Question:
Le support technique légitime utilise-t-il un logiciel de contrôle à distance?
Skawang
2020-07-03 13:37:58 UTC
view on stackexchange narkive permalink

Je vois beaucoup de vidéos d'arnaque du support technique sur YouTube, ce qui m'a fait réfléchir; les entreprises de support technique légitimes utilisent-elles la télécommande pour les appels réguliers du service client?

Je me souviens avoir appelé l'assistance technique Lenovo depuis leur site Web il y a quelque temps (j'ai vérifié qu'il s'agissait de leur site officiel car je suis paranoïaque) et ils a dû utiliser un logiciel de contrôle à distance pour vérifier mon PC. J'ai pensé que c'était la même chose que de remettre votre PC à un atelier de réparation tant que vous savez que c'est légitime.

Maintenant, je pense; utilisent-ils même ce type de logiciel?

Quelles sont les failles de sécurité / implications de les laisser faire? Est-ce que ça va tant que nous pouvons voir notre écran et garder le contrôle du curseur?

En tant que personne qui travaille dans le support et utilise de tels outils: il est sacrément plus facile de demander à quelqu'un d'ouvrir une session Teamviewer pour taper les commandes qui peuvent être nécessaires ou pour voir le problème se produire que de demander à l'utilisateur de le décrire par téléphone.
@tombull89: J'ai vu des sessions d'assistance légitimes où guider pour télécharger et lancer l'application TeamViewer QuickSupport prend plus de temps que de résoudre le problème réel.(Peut-être devrions-nous apprendre cette partie des criminels ...)
Anecdote personnelle: le support Microsoft utilise régulièrement une sorte de logiciel de contrôle à distance pour résoudre les problèmes d'activation de Windows.
Je veux ajouter à ce sujet que ce sont des vidéos YouTube.Vous pouvez faire un script de tout ça.La plupart sont probablement des faux
Sept réponses:
schroeder
2020-07-03 13:47:51 UTC
view on stackexchange narkive permalink

Oui, il est normal que le support technique légitime utilise des outils d'assistance à distance. C'est beaucoup plus facile que d'essayer de guider aveuglément quelqu'un à travers une série complexe d'étapes techniques. Des entreprises comme TeamViewer existent pour cette raison.

Les risques du logiciel sont:

  • d'avoir une «porte dérobée» persistante dans un système, mais il existe des mesures de sécurité dans la plupart des logiciels pour limiter ces
  • vulnérabilités dans le logiciel qui pourraient être exploitées par d'autres
  • un utilisateur de support technique malveillant utilisant un accès légitime pour créer des dommages

Il existe plusieurs fonctions dans les outils de support à distance en plus du contrôle du curseur qui pourraient également créer des problèmes secondaires, comme la possibilité de télécharger et de télécharger des fichiers.

Tant que tout ce qui est activé est "visualisation à distance" ou "écran partager », vos risques sont limités. Plus vous donnez de contrôle, plus vos risques sont élevés.

Pas seulement un support technique malveillant.Tous les utilisateurs du support technique ne sont pas compétents;ils pourraient causer un préjudice grave au moyen d'une erreur honnête, s'ils y avaient trop accès.
Esa Jokinen
2020-07-03 14:30:10 UTC
view on stackexchange narkive permalink

Oui, ils le font. Une différence essentielle est que, généralement, vous avez lancé la session en leur demandant de vous aider. Pour ce faire, ils peuvent vous demander de lancer un outil de contrôle à distance, car c'est à la fois plus facile que de vous assister au téléphone et plus rapide et plus rentable que d'apporter l'appareil.

Produits commerciaux disponibles pour ceci, par exemple TeamViewer (éventuellement de marque), sont conçus pour être transparents, par ex. en évitant les accès persistants (changement périodique des mots de passe, vérification pour permettre la session de contrôle à distance), en affichant des boîtes de dialogue d'actions en arrière-plan comme les transferts de fichiers, etc.

