A pesar de su antigüedad, hay amenazas que han sabido adaptarse y no solo siguen suponiendo un peligro para los usuarios, sino que también continúan proporcionando importantes beneficios a los delincuentes. Un ejemplo lo tenemos en aquellas que, haciéndose pasar por un mensaje de alerta indicando que algo no funciona bien, nos invitan a llamar a un supuesto servicio de soporte oficial, algo que llevamos viendo desde hace 10 años pero que sigue vigente a día de hoy.
Evolución de la amenaza
En julio ya alertábamos de una campaña que habíamos estado observando y en la que los delincuentes preparaban una web donde se mostraban todo tipo de alertas indicando que algo no iba del todo bien en nuestro sistema, invitándonos a llamar a un número 900 para solucionarlo.
Esta campaña se ha seguido realizando en las últimas semanas con alguna ligera modificación, y el reputado investigador Sergio de los Santos se ha hecho eco de ello en su cuenta de Twitter, mostrando un ejemplo de la web fraudulenta usada e incluso narrando su conversación con los delincuentes detrás de este falso servicio de soporte técnico vía telefónica.
Sergio ha publicado un vídeo donde se puede observar lo que un usuario vería si accediese a la web preparada por los criminales. En él podemos contemplar cómo las imágenes son idénticas a las que vimos en el caso analizado durante el pasado mes de julio, incluyendo la misma grabación de audio donde se alerta de que se procederá a la eliminación del contenido de nuestro disco duro si cerramos esa web.
Ejemplo del secuestro del navegador – Fuente: Sergio de los Santos
También comenta el investigador que aunque queramos cerrar la pestaña no será posible hacerlo, puesto que el navegador se queda bloqueado y se impide la apertura o cierre de más pestañas, siendo necesario el cierre total de la aplicación para poder salir de esa web. Con apunte destacable, el movimiento del ratón que se observa en el vídeo no es realizado por el usuario, sino que se mueve solo por la pantalla.
Llamando al falso servicio de soporte
Una de las cosas que hizo Sergio tras ver esta nueva campaña (y que otros investigadores también hemos hecho) fue llamar al número proporcionado por los delincuentes para obtener el supuesto soporte técnico que, teóricamente, resolvería este problema. Lo primero que descubre es que el operador habla español con un fuerte acento, posiblemente hindú. Esto coincide con casos ya analizados anteriormente en los que los teleoperadores eran de esa procedencia o de algún país de Latinoamérica.
También destaca la insistencia del teleoperador por conocer ciertos detalles del sistema, aplicaciones y equipo utilizado como el navegador de Internet utilizado, si se está utilizando un ordenador de sobremesa o un portátil, el fabricante del dispositivo o la disposición de las teclas para asegurarse de proporcionar la combinación adecuada.
A partir de este punto, las indicaciones del operador eran las ya clásicas de dirigir al usuario a una web desde la que descargar el software de asistencia remota LogMeIN para así poder acceder al sistema y mostrar errores frecuentes que no suponen ningún riesgo de seguridad, con la finalidad de asustar a la víctima y conseguir que contrate su servicio de soporte.
Conclusión
Casos como el que ha comentado Sergio suceden a diario en varias partes del mundo. La estafa del falso soporte técnico lleva mucho tiempo entre nosotros y los delincuentes que la utilizan han depurado sus técnicas para hacerla más convincente. Por ese motivo conviene estar alerta y evitar llamar o ponerse en contacto de cualquier otra forma con estos falsos servicio de soporte, siendo más recomendable acudir al servicio de soporte oficial de nuestra solución de seguridad o, en su defecto, a alguna empresa local de confianza que ofrezca un servicio similar.