Spørsmål:
Bruker legitim teknisk støtte fjernkontrollprogramvare?
Skawang
2020-07-03 13:37:58 UTC
view on stackexchange narkive permalink

Jeg ser mange tekniske svindelvideoer på YouTube, som fikk meg til å tenke;bruker legitime teknologisupportfirmaer fjernkontroll for vanlige kundeserviceanrop?

Jeg husker at jeg ringte Lenovo teknisk support fra nettstedet deres for en stund tilbake (jeg dobbeltsjekket at det var deres offisielle nettsted fordi jeg er paranoid) og demåtte bruke en fjernkontrollprogramvare for å sjekke PCen min.Jeg resonnerte at det var det samme som å overlevere PC-en til et verksted så lenge du vet at det er legitimt.

Nå tenker jeg;bruker de til og med denne typen programvare?

Hva er sikkerhetsfeilene / implikasjonene ved å la dem gjøre det?Er det greit så lenge vi kan se skjermen vår og beholde kontrollen over markøren?

Som noen som jobber med støtte og bruker slike verktøy: Det er et jævla syn lettere å få noen til å åpne en teamvisningsøkt for å skrive inn kommandoer som kan være påkrevd eller å se problemet lykkes enn at brukeren beskriver det over telefonen.
@tombull89: Jeg har sett legitime støttesesjoner der veiledning for å laste ned og starte TeamViewer QuickSupport-applikasjonen tar mer tid enn å løse det faktiske problemet.(Kanskje vi burde lære den delen av kriminelle ...)
Personlig anekdote: Microsoft-støtte bruker rutinemessig en slags fjernkontrollprogramvare for å løse problemer med Windows-aktivering.
Jeg vil legge til dette emnet at dette er youtube-videoer.Du kan skript helvete ut av dette.Sannsynligvis er de fleste forfalskninger
Syv svar:
schroeder
2020-07-03 13:47:51 UTC
view on stackexchange narkive permalink

Ja, det er normalt at legitim teknisk støtte bruker eksterne støtteverktøy.Det er langt enklere enn å prøve å blinde noen gjennom en komplisert serie med tekniske trinn.Bedrifter som TeamViewer eksisterer på grunn av denne årsaken.

Risikoen ved programvaren er:

  • å ha en vedvarende "bakdør" inn i et system, men det er sikkerhetstiltak imest programvare for å begrense dette
  • sårbarhetene i programvaren som kan utnyttes av andre
  • en ondsinnet teknisk støttebruker som bruker legitim tilgang til å skape skade

Det er flere funksjoner i eksterne støtteverktøy i tillegg til markørkontroll som også kan skape sekundære problemer, som å kunne laste opp og laste ned filer.

Så lenge alt som er aktivert er "fjernvisning" eller "skjermdel ", er risikoen din begrenset.Jo mer kontroll du gir, jo høyere er risikoen.

Ikke bare ondsinnet teknisk støtte.Ikke alle brukere av teknisk støtte er kompetente;de kunne gjøre alvorlig skade ved hjelp av en ærlig feil, hvis de fikk for mye tilgang.
Esa Jokinen
2020-07-03 14:30:10 UTC
view on stackexchange narkive permalink

Ja, det gjør de. En viktig forskjell er at du vanligvis har startet økten ved å be dem hjelpe deg. For å gjøre det kan de be deg om å starte et fjernkontrollverktøy, da det både er enklere enn å hjelpe deg på telefonen og raskere og mer kostnadseffektivt enn å bringe inn enheten.

Kommersielle produkter tilgjengelig for dette, f.eks TeamViewer (muligens merket), er designet for å være gjennomsiktig f.eks. ved å unngå vedvarende tilgang (periodisk skifte av passord, bekreftelse for å tillate fjernkontrolløkt), vise dialoger om bakgrunnshandlinger som filoverføring osv.

På den annen side kan både legitime og ondsinnede aktører bruke de samme verktøyene:

  • En legitim teknisk støtte er kanskje ikke kompetent nok til å bruke riktige verktøy på en skikkelig måte, noe som kan gjøre at datamaskinen er mer sårbar for ondsinnede tredjepartsaktører. F.eks. et passord som gir vedvarende tilgang til en datamaskin, kan virke praktisk sett fra deres perspektiv, men et slikt passord kan lekke, slik at kundene blir kompromittert.
  • Kriminelle bruker de samme verktøyene for å se mer pålitelige ut. De er dyktige til å handle naturlig og kan synes å hjelpe deg ved å løse faktiske problemer og gjøre sine ondsinnede handlinger i bakgrunnen.
  • En individuell ansatt på en legitim teknisk støtte kan misbruke stillingen & stoler på. Selv om de til slutt blir fanget, er det fortsatt en slik mulighet. Akkurat som en telefonreparatør kan stjele dine intime bilder mens du reparerer en ødelagt skjerm.

