Arnaque support téléphonique et PC Privacy Shield

[Nico57]

Bonjour,

Une personne âgée de mon entourage, très novice en informatique, que je vais appeler Odile, s'est faite avoir hier par une arnaque du type "tech scam".

Le type d'arnaque qui est très bien décrite sur l'article de ce même site ici : https://www.malekal.com/arnaque-support ... c-support/

Je précise pourtant qu'Odile ne va jamais sur des sites illégaux ou douteux. Lorsque le souci est arrivé, elle regardait des avis de décès ... Je ne sais pas si le lien malicieux a pu être inclus dans une publicité sur ce site, qui pourtant semblait légitime ?

Et là, tout d'un coup, elle me décrit qu'un message s'affiche en pleine page sur l'ordinateur, lui disant que son PC était infecté et qu'elle devait contacter un "support Windows" au numéro suivant : 01 84 13 09 51 . Elle me précise qu'elle ne pouvait plus rien faire, elle n'avait plus la main sur son PC, la souris était devenue elle-même inopérante (ça, je ne comprends pas trop comment les escrocs s'y prennent à partir d'une simple page web).

Elle a le malheur d'appeler, elle tombe sur une soi-disant technicienne qui lui fait installer un logiciel de prise en main à distance. Elle l'effraie en faisant défiler des faux messages censés prouver que son PC est gravement infecté, et lui propose des solutions payantes pour éradiquer tous ces virus, trojans etc ...

A noter qu'elle lui propose 3 packs à des prix différents (le premier valant 3000 euros je crois !!!). Elle lui promet même qu'un "ingénieur niveau 4 certifié Microsoft" se rendra chez elle... Elle opte finalement pour le "Pack 1" à 300 euros ...

La "technicienne" lui demande son numéro de CB, ainsi que les 3 chiffres au dos ... Heureusement pour Odile, le dernier des 3 derniers chiffres était illisible. Elle a par contre, je crains, donné son RIB également, car elle s'est souvenue après coup que la "technicienne" lui avait demandé de regarder son carnet de chèque, et de lui communiquer une série de numéros (je crains que ça soit son numéro de compte).

Quand au bout d'1h30 avec la "technicienne", Odile me contacte enfin : je lui dis évidemment d'éteindre immédiatement son PC, et de raccrocher au nez de la "technicienne". Je lui ai aussi fait faire opposition sur sa carte bancaire. Concernant le RIB probablement donné, je ne l'ai appris qu'aujourd'hui, et je lui ai demandé de prévenir sa banque, qui lui a répondu qu'avant d'agir, il fallait déjà attendre que le prélèvement ait lieu... On va donc surveiller son compte tous les jours pendant un certain temps, afin de voir si un prélèvement SEPA louche arrive.

Je ne lui ai pas demandé d'aller porter plainte, en raison du confinement.

Aujourd'hui, j'ai récupéré son portable.

Je le mets hors réseau, allumé, et immédiatement, je vois que le logiciel de prise en main à distance essaie de se reconnecter à son hôte : il s'agit de Connectwise Control que je tue sur le champ.

Je regarde les derniers logiciels installés, je décrouvre PC Privacy Shield 2018 (un logiciel apparemment destiné à brouiller les traces dans l'historique" des navigateurs pour qu'on ne retrouve pas les sites qui sont vecteurs de ce malware), ainsi que Microsoft Visual c++ 2015 Redistribuable ??? Je me demande bien ce que les escrocs voulaient faire avec un compilateur C++, à moins que ça soit un composant obligatoire pour faire fonctionner PC Privacy Shield.

Concernant Connectwise Control, je ne le trouve pas dans la liste des logiciels installés, mais je retrouve l'exécutable dans le dossier "Téléchargements" : je le supprime. Je supprime également un dossier de ce même nom, dans le dossier "Documents", et qui contenait le setup de PC privacy shield 2018.

Ceci dit, je ne suis pas sûr d'avoir tout éliminé ...

Je suppose qu'il faut que je génère un rapport FRST et que je le publie ici ? Je crains cependant pour le moment de reconnecter son PC à Internet...

Y a-t-il d'autres choses à faire ?

Pouvez-vous m'aider ?

Merci d'avance !

Nicolas.