D'autre part, les acteurs légitimes et malveillants peuvent utiliser les mêmes outils:

  • Un support technique légitime peut ne pas être assez compétent pour utiliser les outils appropriés de manière appropriée, ce qui peut rendre l'ordinateur plus vulnérable aux acteurs tiers malveillants. Par exemple. un mot de passe donnant un accès permanent à un ordinateur peut sembler pratique de leur point de vue, mais un tel mot de passe peut fuir, laissant leurs clients compromis.
  • Les criminels utilisent les mêmes outils pour paraître plus dignes de confiance. Ils sont qualifiés pour agir naturellement et peuvent sembler vous aider en résolvant des problèmes réels et en faisant leurs actions malveillantes en arrière-plan.
  • Un employé individuel d'un support technique légitime peut abuser de la position de confiance d'&. Bien qu'ils finissent par se faire prendre, il existe toujours une telle possibilité. Tout comme un réparateur de téléphone peut voler vos photos intimes tout en réparant un écran cassé.

Si vous n'avez pas véritablement lancé la session avec l'assistance que vous avez choisie de faire confiance (ou de savoir qu'ils devraient surveiller activement vos systèmes, comme indiqué par @ Draco-S), n'autorisez pas le contrôle à distance.

  • Si quelqu'un vous appelle pour vous dire que vous avez des problèmes avec votre ordinateur et vous propose de l'aide via la télécommande, c'est une arnaque.

  • Si l'écran de votre ordinateur indique que votre ordinateur est infecté et vous donne un numéro à appeler ou un programme de contrôle à distance à exécuter, c'est une arnaque.

  • Si vous Si vous pensez que quelque chose ne va pas, contactez plutôt quelqu'un en qui vous avez confiance.

Avec un support technique légitime, vous avez le droit de remettre en question leurs actions et de leur demander d'expliquer ce qu'ils font. Vous pouvez également vous assurer que l'outil de contrôle à distance est désactivé / désactivé / désinstallé après la session.

S'ils vous disent qu'ils appellent depuis "Microsoft Windows", c'est une arnaque.Je ne sais pas ce qui se passe dans l'esprit de celui qui écrit ses scripts.FWIW, j'ai eu un taux de réussite de 100% jusqu'à présent sur ces appelants frauduleux, que si je leur demande de me dire de quelle adresse IP ils ont détecté l'activité suspecte présumée, ils raccrochent instantanément.Donc, probablement, cette tactique fonctionne même si vous ne savez pas ce qu'est une adresse IP.
@SteveJessop Une partie du succès de l'escroc dépend du fait que leurs cibles sont ignorantes.Tout soupçon de compétences techniques ou d'intelligence est un signal pour eux qu'ils perdent leur temps.
@BoogaRoo C'est vrai.[Kitboga (chaîne YouTube)] (https://www.youtube.com/c/KitbogaShow/) fait un excellent travail en perdant son temps à s'amuser.Bien que principalement hilarantes, ses vidéos sont également de bons exemples du fonctionnement de ces fraudeurs.
Et ils vous demandent généralement d'exécuter une commande qui génère [888DCA60-FC0A] (https://www.google.com/search?q=888DCA60-FC0A&ie=utf-8&oe=utf-8) et de prétendre qu'elle identifie votre boîte Windows.Bien sûr, chaque utilisateur Windows possède ce CLSID.La recherche de ce CLISD fait apparaître une liste complète de rapports d'arnaque.Si je joue avec l'escroc, je lui donne d'abord le numéro et je lui demande de le rechercher sur Google, puis de me dire ce qu'il trouve.Leurs réactions sont inestimables.
J'avais l'habitude de jouer un peu quand ils m'appelaient pour me dire qu'il y avait des problèmes avec mon ordinateur.Maintenant, je ne me dérange même pas avec une réponse brusque "pas intéressé".Dès que je détecte que l'appel n'est pas sollicité, je raccroche simplement.La vie est trop courte pour perdre du temps à parler à ces parasites.Je soupçonne en fait qu'ils peuvent maintenant avoir une reconnaissance vocale pour leurs robots-numéroteurs, qui cible des données démographiques particulières, les personnes âgées et les femmes.Très souvent maintenant, l'appel s'arrête dès que je dis "bonjour", probablement ils peuvent dire par le ton de ma voix que je ne serai pas une cible facile.
Draco-S
2020-07-04 07:58:40 UTC
view on stackexchange narkive permalink

La réponse courte est "oui, avec quelques mises en garde".