Hvis du ikke virkelig har startet økten med en støtte du har valgt for å stole på (eller på annen måte vite at de skal overvåke systemene dine aktivt, som påpekt av @ Draco-S), ikke tillat fjernkontroll.

  • Hvis noen ringer deg for å fortelle deg at du har problemer med datamaskinen din og tilbyr hjelp gjennom fjernkontroll, er det en svindel.

  • Hvis det står på datamaskinen din at datamaskinen din er infisert og gir deg et nummer å ringe eller et fjernkontrollprogram for å utføre, er det en svindel.

  • Hvis dumistenker at noe er galt, kontakt i stedet noen du stoler på.

Med legitim teknisk støtte har du rett til å stille spørsmål ved deres handlinger og be dem forklare hva de gjør.Du kan også sikre at fjernkontrollverktøyet er slått av / deaktivert / avinstallert etter økten.

Hvis de forteller deg at de ringer fra "Microsoft Windows", er det en svindel.Jeg vet ikke hva som går gjennom hodene på den som skriver manusene sine.FWIW, jeg har hatt 100% suksessrate så langt på disse svindelinnringerne, at hvis jeg ber dem fortelle meg hvilken IP-adresse de oppdaget den påståtte mistenkelige aktiviteten fra, legger de øyeblikkelig på.Så antagelig fungerer denne taktikken selv om du ikke vet hva en IP-adresse er.
@SteveJessop En del av svindlerens suksess avhenger av at målene deres er uklare.Ethvert snev av tekniske ferdigheter eller intelligens er et signal til dem om at de kaster bort tiden sin.
@BoogaRoo Det er sant.[Kitboga (YouTube-kanal)] (https://www.youtube.com/c/KitbogaShow/) gjør en så god jobb å kaste bort tiden for moro skyld.Selv om det hovedsakelig er morsomt, er videoene hans også gode eksempler på hvordan disse svindlerne fungerer.
Og de ber deg generelt om å kjøre en kommando som sender ut [888DCA60-FC0A] (https://www.google.com/search?q=888DCA60-FC0A&ie=utf-8&oe=utf-8) og hevder at den identifiserer Windows-boksen din.Selvfølgelig har hver Windows-bruker den CLSID.Å lete etter den CLISD viser en hel liste med svindelrapporter.Hvis jeg spiller sammen med svindleren, forteller jeg ham nummeret først og ber ham søke etter det på Google og deretter fortelle meg hva han finner.Reaksjonene deres er uvurderlige.
Jeg pleide noen ganger å spille litt sammen når de ringte for å fortelle meg at det var problemer med datamaskinen min.Nå bryr jeg meg ikke en gang med et brått "ikke interessert" svar.Så snart jeg oppdager at samtalen er uoppfordret, legger jeg bare på.Livet er for kort til å kaste bort tid på å snakke med disse parasittene.Jeg mistenker faktisk at de nå kan ha stemmegjenkjenning for sine robo-dialers, som retter seg mot spesiell demografi, eldre mennesker og kvinner.Svært ofte nå ringer samtalen ut så snart jeg sier "hei", antagelig kan de fortelle med stemmen min at jeg ikke kommer til å være et enkelt mål.
Draco-S
2020-07-04 07:58:40 UTC
view on stackexchange narkive permalink

Det korte svaret er "ja, med noen forbehold".

Det lange svaret er ja, men du må sørge for at du har etablert en tidligere tillit til supportagenten ved å sikre at et av poengene er true:

  1. Du har startet supportanropet. For eksempel ringer du Microsoft, Dell, HP etc., og de ber om å koble til datamaskinen din. Dette er trygt fordi du vet hvem du ringer.
  2. Du har logget en billett og mottatt en forventet tilbakeringing. I dette tilfellet må agenten bekrefte tilliten ved å gi deg detaljene bare en legitim part vil vite, som billettnummer, navn, saksdetaljer osv.
  3. Du har tidligere tillit til en agent, for eksempel er det bedriftens IT-avdeling eller en outsourcet entreprenør som allerede har tilgang.

