Scam!

I morse väcktes jag av ett samtal från en person med indisk accent som bland annat sade följande: "I am looking for [min far]. [...] Are you close to him? This is an emergency call. [...] I am calling from Windows Service Center. We have been receiving error messages via international router."

Istället för att göra mig av med scammaren kvickt som attan (som senast) bestämde jag mig för att ta reda på vad han hade för planer. Det visade sig att deras modus operandi är som följer:
1. Låta offret göra lite harmlösa saker med datorn så att det ser ut som om den är full med virus.
2. Övertala offret att ge dem fjärrstyrningstillgång till sin dator, och visa lite mer saker som ser ut som virus.
3. Erbjuda offret att fixa datorn i utbyte mot betalning (via PayPal).
4. Läsa av offrets kortinformation via fjärrstyrningen när offret matar in den i PayPal, för att kunna stjäla ännu mer pengar.

Allt jag beskriver nedan är helt harmlöst att göra, så prova gärna på det!

Han uppmanade mig att köra (Windows+R) eventvwr, och påstod att alla varnings- och felmeddelanden som fanns där var orsakade av virus (fast vid ett senare tillfälle när jag nämnde mitt antivirusprogram sade han "infections are different to viruses, they spread faster"). Dock såg min eventvwr inte riktigt ut som han hade förväntat sig, så han skippade genast till steg 2.

Då jag inte ville ge honom kontroll över min dator bad jag en kompis (via Skype-chatt) i UK att sätta upp en virtuell dator hos sig. Det tog honom 10 minuter att installera den nödvändiga programvaran, och sedan 30 minuter till att installera XP på den virtuella maskinen, och under tiden förhalade jag genom att skylla på seg dator och nitiskt antivirusprogram.

En sak jag sade för att förhala var att antivirusprogrammet stoppade mig från att köra programmet han lät mig ladda ner, och fick till svar "the problem in the computer is so serious it's not even allowing you to connect to us". Han sade åt mig att starta om datorn i felsäkert läge, och sade "this is the safest place where we can try to connect to each other".

Från och med nu låtsades vi att VM:en var min dator, och min kompis fick tala om för mig vad som hände på den medan jag pratade med scammaren i telefon. Så småningom fick vi igång fjärrstyrningen, så att scammaren kunde se vad som hände på "min" skärm, och styra musen och tangentbordet. Det visade sig att scammaren kunde använda logmein, ammyy, såväl som teamviewer. (Alla dessa är legitima program som används av vanligt folk för att fjärrstyra sina egna, vänners eller kunders datorer.)

Scammaren visade mig följande saker för att övertyga mig att min dator hade problem:
1. Alla poster i event viewer. ("There are warnings and then they become errors.")
2. Han körde "inf viruses", vilket öppnar mappen "C:\windows\inf" (och ignorerar "viruses") och sade att allt i den mappen var virus.
3. Han körde "prefetch", vilket öppnar mappen "C:\windows\prefetch" och sade att allt där också var virus. För att demonstrera visade han att det fanns filer med namn som började på "rundll32.exe" (en viktig komponent i windows), och googlade "rundll32.exe virus" (vilket ger relevanta träffar eftersom det finns virus som utger sig för att vara den filen).
4. Han öppnade temp-mappen och sade att alla filer där var relaterade till virus, men han hade inte räknat med att datorn endast var en halvtimme gammal och därmed bara hade två mappar där, så han stängde mappen snabbt igen och drog till med att "once you go into safe mode, some of them are deleted".
5. Han sade att han skulle skanna datorn efter säkerhetshål, så han öppnade cmd och körde kommandot "tree" (som gör en snygg lista av alla mappar och undermappar), och sedan SKREV HAN IN FÖR HAND "internal security expired./././././" (där de sista symbolerna skrevs med jämna tidsmellanrum), eftersom han har kontroll över mus och tangentbord, men låtsades att det var "skann-programmet" som hade detekterat att min "internal security" var "expired".

De erbjöd sig att fixa problemet, och skicka med ett antivirusprogram utan extra kostnad, för €129. Denna avgift skulle täcka att "upgrade the internal security of your computer once for a lifetime", fast det var ett riktigt kap för det skulle tydligen täcka alla mina datorer. Han knappade in addressen www.ikonpcsolution.com/Payment%20Options.html (ofarlig) åt mig, matade in kostnaden in fältet och klickade på "Pay now", vilket skickade mig vidare till PayPals sida för betalning till "[email protected]". Han sade åt mig att fylla i min kreditkortsinformation i formuläret själv, och säga till honom ifall något var oklart, eftersom han inte kunde se vad jag matade in (yeah, right).

Vi låtsades börja fylla in ett fejkat nummer, och kapade sedan uppkopplingen (scammaren sade förstås inget, för att inte avslöja att han såg vad som hände), och en stund senare påstod jag att det var betalt och klart. Jag hade dock ingen aning om hur bekräftelsesidan såg ut, så jag fick använda mig av lite enkel cold reading: När scammaren frågade "What do you see?" tvekade jag en stund, och då fyllde han snart i med "Do you see 'Thank you for your payment'?", varpå jag kvickt svarade "yes" - och nästa gång det hände (vi försökte flera gånger) visste jag vad jag skulle svara.

Jag var också tvungen att göra en Clever Hans när han frågade mig efter transaktions-ID:t. Jag visste inte hur många siffror numret skulle vara, så jag gav honom två siffror i taget (från random.org) tills scammaren var nöjd. Det visade sig att PayPal:s transaktions-ID innehåller sex siffror (vilket låter väldigt lite, så scammaren kanske inte visste heller?).

Vi lekte med scammaren lite till (han fick bland annat lösa några CAPTCHA:s åt oss för att vi hade "glömt" lösenordet till vårt PayPal-konto när han ville att vi skulle logga in och kolla om transaktionen gått igenom), men han började fatta misstankar när han såg att min kompis använde kortkommandon för att göra saker, och tredje gången jag påstod att betalningen gått igenom frågade han om lite fler detaljer på bekräftelsesidan, som jag förstås inte kunde uppge. Han avslutade med att säga "Are you a computer technician?" (jag svarade nej, att jag bara använder datorn på fritiden) "So you like to play games? [...] That's the game you're playing with us all the time? [...] I have twenty years of computer experience, everybody is not a fool!" (jag skulle kunna säga detsamma till honom, tänkte jag) "If you don't want to upgrade your internal security then Y U NO [not quite sic!] just say so? Why you play games with us for long time?" och så önskade han mig skrattandes en bra dag och god jul, och lade på.

Allt som allt slösade vi bort totalt 3 timmar av deras tid, fördelat på ett antal olika personer som de skickade oss runt mellan. Dock hade vi slösat bort 3 timmar var av vår tid, så det kanske var vi som drog kortaste strået till slut. Det vi dock aldrig fick reda på var ifall de alls brydde sig om PayPal-överföringen, dvs ifall de hade nöjt sig med den om det gått igenom utan att de sett vår kontoinformation, eller om de bara var ute efter kreditkortsnumret och säkerhetskoden (som för övrigt PayPal-formuläret visar i plaintext istället för som asterisker).

Kommentarer

Kommentera inlägget här:
Namn: Kom ihåg mig?
Mail:(publiceras ej)
URL:
Kommentar: