dall'altra parte lo farà notare: "Va bene, ci hai chiamato, ricorda. E noi" Per quanto riguarda i partner Microsoft, questo è il motivo per cui Windows mostrava quella schermata ".
Ma sebbene tu abbia avviato la sessione, ovviamente è ancora fraudolenta. L'unico obiettivo dell'intero sforzo è trovare qualcuno abbastanza stupido da scaricare ed eseguire del malware o concedere l'accesso remoto con un account utente che dispone dei diritti di amministratore (l'impostazione predefinita per la maggior parte degli utenti domestici).

Su cui tipicamente la prima cosa sarà sabotare il computer - finora perfettamente funzionante - in modo tale che non possa più essere avviato senza il loro aiuto (ad esempio crittografando i profili utente), per il quale lo faranno estorcere un sacco di soldi. Quindi ti verranno mostrati alcuni elenchi di directory e cose, che per l'utente medio non istruito sembrano qualcosa di molto importante e spaventoso, e beh ... alla fine pagherai perché il tuo computer è ora inutilizzabile. Che, se non cadi subito nella truffa e li paghi comunque, scoprirai dopo il riavvio.

"Una cosa da notare è che il supporto tecnico non avvia mai la sessione" - ehm, non del tutto vero - la maggior parte degli strumenti RICHIEDE che la persona del supporto tecnico inizi la sessione, sebbene gli strumenti autentici richiedano sempre una qualche forma di pulsante o codice di consenso all'indirizzola fine del "cliente".
@MikeBrockington: Probabilmente ero un po 'sciolto nella mia formulazione.Quello che voglio dire è che non iniziano la sessione _out of the blue_.Cioè, fanno sicuramente il clic per avviare RD, quindi fai clic su "Accetta".Non funzionerà altrimenti (ovviamente).Ma ** non ** lo fanno a meno che tu non abbia prima acquistato un ticket e parlato con loro al telefono, o tramite Skype o Teams, o qualunque cosa tu usi.Hai la richiesta, vuoi che accada qualcosa, non loro.Quindi questo è "iniziato" per me.Se il CIO vuole che accada qualcosa, può semplicemente programmare un aggiornamento e questo verrà installato comunque senza il tuo consenso.
Per quanto Windows sia fastidioso, questa è in realtà una funzionalità piuttosto interessante per le aziende (oltre a essere così dirompente).Viene visualizzato un popup che dice "Oh a proposito, tra 1 ora e 59 minuti il computer si riavvierà per l'aggiornamento", e questa è l'unica verità, non puoi farci niente, tranne salvare le tue cose e riavviare immediatamente se hai bisogno della macchina in 2 ore.Che da un lato fa totalmente schifo, ma poi di nuovo, è davvero fantastico altrimenti.Molto difficile sbagliare sul lato utente, molto difficile perdere gli aggiornamenti (impossibile anche?).Non è necessario fare clic su un collegamento o seguire le istruzioni in caso contrario.
Una sessione qui non significa una connessione * controllo remoto *, ma più ampiamente l'intera procedura a partire dal contatto iniziale con il supporto.
@EsaJokinen: Ora _questo_ è qualcosa che non ho mai visto.L'unica occasione in cui la tecnologia o il CIO avvia effettivamente il contatto è quando ti inviano falsi messaggi di phishing.Devi segnalarli, e guai se non riesci a segnalare tre o più di questi in un mese o anche a fare clic in modo irrilevante su un collegamento, allora sei un candidato per una sessione di cazzate di consapevolezza di 2 ore.Altrimenti, se vuoi un contatto, ** devi ** aprire un ticket.Non hanno bisogno di te o della tua assistenza (o approvazione) per qualsiasi cosa vorrebbero fare, sai.Fondamentalmente "possiedono" il computer.
@Damon: Tuttavia, stavo rispondendo al commento di Mike Brockington.:)
@Damon Purtroppo anche questo non è vero.Il personale di supporto IT legittimo a volte dovrà avviare la chiamata di supporto, per aggiornare i sistemi degli utenti con il software di supporto più recente o se hanno ricevuto un avviso che un laptop potrebbe essere stato infettato da malware ecc. Questo è nel contesto della gestione aziendalesistemi informatici.Il problema è che il personale non sempre sa chi dovrebbe gestire i propri laptop.Non c'è sempre un modo garantito per gli utenti regolari di essere in grado di differenziare una chiamata legittima da una truffa dannosa.
Vedere la mia risposta per le sessioni di controllo remoto avviate dal supporto.Noi (un piccolo MSP) abbiamo la maggior parte dei nostri clienti sul controllo gestito, quindi la chiamata spesso dice "dobbiamo fare (cose) sul tuo PC, salva il tuo lavoro e ci collegheremo ora, o per favore indica un momento in cuipuò farlo ”e poi ci colleghiamo.Per coloro che hanno un piano "break-fix", non chiamiamo mai per primi.
#5
+2
boots
2020-07-05 10:26:56 UTC
view on stackexchange narkive permalink

