Французский эксперт Иван Квятковски в своем блоге рассказал о том, как он проучил кибермошенника, который выдавал себя за сотрудника службы техподдержки. Исследователю удалось перехитрить преступника, заставив его осуществить установку вымогательской программы Locky на собственное устройство.
По словам Квятковски, он хотел отомстить мошенникам, которые якобы представляют службу технической поддержки. Дело в том, что его родители посетили веб-страницу злоумышленников, которые убедили пенсионеров, что их компьютер инфицирован опасной троянской программой Zeus.
Эксперт рассказал, что мошенники для обмана стариков пользовались аудиосообщением, которое проигрывалось на сайте в автоматическом режиме, бесконечными уведомлениями JavaScript, голубым фоном с зашифрованными именами файлов, вызывающим ассоциации с «синим экраном смерти Windows». Кроме того, на веб-странице вместо настоящего IP-адреса посетителя отображался случайный.
Несмотря на то, что Квятковски быстро починил компьютер родителей, сразу по возвращении домой он решил отомстить мошенникам. Для этого он воспользовался виртуальной машиной, посетил сайт злоумышленников и позвонил по номеру, указанный на странице и якобы принадлежащий службе технической поддержки. Исследователь пообщался с двумя операторами подставного колл-центра, который находится в Индии. Вначале собеседники в прямом смысле слова не могли найти общий язык, поскольку Квятковски разговаривал по-французски, а преступники не понимали его. Однако во время повторного разговора, эксперт согласился на покупку предложенного мошенниками пакета услуг за 300 евро и продиктовал оператору тестовые номера банковских карт, которые он нашел на сайте getcreditcardnumbers.com.
В то время, как оператор совершал попытки снятия денежных средств с тестовой банковской карты, Квятковски открыл свою электронную почту и скачал из папки со спамом файл, вложенный в фишинговое письмо. Это был ZIP-архив, в котором находился JavaScrip-файл и шифровальщик Locky.
Эксперт изменил название архива на Photo(823).png.zip и сказал, что из-за проблем со зрением он мог неправильно прочесть цифры на банковской карте. Квятковски попросил оператора техподдержки посмотреть на «фотографию карты». Файл был передан в чате, запущенном одновременно с началом телефонного разговора. Некоторое время спустя мошенник ответил эксперту, что при попытке открыть фото ничего не произошло. Преступник даже не подозревал, что в эту минуту Locky уже осуществлял процесс шифрования всех его данных.