赛门铁克观察到技术支持诈骗者使用流行的呼叫优化服务,将电话号码动态插入诈骗网页,并提供额外的功能,使骗局更加成功。
技术支持诈骗者继续调整方法以确保能够长期成功。我们之前概述了技术支持诈骗是如何通过利用“living off the land”的策略来避免被发现的。他们还使用其他方法来规避检测,从简单的JavaScript混淆到更先进的加密算法,如高级加密标准AES。
在本博客中,我们将了解诈骗者如何利用合法的呼叫优化服务来提高诈骗效率。
一、呼叫优化服务
呼叫优化服务通常由企业使用,通过电话与他们的客户互动。这些服务可以提供以下功能:
· 跟踪入站呼叫的来源
· 电话号码的创建和管理
· 呼叫负载平衡
· 呼叫转发
· 呼叫分析
· 呼叫路由
· 通话录音
这些服务可帮助企业获取其客户有价值的见解,可用于帮助改善和优化营销活动。然而,正如我们最近发现的那样,现在技术支持诈骗者也在使用呼叫优化服务来优化他们自己的“行动”。
二、骗局
与许多技术支持诈骗一样,它是在毫无戒心的用户访问恶意网站或通过各种方式(例如恶意网站或受感染网站)重定向到恶意网站时启动的。
图1. 诈骗页面声明计算机因恶意软件感染而被阻止
诈骗网页通知受害者计算机因恶意软件感染而被阻止,并试图诱使用户拨打“免费”号码寻求帮助。当用户访问诈骗网页时,就会在后台播放声明计算机被感染的音频文件。
三、深入研究
首先浏览诈骗网页的源代码,可以看到负责播放音频的代码。
之后,我们遇到了一些有趣的JavaScript。
图2.用于收集受害者使用的浏览器信息的脚本
图2中的脚本获取受害者所使用的浏览器的信息。执行浏览器指纹识别的技术支持诈骗并不是什么新鲜事,但大多数诈骗只关注浏览器名称。这个特殊的骗局更进了一步,还获取了浏览器版本。根据浏览器名称和版本号,受害者被重定向到不同的诈骗页面,如图3所示的代码所示。
图3.根据浏览器名称和版本号,将受害者重定向到不同的诈骗页面
在图4中,我们可以看到一个脚本,它是流行的调用优化服务的高级JavaScript集成的一部分。
图4.流行的呼叫优化服务使用的脚本
当诈骗URL中存在来自呼叫优化服务的特定标记时,该脚本将从服务器中检索诈骗者的电话号码。当服务器返回诈骗者的电话号码时,标签会触发“Callback”函数。此函数负责检索和显示受害者呼叫的适当电话号码。
如果来自呼叫优化服务的标签不在诈骗URL中,则通过加载XML文件然后解析它以检索该号码,然后将其显示在诈骗页面上(参见图5)。
图5.用于加载XML文件的脚本,该文件包含要在诈骗网页上显示的电话号码
通过在URL中使用呼叫优化服务的标签,诈骗者可以动态的将电话号码插入其欺诈页面。这很有用,例如,如果受害者位于多个国家,则可以向受害者显示一个电话号码,该电话号码会呼叫说本国语言的人。
四、其他可能的用途
使用呼叫优化服务来确保向每个受害者显示正确的电话号码,只是我们所知道的技术支持诈骗者正在使用的一个功能。诈骗者也可能利用这些有用服务提供的更多功能,例如在繁忙时段的呼叫负载平衡,将呼叫重新路由到其他“技术支持”代理,这样就不会丢失任何客户/受害者;跟踪入站呼叫的来源,允许诈骗者定制他们的服务;访问有关呼叫的详细分析,这可以帮助诈骗者了解需要做些什么来提高成功率。这些只是诈骗者可以合并的众多功能中的一小部分。
呼叫中心、电子商务供应商、联合网络以及各种小型到大型机构已经认识到使用呼叫优化服务来改善其业务,现在技术支持诈骗背后的犯罪分子已经开始这样做了。
五、防范和保护
赛门铁克主动保护客户免受技术支持欺诈。我们的入侵防御系统(IPS)通过使用各种检测来阻止与此类诈骗相关的恶意网络活动,从而保护客户免受技术支持欺诈。
从2018年1月1日到6月,赛门铁克的IPS阻止了超过9300万次技术支持诈骗。
图6.赛门铁克IPS阻止的技术支持骗局——2018年1月至6月