Lavoravo con il supporto di livello 3 per vari prodotti di telecomunicazioni che a volte usavamo teamviewer. Se possibile, utilizzeremo uno dei laptop dei nostri tecnici locali collegati alla rete dei clienti. In caso contrario, una macchina del cliente utilizza le password monouso. Fatti sempre una chiamata con la persona all'estremità remota e spiega cosa stai facendo e perché. Un precedente datore di lavoro ha accesso remoto tramite VPN integrato nel kit che abbiamo venduto, ma l'accesso era tramite un gateway controllato dal cliente con registrazione completa. Devi avere una traccia di controllo.

Se hai avviato la chiamata e te lo aspetti, allora c'è solo una piccola possibilità che sia dubbia. Limita l'accesso secondo necessità e stai bene. Se ricevi una chiamata casuale che richiede l'accesso, è una truffa.

#6
+1
user23013
2020-07-05 06:40:31 UTC
view on stackexchange narkive permalink

Sì, il supporto tecnico legittimo utilizza un software di controllo remoto. Ma anche quelli illegittimi li usano.

"Quali sono i difetti / implicazioni di sicurezza di lasciarglielo fare? Va bene finché possiamo vedere il nostro schermo e mantenere il controllo del cursore?"

Si è verificata una truffa in cui l'aggressore consentiva alla vittima di scaricare e installare un software di controllo remoto appositamente progettato. Farebbero qualcosa che non sembra troppo dannoso, usando il mouse e la GUI sul tuo conto bancario (presumibilmente perché di solito ci sono più misure di sicurezza durante l'accesso, quindi devono trovare una ragione apparentemente legittima per fallo), ma trasferisci anche tutti i tuoi soldi in background che non potresti vedere.

Questo in realtà non aggiunge nulla alle altre risposte.Inoltre, i truffatori del supporto tecnico di solito non cercano il web banking, poiché il denaro trasferito tramite banca è facile da seguire.Preferiscono utilizzare carte regalo e altri mezzi di pagamento non rintracciabili.
I truffatori @EsaJokinen sono molto spesso alla ricerca di conti bancari e, anche se può essere abbastanza facile vedere dove sono finiti i soldi, riaverli potrebbe essere quasi impossibile, se i soldi hanno lasciato il paese.
L'esempio è ancora piuttosto limitato, lasciando un'immagine che è l'unica cosa che cercano.Ciò potrebbe portare a una falsa presunzione che se non accedi al tuo conto bancario saresti al sicuro.
#7
-1
Henry A
2020-07-04 13:41:18 UTC
view on stackexchange narkive permalink

Non va bene, indipendentemente dal fatto che ti stiano aiutando legittimamente e non siano truffatori. Molto più spesso di quanto le persone vorrebbero pensare che gli addetti all'assistenza tecnica abusino del loro accesso ai computer dei clienti, sia in un ambiente aziendale che privato. Non sai mai cosa farà qualcuno, quindi dai solo la minima fiducia e non presumere che accedere legittimamente al tuo computer per conto di qualcuno significhi avere qualcuno con integrità e che aderisce a qualsiasi tipo di etica professionale. Una volta che hanno accesso a qualsiasi parte della tua rete o a qualsiasi singolo dispositivo, sei vulnerabile ovunque.