N.B. : Je pense que les escrocs n'ont pas eu le temps de se servir de PC Privacy Shield, car je retrouve des url suspectes dans l'historique de FIrefox, est-ce que je les publie ici (il ne faudrait pas que quelqu'un clique malencontreusement dessus :( )

[angelique]

Bonjour/Bonsoir,

Surveiller les comptes sur un éventuel prélèvement, et procéder à un rejet/opposition de prélèvement si il se présente(c'est gratuit)

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[Nico57]

Rebonsoir Angélique,

Merci beaucoup pour la rapidité de la réponse et les conseils.

Voici donc les rapports générés par FRST (je n'ai pas inclus Raccourcis.txt, car tu ne l'as pas demandé, mais je peux l'inclure si nécessaire).

Merci encore !

https://pjjoint.malekal.com/files.php?i ... w7h5k8o5o7

https://pjjoint.malekal.com/files.php?i ... 10m9e14u14

[Malekal_morte]

Rien d'anormal.
A désinstaller :

CyberLink
Google Toolbar for Internet Explorer

2)
Supprime : C:\Users\Nado\AppData\Roaming\PC Privacy Shield 2018

3) Change les mots de passe.

4) Peut-être surveiller les comptes bancaires.

5) A faire lire, pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués

[Nico57]

Merci Malekal pour ta réponse !

1) Ok, j'ai désinstallé Google Toolbar et je suis en train de désinstaller tous les logiciels CyberLink. Je pense qu'Odile ne s'est jamais servi de ces logiciels, mais par curiosité, je me demandais pourquoi il fallait les désinstaller ? ils présentent un risque particulier ?

2) J'ai supprimé le répertoire C:\Users\Nado\AppData\Roaming\PC Privacy Shield 2018

3) Je vais en effet changer tous les mots de passe. Je me demandais d'ailleurs s'il était possible de siphonner les mots de passe mémorisés par un browser, en l’occurrence, elle utilise Firefox ?

4) Pour les comptes bancaires, je compte en effet surveiller ça chaque jour pendant quelque temps.

5) Je vais transmettre ce lien à la personne.

Encore merci !

[Malekal_morte]

oui c'est très facile avec des outils de piratage : Le vol de mot de passe sur les navigateurs WEB.
Si Firefox, il y a le mot de passe principal qui limite la casse : Mot de passe principal Firefox : protéger ses mots de passe.

[Nico57]

Ok, merci pour ces infos inquiétantes (elle n'a pas mis de mot de passe principal ... ).

Et j'ai oublié une chose importante : elle est chez SFR et l'escroc soi-disant "technicienne" lui a demandé son identifiant et son mot de passe pour se connecter à son espace client, et elle leur a donnés ...

Je me suis dit que ça devait être pour activer une option de paiement de services ensuite réglés avec la facture Internet mensuelle ...

Cependant, je me suis rendu sur l'interface de son espace client SFR, mais je n'ai même pas l'impression qu'il soit possible d'activer une telle option.

Par contre, aïe aïe aïe, j'y pense d'un coup : elle leur a donné toutes ses coordonnées personnelles : Nom, prénom, adresse complète, date de naissance, numéros de téléphone fixe et mobile ... Je suppose alors qu'ils pourraient se faire passer pour elle auprès de SFR ou auprès d'un autre organisme ... Et là, je ne vois pas trop quoi faire ...

[Malekal_morte]

Aie oui faut changer le mot de passe ou voir avec le support SFR.

[Nico57]

J'avais en effet changé le mot de passe de son espace client SFR. On avait aussi essayé de les contacter, mais impossible de réussir à joindre un téléconseiller : peut-être qu'ils sont moins disponibles en période de confinement ...

[Malekal_morte]

Possible, après tu peux tenter par mail.

[Nico57]

Ok, je vais voir s'il y a moyen de les contacter par mail, mais je ne trouve pas pour le moment ...

J'étais en train de me dire que j'essaierais bien de les appeler pour voir quels types de manipulation ils ont fait faire à Odile, et surtout, quels types d'informations ils lui ont soutiré.

A cette fin, j'ai monté une VM Windows 10 dans Oracle Virtual Box.

Est-ce que je peux tenter le coup, comme tu l'as fait dans ta vidéo de démonstration ? N'y a-t-il pas risque qu'ils réussissent à "sauter" de la VM vers ma machine physique ?

Merci !

[Malekal_morte]

Oui j'ai déjà fait.
Ils devraient tomber dans le panneau.