Estafas de soporte técnico, malware y juegos de mente sin límites

Probablemente hayan notado que suelo escribir bastante sobre las estafas de soporte técnico, un problema al que la mayoría de los comentaristas en la industria de seguridad solo le otorgan interés esporádico y al que consideran relevante únicamente para este nicho específico. Por ejemplo, cuando un estafador daña una marca o un producto al decir que los representa o que la víctima necesita su ayuda porque el producto que está usando no sirve.

De hecho, si solo se tratara de estafadores que llaman a las víctimas de la nada para decirles que tienen una infección de virus y piden que les otorguen acceso remoto a la PC para poder “arreglarlo”, no tendría tanto que decir al respecto en este momento. Pero no es así.

Y no estoy hablando solamente de variaciones menores en los típicos engaños que involucran el identificador CLSID, el Visor de eventos o el Administrador de tareas, donde se malinterpretan los datos de distintas utilidades legítimas para “probar” que la PC tiene un problema de malware. Todavía vemos un montón de denuncias donde estas tácticas aún están en acción; si no estás familiarizado con ellas, puedes leer varios casos en artículos y trabajos como éste: Mi PC tiene 32.539 errores: cómo funcionan realmente las estafas de soporte técnico. (¿Ya pasaron tres años desde que presentamos este paper? Parece que sí, y pasó mucho más tiempo aún desde que empecé a escribir sobre el tema).

Postal de “Scamdinavia”

Aún así, se podría pensar que no puede haber nada nuevo en una estafa tan desgastada: ¿hay alguien en el mundo de habla inglesa que no haya recibido ya varios llamados inesperados de estos estafadores? Tengo algunas observaciones que hacer al respecto, y además aparecieron una gran variedad de artículos interesantes y relevantes sobre las tendencias recientes de las estafas de soporte en “Scamdinavia”.

Scamdinavia: una tierra no tan imaginaria sin fronteras, donde el hombre sin consciencia es rey

Lingua Franca (et Anglica)

En la introducción, me referí al idioma inglés por una razón muy particular. Las clásicas estafas de soporte técnico en general están muy asociadas con la India y se realizan casi en su totalidad en idioma inglés (al menos según las denuncias que encuentro), una lengua que, a mi entender, es la única lengua europea que sigue siendo idioma oficial en algunas partes de la India.

Ahora voy a citarme a mí mismo:

Yo diría que el problema real detrás del énfasis en el idioma inglés es el siguiente: los operadores indios mal remunerados pueden tener fluidez en distintos idiomas locales, pero no necesariamente en idiomas que no sean los oficiales. El inglés es una excepción por razones históricas: un porcentaje bastante alto de los residentes de la India lo hablan. (…)

Entonces, debido el uso extendido del inglés, que sigue siendo un idioma “oficial”, no es de extrañar que los operadores de centros de soporte técnico generalmente prefieran hacer las llamadas inesperadas a los países donde el Inglés es la primera lengua (Estados Unidos, Reino Unido, Australia, República de Sudáfrica, etc.) para atenerse a este idioma, incluso también en otros países donde no es la primera lengua.

Plus ça change

… o “cuanto más cambian las cosas, más iguales quedan”.

En un excelente post reciente, Jérôme Segura señala que ya llegó la estafa de soporte técnico en múltiples idiomas. Sin embargo, su enfoque es algo diferente. El estafador tradicional que se dedica a hacer llamadas inesperadas tendría problemas para explicar por qué una persona que dice llamar de Microsoft o de una empresa asociada insiste en hablar en inglés con personas que viven en, por decir, Francia o Escandinavia; hubo casos esporádicos donde intentaron comunicarse con hablantes de otras lenguas. Por ejemplo, español.

En un artículo citado en Malwarebytes, comenté lo siguiente:

…mi colega Josep Albors posteriormente me envió un correo para hacerme saber que un número de clientes se había puesto en contacto con el departamento de soporte de ESET España porque habían recibido llamadas de estafadores que iniciaban la conversación en inglés, pero que, cuando se les empezaba a complicar, “seguían en español (o lo intentaban)”.

Por supuesto, éste no es exactamente el mismo escenario, ni tampoco hay demasiados casos reportados hasta el momento, pero en efecto, muestran la intención novedosa de utilizar otras lenguas europeas distintas al inglés para dar instrucciones.