La réponse longue est oui, mais vous devez vous assurer que la confiance préalable a été établie avec l'agent de support en vous assurant que l'un des points est true:

  1. Vous avez lancé l'appel d'assistance. Par exemple, vous appelez Microsoft, Dell, HP etc. et ils demandent à se connecter à votre ordinateur. Ceci est sécurisé car vous savez qui vous appelez.
  2. Vous avez enregistré un ticket et reçu un rappel attendu. Dans ce cas, l'agent devra confirmer la confiance en vous fournissant les détails que seule une partie légitime connaîtra, comme le numéro de billet, votre nom, les détails de l'affaire, etc.
  3. Vous avez préalablement fait confiance à un agent, par exemple, il s'agit du service informatique de votre entreprise ou d'un sous-traitant qui y a déjà accès.

Il y a eu un avis selon lequel vous devez lancer le dossier d'assistance. Ce n'est pas vrai à proprement parler, en particulier pour l'option 3 où votre ordinateur est géré. J'ai, à plusieurs reprises, appelé des clients sur la base d'alertes déclenchées par notre logiciel de surveillance. Mais dans ce cas, nous avons déjà un agent de contrôle à distance installé sur l'ordinateur et les appelons pour l'informer du problème et notifier que nous devons prendre le contrôle.

+1 pour avoir signalé un cas où l'assistance informatique pourrait lancer la session.Il est également bon que vous ayez expliqué que dans ce cas, il s'agit généralement d'un service informatique connu ou d'un sous-traitant avec des outils préinstallés.
Damon
2020-07-03 22:41:16 UTC
view on stackexchange narkive permalink

Oui, par exemple dans un cadre "Entreprise" typique. Mais notez que le support technique sera celui de votre entreprise (ou une filiale, un partenaire bien connu, peu importe). Vous y accéderez via le système de billetterie de votre entreprise. Oui, ils ont le même mauvais accent que les criminels dans vos vidéos, mais ils sont légitimes (pas nécessairement bien informés ou utiles, cependant ... J'ai déjà demandé à l'un d'entre eux de supprimer pendant un an de données "inutiles" pour un toute la région géographique avant que je puisse crier "arrêtez ça!").

Une chose à noter est que le support technique jamais ne lance la session (comme indiqué dans la réponse d'Esa Jokinen également ). Si quelqu'un vous le demande, c'est 100% illégitime.

Cependant, et c'est important, notez que la conclusion inverse n'est pas vraie. Si vous avez lancé la session, cela ne signifie pas nécessairement que l'autre partie est légitime ou professionnelle, ou non frauduleuse. Cela semble certainement comme ça , mais ce n'est pas nécessairement le cas.
En fait, la procédure qui est montrée dans les vidéos que vous mentionnez exploite cette apparence même pour inciter le pigeon à faire confiance au criminel .

On vous montre une sorte d'avis effrayant et vous devez appeler le support (ils ont même la gentillesse de fournir le numéro, vous n'avez donc pas besoin de le rechercher sur Google!). Donc, vous lancez réellement la session. Clairement, c'est légitime, n'est-ce pas!
Si vous montrez des signes de doute, le criminel à l'autre bout le signalera également: "C'est bon, vous nous avez appelé, souvenez-vous. Et nous ' Concernant les partenaires Microsoft, c'est pourquoi votre Windows a montré cet écran ".
Mais bien que vous ayez lancé la session, elle est bien sûr toujours frauduleuse. Le seul objectif de toute cette entreprise est de trouver quelqu'un d'assez stupide pour télécharger et exécuter des logiciels malveillants, ou pour accorder un accès à distance avec un compte utilisateur disposant de droits d'administrateur (par défaut pour la plupart des utilisateurs à domicile).