Det var en oppfatning at du må starte støttesaken. Dette er ikke sant, strengt tatt, spesielt for alternativ 3 der datamaskinen din er administrert. Jeg har ved flere anledninger ringt kunder basert på varsler fra vår programvare for overvåking. Men i dette tilfellet har vi allerede en fjernkontrollagent installert på datamaskinen og ringer dem til å gi råd om problemet og varsle at vi må ta kontroll.

+1 for å peke på en sak der IT-støtte kan starte sesjonen.Det er også bra at du forklarte at det i dette tilfellet vanligvis er en kjent IT-avdeling eller entreprenør med forhåndsinstallerte verktøy.
Damon
2020-07-03 22:41:16 UTC
view on stackexchange narkive permalink

Ja, for eksempel i en typisk "Enterprise" -innstilling. Men vær oppmerksom på at teknisk støtte vil være en av ditt firma (eller et datterselskap, en kjent partner, uansett). Du vil nå det gjennom selskapets billettsystem. Ja, de har den samme dårlige aksenten som de kriminelle i videoene dine, men de er legitime (ikke nødvendigvis kunnskapsrike eller nyttige, skjønt ... Jeg har en gang hatt en av dem til å slette ett års verdi av "ubrukelige" data for en hele det geografiske området før jeg kunne rope "stopp dette!").

En ting å merke seg er at teknisk støtte aldri initierer økten (som påpekt i Esa Jokinens svar også ). Hvis noen ber deg om det, er det 100% sikkert uekte.

Imidlertid, og dette er viktig, vær oppmerksom på at den motsatte konklusjonen ikke er sant. Hvis du startet økten, betyr det ikke nødvendigvis at den andre siden er legitim eller profesjonell eller ikke-svindel. Det virker slik , men det er ikke nødvendigvis tilfelle.
Faktisk utnytter prosedyren som vises i videoene du nevner, nettopp dette utseendet for å lure duen til å stole på den kriminelle .

Du får vist en slags skummel melding, og du skal ringe support (de er snille nok til å til og med oppgi nummeret, slik at du ikke trenger å Google det!). Så du faktisk initierer økten. Det er helt klart legitimt, ikke sant!
Hvis du viser tegn til tvil, vil den kriminelle i den andre enden også påpeke det: "Det er ok, du ringte oss, husk. Og vi ' re Microsoft-partnere, dette er grunnen til at Windows viste den skjermen ".
Men selv om du initierte økten, er den selvfølgelig fremdeles uredelig. Det eneste målet med hele arbeidet er å finne noen dumme nok til å enten laste ned og utføre skadelig programvare, eller gi ekstern tilgang med en brukerkonto som har administratorrettigheter (standard for de fleste hjemmebrukere).

På hvilken typisk det første vil være å sabotere datamaskinen - som hittil fungerer perfekt - på en slik måte at den ikke lenger kan startes uten deres hjelp (f.eks. ved å kryptere brukerprofilene), som de vilutpresse mye penger.Deretter vil du få se noen katalogoppføringer og ting, som for den uutdannede gjennomsnittlige brukeren ser ut som noe veldig viktig og skummelt, og vel ... til slutt skal du betale fordi datamaskinen din nå er ubrukelig.Som, hvis du ikke faller for svindelen med en gang og betaler dem uansett, vil du oppdage etter omstart.