Sin embargo, el tema principal del artículo de Malwarebytes no eran las estafas por llamadas inesperadas aunque uno o dos de los ejemplos mencionados se centraron en ese aspecto del problema. El artículo se basaba en una tendencia más reciente de páginas web que se poblaban con mensajes emergentes, como las capturas de pantalla que se explican aquí en francés.

El artículo de Jérôme incluye capturas de pantalla de mensajes emergentes en japonés, español y alemán (además de mucha más información; te recomiendo que lo leas). Dice:

Estas páginas fraudulentas suelen aparecer a través de campañas de publicidad maliciosa o como parte de un paquete integrado en programas potencialmente no deseados.

El objetivo es persuadir a la víctima para que llame al número indicado en la ventana emergente, que lo pone en contacto con un call center donde el operador le hablará en su lengua materna, con diferentes grados de fluidez.

Llamamos a uno de los números de la campaña francesa y hablamos con un agente que contestó en un francés fluido. Resultó ser que estaba trabajando desde Quebec, Canadá, un dato que logramos extraer de la URL de la página de la estafa.

Jérôme no entró en detalles sobre sus conversaciones con los estafadores, pero, por lo que se ve en el blog francés, parece que, una vez que la víctima establece el contacto con el operador, la estafa continúa en líneas similares a la clásica estafa de soporte de Windows: el estafador intenta obtener acceso remoto para poder “arreglar” los problemas inexistentes de la víctima. Pero la estafa ahora no se limita a las PC con Windows.

Cambio de plataforma

plataformas_scamsYa hubo intentos de realizar estafas similares a las clásicas llamadas inesperadas pero dirigidas a usuarios de Mac, y también encontramos evidencias recientes del uso de mensajes emergentes falsos en OS X Safari para persuadir a la víctima a iniciar el contacto telefónico.

Como Josep Albors señaló en un blog en español para el que publiqué una traducción aquí, hubo una ola de mensajes emergentes similares dirigidos a usuarios de dispositivos iOS. Aunque, como indicaron nuestros amigos de F-Secure, al menos algunos de los mensajes falsos no eran exactamente ventanas emergentes: de cualquier manera, el uso de la funcionalidad integrada de Safari para el bloqueo de ventanas emergentes no los detendrá necesariamente.

iosclean

Un artículo útil escrito por Thomas Reed sobre ventanas emergentes en las estafas de soporte técnico ofrece mucha información práctica, incluyendo cómo librarse del mensaje en Safari, Chrome y Firefox.

Espero que a Josep no le importe que vuelva a usar algunos de los comentarios que le hice y que citó en su artículo original, ya que creo que vale la pena reiterarlos.

Hay un par de aspectos interesantes de esta variante de las estafas de soporte: en primer lugar, es otro indicio de la nueva tendencia a hacer a un lado las llamadas inesperadas y, en cambio, tratar de atraer a las víctimas potenciales para que sean ellas quienes llamen al estafador.

En el pasado, esto también se lograba llenando los sitios de medios sociales con testimonios falsos, o usando sitios de soporte técnico falsos que incluían contenido plagiado y consejos genéricos dudosos, como Martijn Grooten y yo discutimos en un blog hace unos años.

También hubo muchos informes recientes de servicios de soporte técnico anunciados en los Estados Unidos, donde el usuario hace la llamada y le contesta alguien que usa técnicas de venta engañosas muy similares a las que asociamos con las clásicas llamadas inesperadas de estafadores provenientes de call centers indios. De hecho, una de las personas cuya “confesión” cité en este artículo afirmó lo siguiente:

Básicamente, teníamos “vendedores” que se encargaban de poner ventanas emergentes en las computadoras de los usuarios donde se indicaba que podrían estar infectadas con un virus y se les proporcionaba un número telefónico adonde podían llamar para solucionarlo.

La ventaja de poblar Internet con mensajes emergentes falsos es que esta técnica cuenta con el potencial de funcionar prácticamente para cualquier plataforma. Por ejemplo, hace muy poco se denunciaron ataques similares en OS X/Safari.

