Cómo los estafadores telefónicos se aprovechan de CLSID

Recientemente respondí algunos comentarios de uno de mis artículos de WeLiveSecurity acerca de la táctica de CLSID utilizada por los estafadores de soporte para persuadir a las víctimas y hacerles creer que realmente saben lo que sucede en sus computadoras. Esto funciona (a veces) porque el estafador utiliza el comando ASSOC para mostrar el siguiente identificador guardado en el Registro de Windows en HKEY_CLASSES_ROOTCLSID:

ZFSendToTarget=CLSID{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}

CLSID revisado

Diciendo que la siguiente entrada en el Registro es diferente en cada equipo, el estafador “prueba” que tiene información acerca del equipo de la víctima (en ocasiones puede llegar a decir que el inconveniente se encuentra en el ID de Licencia de la Computadora). Pero no prueba nada de eso. Para citar el post:

“Ese es el CLSID que tengo abierto en las dos computadoras de mi escritorio en este momento… apuesto a que si tienes una versión reciente de Windows, y realizas los mismos pasos, encontrarás que también lo tienes. En otras palabras, el estafador no puede ver ni tu CLSID ni nada en tu computadora… a menos que, por supuesto, caigas en la estafa y le otorgues acceso remoto con AMMYY o LetMeIn.”

Y también es el número usado por el estafador citado en el comentario, que aseguró:

…que el número de registro de mi computadora era individual y que él lo diría en voz alta para que yo pudiera probar su legitimidad.

[De hecho, la entrada .zfsendtotarget está asociada con la carpeta comprimida (zippeada) en Mirosoft Windows: le dice al sistema qué hacer con esa opción en el menú de contexto del clic derecho de Windows Explorer.]

Sólo escribo sobre esto, no lo inventé

No hay nada particularmente nuevo sobre todo esto: después de todo, originalmente escribí aquél artículo sobre la estafa de CLSID, que era nueva en ese entonces para mí, en 2011. No sé cuánta gente lo ha leído pero, aparentemente al día de hoy le han dado “Me Gusta” 2.600 personas en Facebook, y ha tenido además 571 comentarios. Así que me ha sorprendido un poco que me preguntaran si el artículo era parte de la estafa. :) Si lo fuera, alguien ya lo habría notado. Aun así, no soy de los que desalientan el escepticismo: no todos en la industria de la seguridad son escrupulosamente honestos. (Extrañamente, hemos sido contactados el mismo día por alguien que ofrecía vendernos un dominio con un nombre que se acercaba mucho a los que suelen utilizar los estafadores de soporte técnico. Creo que hay diferencia entre ser sospechado de correr una serie de estafas de soporte falsos a ser acusado de ser responsable de crear malware.)

Estafadores viejos, trucos nuevos

De vuelta en el mundo real, no obstante, encontré algunas cosas interesantes sobre esta historia, demostrando que hasta una estafa vieja puede producir variaciones interesantes de tanto en tanto.

  • La primera es que el estafador aseguró que si “…si yo tenía alguna otra computadora, Tablet, teléfono, etc, que usara la misma conexión de internet, también estarían contaminadas.” Eso no es del primer mundo, claro: otros estafadores han tergiversado la conocida amenaza de Tapsnake, un verdadero problema en Android. Y aun así, no me parece que se haya explotado lo suficiente en las estafas de soporte.
  • La segunda es que el estafador dijo que “otras personas han estado utilizando mi computadora sin mi permiso y que yo sería el culpable de todo tipo de acciones que desconocía que era capaz de hacer.”
  • La tercera es que él realmente le sugirió al comentarista que buscara en Google el término CLSID “para probar su integridad”. Eso fue lo más extraño. Al hacer lo indicado, la primera página que apareció en los resultados de la búsqueda fue un artículo de Microsoft que explicaba el CLSID, y otros artículos de distintas fuentes que intentan explicar lo mismo. También aparecían dos artículos de mi blog relacionados a estafas de soporte, otro artículo de un blog que hacía referencia a uno de mis posts y una película de YouTube titulada ‘CLSID support scam call trolling’ (algo así como ‘Trolls Telefónicos: Estafas de Soporte de CLSID’). Una búsqueda en Bing arrojó resultados principalmente relacionados a páginas que explicaban CLSID, pero también mi artículo también apareció en esta búsqueda.

Tomando esto en consideración, quizás la abundancia extrema de artículos de Harley explica porqué el comentarista estaba preocupado de que ESET pudiera estar involucrado en la estafa: indudablemente, cuando yo hago una búsqueda de información sobre un producto y encuentro páginas y páginas con enlaces que hablan de lo maravilloso que es, suelo asumir que estoy ante ‘falsas reseñas y manipulaciones deshonestas del motor de búsquedas’ descritas aquí por Brian Krebs, y aquí por Sophos. (De hecho, Martijn Grooten, de Virus Bulletin, y yo vimos por primera vez manipulaciones de sitios web y redes sociales en el contexto de las estafas de soporte de 2011.) Pero dado que ese tipo de manipulación no es la misma que vi en la página de búsqueda, debo preguntarme qué creyó el estafador que iba a aparecer en mi búsqueda para que su “integridad o legitimidad quedara demostrada”. Sólo veo dos posibilidades.

Especulación Psicológica de un estafador

Una explicación podría ser que él esperara que ella iba a encontrar algún artículo técnico acerca de .COM y CLSID, que no entendería, o por lo menos no lo suficiente, para darse cuenta que el CLSID es único a una clase de objetos de software, y no a la computadora específica en donde está registrado. Después de todo, mi propia experiencia con estafadores de soporte me sugiere que los mismos caen en dos grandes grupos:

  • Gente leyendo un guion sobre tecnología que no entiende realmente muy bien, y que hasta podría no ser consciente de que lo que hace es deshonesto: si te apartas del guion, tienden a seguir repitiendo las mismas afirmaciones, darse por vencidos y pasar a la siguiente llamada, o tratar de derivarte a alguien mejor preparado para ejecutar la estafa.
  • Estafadores que puedan no ser lo suficientemente listos y expertos como creen que son, pero están convencidos de que sus víctimas son estúpidas y merecen ser estafadas. Individuos como estos podrían asumir que una potencial víctima que no pueda ver más allá del guion que le están ‘actuando’ inmediatamente, no podrá analizar y entender un artículo moderadamente técnico. Otro comentarista reciente, describiendo cómo le siguió el juego a uno de los estafadores, contó cómo lo dirigió a un sitio falso, cuyo nombre era en realidad una mala palabra usada en bengalí para describir a alguien estúpido (de hecho, el término tiene otros significados bastante más feos, pero es un dato poco significativo). Podrías compararlo a la palabra “mugu” (gran tonto), usada por 419 embaucadores para describir a sus víctimas. ¿Es este un desprecio sociópata de las personas consideradas puramente como pensadores de estafas, o algunos estafadores necesitan convencerse a sí mismos que sus víctimas son inusualmente estúpidas y merecen que se aprovechen de ellas, para que puedan vivir con su propia deshonestidad?

Por otro lado, se me ocurre preguntarme si el estafador, en esta instancia, estaba logrando influenciar un buscador más localizado (geográficamente) que podría haber sido más vulnerable a ser manipulado. Pero no sé qué tan probable podría haber sido esta última opción.

O podría haber otro escenario que no me haya ocurrido a mí. Y a ti, ¿qué te parece?

Autor David Harley, ESET

Síguenos