"Una volta che hanno accesso a qualsiasi parte della tua rete oa qualsiasi singolo dispositivo, sei vulnerabile ovunque".- è una completa esagerazione.E fondamentalmente ripeti la mia risposta.
Non è nemmeno un'esagerazione, ma vedo che non sarai convinto del contrario.Come ho detto prima, niente va bene e questa era una parte della tua domanda.La tua unica garanzia di essere al sicuro da intrusioni dannose da parte di un professionista IT è quella che ti concedi perché vuoi credere che non accada.Ho visto questa cosa in prima persona e ho esperienza con attacchi di accesso remoto perpetrati da personale IT professionale legittimo che lavora in qualità ufficiale utilizzando strumenti aziendali.Ho risposto alla tua domanda: credi a ciò che ti fa sentire bene.
Non è la mia domanda ...
Ecco cosa hai chiesto: "Quali sono le implicazioni per la sicurezza" e "Va bene" ed è come ho detto, non va bene.Da aggiungere ulteriormente, visto che puoi vedere il cursore non sei certo di nulla.Gli hack possono essere eseguiti in background all'insaputa dell'utente.A volte ciò è dovuto alla progettazione ed è anche possibile che uno strumento dannoso venga utilizzato contemporaneamente o come versione modificata di uno strumento legittimo.So di un caso in cui il sistema operativo era interamente composto da aggressori che hanno ottenuto l'accesso al dispositivo attraverso una rete aziendale, sostituendo il sistema operativo con SaaS, in modo che fosse indistinguibile.
No, non ho pubblicato la domanda.E attaccare qualcuno non è la risposta appropriata.Affronta il contenuto, non la persona,
E stai anche interpretando male la domanda che è stata pubblicata.E stai confondendo "minaccia", "rischio" e "vulnerabilità".Come si fa a "sostituire un sistema operativo con SaaS" perché non sembra avere senso.
Unendo il PC a un dominio Active Directory di Azure e configurandolo come distribuzione ibrida.Non mi aspetto di convincerti perché, è vero, è improbabile che accada a tal punto, ma questo può essere ottenuto se ti connetti a una rete aziendale con un dispositivo personale e un utente malintenzionato ha accesso remoto.
Nella maggior parte dei casi è il contrario: è il tuo dispositivo BYOD che potrebbe compromettere i dati aziendali, non il loro reparto ICT che comprometterebbe il tuo computer privato.Nella vita reale le aziende hanno risorse molto più interessanti per i criminali rispetto alla maggior parte degli individui.
@HenryA Capisco da dove vieni ma penso che dovremo riporre un certo livello di fiducia nelle persone se sappiamo che provengono da luoghi legittimi e che non hanno molto da guadagnare dal fottere con le mie cose (con ilrischiano di perdere il lavoro).Questo è probabilmente diverso per l'azienda.Tuttavia, il software di controllo remoto mi mette a disagio, quindi probabilmente lo starò lontano il più possibile
È bene essere cauti, tuttavia se sei un dipendente di un'azienda e utilizzi un laptop fornito dall'azienda, non puoi semplicemente rifiutare arbitrariamente l'accesso al personale di supporto IT.Sembrerebbe molto sospetto se non permettessi al personale dell'amministratore IT di accedere al tuo computer e assumere questa posizione potrebbe farti finire abbastanza rapidamente in molti problemi con la gestione.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...