"En ting å merke seg er at teknisk støtte aldri starter økten" - feil, ikke helt sant - flertallet av verktøy KREVER teknisk støtteperson å starte økten, selv om ekte verktøy da alltid vil kreve en eller annen form for samtykke-knapp eller kode på'kunde'-enden.
@MikeBrockington: Jeg var nok litt løs på ordlyden.Det jeg mener er at de ikke starter økten _out the blue_.Det vil si at de absolutt klikker for å starte RD, og deretter klikker du på "Godta".Det vil ikke fungere ellers (tydeligvis).Men de ** gjør ikke ** med mindre du først har billett, og snakket med dem på telefon eller via Skype eller Teams, eller hva du enn bruker.Du har forespørselen, du vil at noe skal skje, ikke dem.Så det er "innvi" for meg.Hvis CIO vil at noe skal skje, kan de bare planlegge en oppdatering, og den installeres uten ditt samtykke uansett.
Irriterende som Windows handler om det, det er faktisk en ganske kul funksjon for bedrifter (annet enn å være så forstyrrende).Du får en popup som sier "Å forresten, i løpet av 1t59min starter datamaskinen på nytt for oppdatering", og det er den eneste sannheten, ingenting du kan gjøre med det, bortsett fra å lagre ting og starte på nytt umiddelbart hvis du trenger maskinen om 2 timer.Som på den ene siden helt suger, men igjen, det er ganske utrolig ellers.Veldig vanskelig å få feil på brukerens side, veldig vanskelig å gå glipp av oppdateringer (umulig til og med?).Ingen grunn til å klikke på en lenke, eller følge instruksjonene ellers.
En økt her betyr ikke en fjernkontroll * tilkobling *, men mer bredt hele prosedyren fra den første kontakten med støtten.
@EsaJokinen: Nå _det_ er noe jeg aldri har sett.Den eneste anledningen der teknisk eller CIO faktisk initierer kontakt er når de sender deg falske phishing-poster.Du skal rapportere disse, og ve hvis du ikke rapporterer tre eller flere av disse på en måned eller til og med uten tvil klikker på en lenke, så er du en kandidat til en 2-timers bevissthet-bullshit-økt.Men hvis ikke, hvis du vil ha kontakt, må du ** åpne en billett.De trenger ikke deg eller din assistanse (eller godkjenning) for noe de vil gjøre, vet du.De eier i utgangspunktet datamaskinen.
@Damon: Jeg svarte imidlertid på Mike Brockington's kommentar.:)
@Damon Dessverre er dette også usant.Legitime IT-støttepersoner vil noen ganger trenge å starte støtteanropet, for å få brukerne oppdatert med den nyeste støtteprogramvaren, eller hvis de har mottatt et varsel om at en bærbar datamaskin kan være infisert med skadelig programvare etc. Dette er i sammenheng med bedriftsstyrtdatasystemer.Problemet er at personalet ikke alltid vet hvem som skal administrere sine bærbare datamaskiner.Det er ikke alltid en garantert måte for vanlige brukere å være i stand til å skille et legitimt anrop fra en ondsinnet svindel.
Se svaret mitt om støtteinitierte fjernkontrolløkter.Vi (en liten MSP) har de fleste av kundene våre på administrert kontroll, så samtalen går ofte som "vi trenger å gjøre (ting) til PCen din, vær så snill å lagre arbeidet ditt, og vi vil koble til nå, eller angi en tid da vikan gjøre dette ”og så kobler vi oss sammen.For de som har en "break-fix" plan, ringer vi aldri først.
boots
2020-07-05 10:26:56 UTC
view on stackexchange narkive permalink

Jeg pleide å jobbe med nivå 3-støtte for forskjellige telekomprodukter vi noen ganger bruker teamviewer.Hvis det er mulig, bruker vi en av de lokale bærbare PC-ene som er koblet til kundenettverket.Hvis ikke, så bruker en kundemaskin engangspassordene.Ha alltid en samtale med personen i den fjerne enden og forklar hva du gjør og hvorfor.En tidligere arbeidsgiver har ekstern tilgang via VPN innebygd i settet vi solgte, men tilgangen var via en kundestyrt gateway med full logging.Du må ha et revisjonsspor.

Hvis du har initiert samtalen og du forventer det, er det bare en liten sjanse for at det blir dodgy.Begrens tilgangen etter behov, så har du det bra.Hvis du får en tilfeldig samtale som ber om tilgang, er det en svindel.

user23013
2020-07-05 06:40:31 UTC
view on stackexchange narkive permalink

Ja, legitim teknisk støtte bruker programvare for fjernkontroll.Men ulovlige bruker dem også.

"Hva er sikkerhetsfeilene / implikasjonene ved å la dem gjøre det? Er det greit så lenge vi kan se skjermen vår og beholde kontrollen over markøren?"

Det var en svindel der angriperen lot offeret laste ned og installere en spesialdesignet fjernkontrollprogramvare.De ville gjøre noe som ikke virker for skadelig, ved å bruke mus og GUI på bankkontoen din (visstnok fordi det vanligvis er flere sikkerhetstiltak mens du logger på, så de må finne en tilsynelatende legitim grunn til ågjør det), men overfør også alle pengene dine i bakgrunnen som du ikke kunne se.