Sur quoi, généralement, la première chose à faire sera de saboter l'ordinateur - qui fonctionne parfaitement jusqu'à présent de manière à ce qu'il ne puisse plus être démarré sans leur aide (par exemple en chiffrant les profils utilisateur), pour lesquels ils extorquer beaucoup d'argent. Ensuite, vous verrez des listes de répertoires et des trucs, qui pour l'utilisateur moyen non éduqué ressemblent à quelque chose de très important et d'effrayant, et bien ... à la fin, vous allez payer parce que votre ordinateur est maintenant inutilisable. Ce qui, si vous ne tombez pas tout de suite dans l'arnaque et que vous la payez quand même, vous le découvrirez après le redémarrage.

"Une chose à noter est que le support technique ne lance jamais la session" - euh, ce n'est pas tout à fait vrai - la majorité des outils EXIGENT que le technicien du support technique lance la session, bien que les véritables outils nécessitent toujours une forme de bouton ou de codel'extrémité «client».
@MikeBrockington: J'étais probablement un peu lâche sur ma formulation.Ce que je veux dire, c'est qu'ils n'initient pas la session _out of the blue_.Autrement dit, ils font certainement le clic pour démarrer RD, puis vous cliquez sur "Accepter".Cela ne fonctionnera pas autrement (évidemment).Mais ils ** ne ** font pas cela à moins que vous ne leur ayez d'abord émis un ticket et que vous leur ayez parlé au téléphone, via Skype ou Teams, ou tout ce que vous utilisez.Vous avez la demande, vous voulez que quelque chose se passe, pas eux.C'est donc «initier» pour moi.Si le CIO veut que quelque chose se produise, il peut simplement planifier une mise à jour, qui s'installera de toute façon sans votre consentement.
Aussi ennuyeux que Windows soit à ce sujet, c'est en fait une fonctionnalité assez intéressante pour les entreprises (autre que d'être si perturbatrice).Vous obtenez une fenêtre contextuelle disant "Oh au fait, dans 1h59min l'ordinateur redémarrera pour la mise à jour", et c'est la seule vérité, vous ne pouvez rien y faire, sauf enregistrer vos affaires et redémarrer immédiatement si vous avez besoin de la machine dans 2 heures.Ce qui d'un côté est totalement nul, mais là encore, c'est sacrément génial sinon.Très difficile de se tromper du côté de l'utilisateur, très difficile de manquer les mises à jour (impossible même?).Pas besoin de cliquer sur un lien ou de suivre les instructions autrement.
Une session ici ne signifie pas une télécommande * connexion *, mais plus largement toute la procédure à partir du premier contact avec le support.
@EsaJokinen: Maintenant, c'est quelque chose que je n'ai jamais vu.La seule occasion où la technologie ou le CIO initie réellement le contact est lorsqu'ils vous envoient de faux e-mails de phishing.Vous devez les signaler, et malheur si vous ne parvenez pas à en signaler trois ou plus en un mois ou même si vous cliquez inconsidérément sur un lien, vous êtes alors candidat pour une séance de conneries de sensibilisation de 2 heures.Mais sinon, si vous voulez un contact, alors ** vous ** devez ouvrir un ticket.Ils n'ont pas besoin de vous ou de votre aide (ou approbation) pour tout ce qu'ils aimeraient faire, vous savez.Ils "possèdent" fondamentalement l'ordinateur.
@Damon: Je répondais cependant au commentaire de Mike Brockington.:)
@Damon Malheureusement, cela est également faux.Les personnes légitimes du support informatique devront parfois lancer l'appel de support, pour mettre à jour les systèmes des utilisateurs avec le dernier logiciel de support, ou s'ils ont reçu une alerte indiquant qu'un ordinateur portable peut être infecté par des logiciels malveillants, etc. C'est dans le contexte de la gestion d'entreprisesystèmes informatiques.Le problème est que le personnel ne sait pas toujours qui est censé gérer ses ordinateurs portables.Il n'y a pas toujours de moyen garanti pour les utilisateurs réguliers de différencier un appel légitime d'une arnaque malveillante.
Voir ma réponse concernant les sessions de contrôle à distance initiées par l'assistance.Nous (un petit MSP) avons la plupart de nos clients sur le contrôle géré, donc l'appel va souvent comme "nous devons faire (des choses) sur votre PC, veuillez enregistrer votre travail et nous nous connecterons maintenant, ou veuillez indiquer un moment où nouspeut le faire », puis nous nous connectons.Pour ceux qui ont un plan «break-fix», nous n'appelons jamais en premier.
boots
2020-07-05 10:26:56 UTC
view on stackexchange narkive permalink