El tercer punto interesante (aunque en realidad se desprende del segundo) es que, cuando la gente te llama para describir sus problemas, uno no necesita inventar tácticas para el engaño, como la malinterpretación de los datos del CLSID y el Visor de eventos, específicos de Windows, para convencerlos de que tienen un problema (esto ya lo hizo el mensaje emergente). Entonces, reitero, no es específico para una plataforma determinada.

No obstante, existe otra tendencia suplementaria sobre la que me gustaría llamar tu atención.

Por partida doble

Martijn Grooten, de Virus Bulletin, con el que varias veces intercambié información sobre estafadores en el pasado, además de colaborar en artículos y presentaciones, hace poco informó un caso interesante que detectó mientras trabajaba en las pruebas comparativas de filtros web para VB. Descubrió que se había añadido lenguaje cifrado de JavaScript a un sitio comprometido.

Aunque no es algo inusual, en este caso se abrían dos direcciones URL. Una servía el exploit kit Nuclear que entregaba Glupteba a través del aprovechamiento de una vulnerabilidad en Flash Player. Se presume que la intención era usar Glupteba para descargar más malware.

La otra URL, sin embargo, era un poco más insólita. Es verdad que ya estamos acostumbrados al uso de algún tipo de mensaje emergente como forma de propagar programas antivirus falsos, ransomware, etc. En este caso, es otro ejemplo de una ventana emergente que trata de engañar a la víctima para que llame a un número de teléfono gratuito en los Estados Unidos.

La técnica es bastante similar a la que vimos anteriormente, solo que está dirigida a usuarios de otras plataformas. Sin embargo, lo interesante de este caso es que la ventana emergente imita la “pantalla azul de la muerte”. Martijn observa:

No queda claro por qué se usan ambas páginas. Puede ser que los autores del malware fueran ambiciosos y estuvieran tratando de maximizar sus posibilidades de éxito. También podría tratarse de un error en su sitio. En cualquier caso, por una vez, los estafadores de soporte no habrían estado mintiendo al asegurar que hay un malware en el equipo de la víctima.

Resulta ser que este tipo de ataque, aunque nuevo para mí, ya fue reportado por Jérôme Segura (que llevó a cabo muchas investigaciones interesantes en esta área últimamente) en un artículo sobre estafas de soporte técnico y la pantalla azul de la muerte.

El objetivo de este ataque es encontrar una forma más persistente para convencer a los usuarios de hacer la llamada. Para ello, usan técnicas similares a las del malware. Para quitar este scareware de la pantalla, es necesario reiniciar el disco rígido.

Si el usuario sigue el “consejo” indicado en la pantalla azul, se pone en contacto con un call center en Delhi, donde el operador utiliza un archivo de procesamiento por lotes elegante (poco pretensioso pero efectivo) y se hace pasar por el “Centro de seguridad y protección de Internet de Microsoft” para demostrar que está trabajando para ganarse el dinero.

Conclusión

En su conclusión, Josep expresó:

Resulta claro que los delincuentes siguen incorporando nuevas técnicas para atrapar a sus víctimas. En lo que se refiere a las estafas telefónicas específicamente de soporte falso, las denuncias que encontramos suelen referirse a situaciones casi por completo ficticias, pero vamos a estar atentos a las nuevas innovaciones que puedan implementar.

Lamentablemente, parece que seguimos presenciando una tendencia que se aleja de la pura Ingeniería Social y de la malinterpretación fraudulenta de utilidades legítimas, y que está pasando a convertirse en algo que se encuentra en el límite entre, por un lado, el adware y las aplicaciones potencialmente no deseadas, y por el otro, el malware inequívoco (el archivo ejecutable SenseIUpdater que genera la pantalla azul de la muerte falsa es detectado por ESET como MSIL/FakeAlert.E).

Sin embargo, el grado y tipo de programación requeridos para esta generación de ataques en cierto sentido son irrelevantes. El scareware, el fraude, incluso la destrucción deliberada del sistema de la víctima tienen una larga e indigna historia más allá de que vengan de la mano de software malicioso o no. Hace unos años, solía escuchar a la gente referirse a los estafadores de soporte técnico como comerciantes demasiado entusiastas y quizá con una mentalidad ética algo liberal.

Creo que ya estamos mucho más allá de eso, ¿no?

Autor David Harley, ESET

Síguenos