Dette legger egentlig ikke noe til de andre svarene.Også svindlere med teknisk støtte er vanligvis ikke ute etter nettbank, ettersom bankoverførte penger er enkle å følge.De bruker heller gavekort og andre sporbare betalingsmåter.
@EsaJokinen Svindlere er veldig ofte ute etter bankkontoer, og selv om det kan være lett nok å se hvor pengene gikk, kan det være nesten umulig å få dem tilbake hvis pengene har forlatt landet.
Eksemplet er fremdeles ganske begrenset, og etterlater et bilde som er det eneste de er ute etter.Det kan føre til en falsk antagelse om at hvis du ikke logger deg på bankkontoen din, vil du være trygg.
Henry A
2020-07-04 13:41:18 UTC
view on stackexchange narkive permalink

Det er ikke greit, uansett om de legitimt hjelper deg og ikke er svindlere.Mye oftere enn folk ønsker å tenke at tekniske støttearbeidere misbruker deres tilgang til klientens datamaskiner, både i et bedriftsmiljø eller privat.Du vet aldri hva noen vil gjøre, så gi bare bare tillit og ikke anta at du får tilgang til datamaskinen din på noens vegne, noe som betyr at du får noen med integritet og som følger noen form for yrkesetikk.Når de får tilgang til en hvilken som helst del av nettverket ditt eller en hvilken som helst enhet, er du sårbar overalt.

"Når de får tilgang til en hvilken som helst del av nettverket ditt eller en hvilken som helst enhet, er du sårbar overalt."- er en fullstendig overdrivelse.Og du gjentar i utgangspunktet svaret mitt.
Det er ikke engang i nærheten av en overdrivelse, men jeg kan se at du ikke blir overbevist ellers.Som jeg sa tidligere, er ingenting bra, og det var en del av spørsmålet ditt.Din eneste forsikring om at du er trygg mot ondsinnet innbrudd fra en IT-profesjonell, er det du gir deg selv fordi du vil tro at det ikke skjer.Jeg har sett akkurat dette førstehånds, og jeg har erfaring med ekstern tilgangshack utført av legitimt profesjonelt IT-personell som jobber i en offisiell kapasitet ved hjelp av bedriftsverktøy.Jeg svarte på spørsmålet ditt - tro hva som får deg til å føle deg bra.
Det er ikke spørsmålet mitt ...
Dette er hva du spurte: "Hva er sikkerhetsimplikasjonene" og "Er det greit", og det er som jeg sa, ikke greit.For å legge til ytterligere, fordi du kan se markøren, er du ikke sikker på noe.Hacks kan løpe i bakgrunnen uten at du, brukeren, vet det.Noen ganger er dette av design, og det er også mulig at et ondsinnet verktøy brukes samtidig eller som en modifisert versjon av et legitimt verktøy.Jeg vet om et tilfelle der operativsystemet utelukkende var sammensatt av angripere som fikk tilgang til enheten gjennom et firmanettverk, og erstattet operativsystemet med SaaS, slik at det ikke kunne skelnes.
Nei, jeg la ikke ut spørsmålet.Og å angripe noen er ikke det riktige svaret.Adresser innholdet, ikke personen,
Og du leser også feil spørsmålet som ble lagt ut.Og du forvirrer "trussel", "risiko" og "sårbarhet".Hvordan erstatter man et operativsystem med SaaS fordi det ikke ser ut til å være fornuftig.
Ved å koble PC-en til et azurblå aktiv katalogdomene og konfigurere den som en hybrid distribusjon.Jeg forventer ikke å overbevise deg fordi det ganske vist ikke er sannsynlig å skje i en slik grad, men dette kan oppnås hvis du skulle koble til et bedriftsnettverk med en personlig enhet og en angriper hadde ekstern tilgang.
I de fleste tilfeller er det omvendt: det er BYOD-enheten din som kan kompromittere bedriftsdataene - ikke deres IKT-avdeling som vil kompromittere din private datamaskin.I virkeligheten har selskaper eiendeler som er mer interessante for kriminelle enn de fleste.
@HenryA Jeg forstår hvor du kommer fra, men jeg tror vi må sette noen grad av tillit til folk hvis vi vet at de kommer fra legitime steder og de ikke har mye å tjene på å skru på tingene mine (medrisikerer å miste jobben).Dette er sannsynligvis annerledes for bedriftene.Fjernkontrollprogramvare gjør meg fortsatt urolig, så jeg vil nok holde meg borte fra det så mye jeg kan
Det er godt å være forsiktig, men hvis du er ansatt i et selskap og bruker en bærbar datamaskin fra selskapet, kan du ikke bare nekte tilgang til IT-supportpersonalet vilkårlig.Det vil se veldig mistenkelig ut hvis du ikke gir IT-administratørpersonell tilgang til datamaskinen din, og å innta denne holdningen kan ganske raskt gi deg mange problemer med ledelsen.


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 4.0-lisensen den distribueres under.
Loading...