J'avais l'habitude de travailler en support de niveau 3 pour divers produits de télécommunications que nous utilisions parfois teamviewer. Si possible, nous utiliserions l'un des ordinateurs portables de nos techniciens locaux connectés au réseau du client. Si ce n'est pas le cas, un client machine mais utilise les mots de passe à usage unique. Soyez toujours en communication avec la personne à distance et expliquez ce que vous faites et pourquoi. Un ancien employeur a un accès à distance via VPN intégré dans le kit que nous avons vendu, mais l'accès se faisait via une passerelle contrôlée par le client avec une journalisation complète. Vous devez avoir une piste d’audit.

Si vous avez lancé l’appel et que vous vous y attendez, il n’ya qu’une faible chance qu’il soit douteux. Restreignez l'accès au besoin et tout va bien. Si vous recevez un appel aléatoire demandant l'accès, c'est une arnaque.

user23013
2020-07-05 06:40:31 UTC
view on stackexchange narkive permalink

Oui, le support technique légitime utilise un logiciel de contrôle à distance. Mais les illégitimes les utilisent aussi.

"Quelles sont les failles de sécurité / implications de les laisser faire? Est-ce que ça va tant que nous pouvons voir notre écran et garder le contrôle du curseur?"

Il y avait une arnaque où l'attaquant laissait la victime télécharger et installer un logiciel de contrôle à distance spécialement conçu. Ils feraient quelque chose qui ne semble pas trop dangereux, en utilisant la souris et l'interface graphique sur votre compte bancaire (supposément parce qu'il y a généralement plus de mesures de sécurité lors de la connexion, ils doivent donc trouver une raison apparemment légitime pour faites-le), mais transférez également tout votre argent en arrière-plan que vous ne pouviez pas voir.

Cela n'ajoute vraiment rien aux autres réponses.De plus, les fraudeurs du support technique ne recherchent généralement pas les services bancaires en ligne, car l'argent viré par virement bancaire est facile à suivre.Ils utilisent plutôt des cartes cadeaux et autres moyens de paiement introuvables.
@EsaJokinen Les escrocs recherchent très souvent les comptes bancaires, et même s'il peut être assez facile de voir où l'argent est allé, le récupérer peut être presque impossible, si l'argent a quitté le pays.
L'exemple est encore assez limité, laissant une image qui est la seule chose qu'ils recherchent.Cela pourrait conduire à une fausse supposition que si vous ne vous connectez pas à votre compte bancaire, vous seriez en sécurité.
Henry A
2020-07-04 13:41:18 UTC
view on stackexchange narkive permalink

Ce n'est pas bien, qu'ils vous aident légitimement et ne soient pas des escrocs. Bien plus souvent que les gens ne le penseraient, les travailleurs du support technique abusent de leur accès aux ordinateurs des clients, à la fois dans un environnement professionnel ou privé. Vous ne savez jamais ce que quelqu'un fera, alors donnez seulement la moindre confiance et ne supposez pas que l'accès légitime à votre ordinateur au nom de qui que ce soit signifie que vous obtenez quelqu'un d'intégrité et qui adhère à toute sorte d'éthique professionnelle. Une fois qu'ils ont accès à n'importe quelle partie de votre réseau ou à n'importe quel appareil, vous êtes vulnérable partout.

«Une fois qu'ils ont accès à n'importe quelle partie de votre réseau ou à n'importe quel appareil, vous êtes vulnérable partout.- est une surestimation totale.Et vous répétez essentiellement ma réponse.
Ce n'est même pas près d'une exagération, mais je peux voir que vous ne serez pas convaincu du contraire.Comme je l'ai déjà dit, rien ne va bien et cela faisait partie de votre question.Votre seule assurance que vous êtes à l'abri d'une intrusion malveillante par un professionnel de l'informatique est celle que vous vous accordez parce que vous voulez croire que cela ne se produit pas.J'ai vu cela de première main et j'ai l'expérience des hacks d'accès à distance perpétrés par du personnel informatique professionnel légitime travaillant à titre officiel à l'aide d'outils d'entreprise.J'ai répondu à votre question - croyez ce qui vous fait vous sentir bien.
Ce n'est pas ma question ...
Voici ce que vous avez demandé: "Quelles sont les implications pour la sécurité" et "Est-ce que ça va" et comme je l'ai dit, pas bien.Pour ajouter plus, car vous pouvez voir le curseur vous n'êtes pas assuré de rien.Les piratages peuvent s'exécuter en arrière-plan à votre insu, l'utilisateur.Parfois, cela est intentionnel et il est également possible qu'un outil malveillant soit utilisé simultanément ou en tant que version modifiée d'un outil légitime.Je connais un cas où le système d'exploitation était entièrement constitué par des attaquants qui ont eu accès à l'appareil via un réseau d'entreprise, remplaçant le système d'exploitation par SaaS, de sorte qu'il était impossible de le distinguer.
Non, je n'ai pas posté la question.Et attaquer quelqu'un n'est pas la réponse appropriée.Adressez-vous au contenu, pas à la personne,
Et vous avez également mal interprété la question qui a été publiée.Et vous confondez «menace», «risque» et «vulnérabilité».Comment "remplacer un OS par SaaS" parce que cela ne semble pas logique.
En joignant le PC à un domaine Azure Active Directory et en le configurant en tant que déploiement hybride.Je ne m'attends pas à vous convaincre car, certes, il est peu probable que cela se produise dans une telle mesure, mais cela peut être accompli si vous vous connectez à un réseau d'entreprise avec un appareil personnel et qu'un attaquant a un accès à distance.
Dans la plupart des cas, c'est l'inverse: c'est votre appareil BYOD qui peut compromettre les données de l'entreprise - et non son département ICT qui compromettrait votre ordinateur privé.Dans la vraie vie, les entreprises ont des actifs bien plus intéressants pour les criminels que la plupart des individus.
@HenryA Je comprends d'où vous venez mais je pense que nous devrons mettre un certain niveau de confiance sur les gens si nous savons qu'ils viennent d'endroits légitimes et qu'ils n'ont pas grand-chose à gagner à baiser avec mes affaires (avec lerisquer de perdre leur emploi).C'est probablement différent pour les entreprises.Le logiciel de contrôle à distance me met mal à l'aise, donc je vais probablement m'en éloigner autant que possible
Il est bon d'être prudent, mais si vous êtes un employé d'une entreprise et que vous utilisez un ordinateur portable fourni par l'entreprise, vous ne pouvez pas refuser arbitrairement l'accès au personnel de support informatique.Cela semblerait très suspect si vous ne permettiez pas au personnel administratif informatique d'accéder à votre ordinateur, et prendre cette position pourrait très rapidement vous poser de nombreux problèmes avec la direction.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...