Microsoft m’a appelé, pour réparer mon PC en danger!

Et j’ai réussi à leur tenir la grappe durant presque 37 minutes!

Pascal Kotté
Dec 10, 2019 · 9 min read

Hey c’est mon tour, ils m’ont enfin appelé, et sur mon portable!

J’ai perdu 3/4 d’heures, et je prends 3h pour témoigner ici, mais c’est pour la bonne cause. Merci de me faire plein de “claps” 👏 (tu peux en mettre max 50)

Une de nos clients avait eu la mésaventure de se faire appeler, mais avait eu la pertinence de ne pas se laisser faire, et de nous contacter avant.

Mais qui cela, Microsoft?

Non bien sûr, Microsoft n’appelle jamais! Tout le monde sait cela maintenant…

Ceux qui vous appellent, sont en fait des cybercriminels. Mais au lieu de raccrocher en tremblant, voici ce qu’il faut faire:

Ce type de pratiques n’est rentable que si on s’y laisse prendre, rapidement, nous pouvons donc faire quelques actions pour nous en défendre:

  1. Informer et former notre entourage, perso, pro, le plus possible! (partagez cet article de blog)
  2. Leur faire perdre un temps précieux. (30mn en ligne, c’est une personne de sauvée, voir 2. J’ai tenu presque 37 minutes…)
  3. J’ai pas trouvé comment dénoncer utilement ce numéro à la source, c’est encore à creuser… (Si tu as des suggestions, merci de commenter ici)

Ceux qui m’ont appelé, ne sont même pas des “Hackers”, ce sont juste des usagers lambda d’outils numériques classiques, même pas des informaticiens de métier, ou d’un quelconque génie… Damne, les vrais hackers ont autres choses à faire que perdre du temps à téléphoner!


Stage 1 — L’appel, le premier filtreur

Bon généralement, ce sera en anglais, avec un accent plutôt indien. Source de l’appel, US (+1) ou UK (+44), mais grâce à l’Internet et la VoIP, les appelants ne sont très probablement ni aux USA, ni en Angleterre. Le mien semblait venir des Bermudes, c’est pratique, car cela ressemble à un appel US, mais c’est pas: (+1441) cf. Liste des indicatifs par pays

  • +1441275896464 était mon appelant

En gros (et traduit): Je travaille pour Microsoft et nous avons détecté que votre PC est actuellement en train de télécharger des trucs vraiment dangereux pour votre ordinateur. Alors, soyez rassuré, nous vous appelons pour vous sauver…

C’est là qu’il faut dire, oh mon dieu, attendez, j’active l’enregistrement de cet appel, c’est trop important… Et tu actives l’enregistrement avant de le dire. Puis tu poses de suite la question (qui est inutile, car on connaît déjà la réponse, fausse bien sûr): “Mais comment vous avez eu mon téléphone et comment vous savez que mon ordinateur est infecté et en danger?” (Réponse: Nous sommes Microsoft!)

On te demande de taper [Windows]-R (Touche windows + lettre R)

Cela ouvre la fenêtre “Exécuter”, puis de taper:

eventvwr ou eventvwr.msc

Ce protocole du call center abusif, permet de valider que tu es bien sur une machine Windows, et que tu sais lancer une boîte de commande…

Cela va faire apparaître la fenêtre de l’observateur d’événements, et on te demandera de regarder la fenêtre “admin events”… Pour te faire croire de la nécessité d’intervenir urgemment.

Oh mon dieu, c’est plein d’erreurs jaunes et rouges…!!!!!

Sauf que cette fenêtre d’administration va aller chercher toutes les erreurs de tous tes journaux (logs) systèmes et applicatifs pour ne t’afficher que ceux qui sont en erreur….
Windows est une telle Daube, impossible que ne soit pas noël toute l’année!
🎄🎇🎆✨🚩🛑📛❌❓❗☢🟡⚠🔴🔺☣

Vous voyez, c’est la preuve que vous avez un vrai problème. Votre PC est en train de télécharger des logiciels dangereux et nocifs pour votre ordinateur.

Warning 1: Bon, j’ai regardé, traffic réseau dans le task manager, néant. Pas de bol, car en général Windows bavarde toujours avec l’Internet.

Là tu peux lui demander ce que font ces logiciels dangereux, et pourquoi il faut les empêcher de venir sur ton ordinateur… Mais attention de ne pas faire trop débile non plus! (+5 mn)

WARNING 2: Et il ne me demande même pas si je vois “tel message ou pas” (zéro validation), ni il demande de lui lire les messages que je reçois! C’est aussi à ce moment, que tu peux gagner du temps, et lui lire un max de messages d’erreurs, et lui demander si c’est bien celui-ci le problème: En plus en français, cela va être un moment drôle (j’ai oublié de le faire…)

Je vais vous passer ma supérieure…
(C’est bon vous êtes mûr pour passer au niveau suivant, bravo!)

Stage 2 — La mère supérieure

La preuve, que je suis bien de Microsoft

Warning 3: Bizarre, la maison comprend 3 PCs, mais c’est bien le mien qui est infecté, et aucune procédure de vérification?

Tapez la séquence suivante:
[Windows]-R (Touche windows + lettre R)
cmd (cela ouvre une boîte de commande DOS, fond noir)
assoc (cela ouvre la longue liste des associations avec les extensions de fichiers, souvent invisibles sur ton Windows, exemple ‘.docx’ pour les fichiers Winword)

C:\Users\Steph>assoc[...longue liste...]
.xps=Windows.XPSReachViewer
.xrm-ms=MSSppLicenseFile
.xsl=xslfile
.xspf=VLC.xspf
.zfsendtotarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
.zip=CompressedFolder

“Est-ce que vous trouvez bien à la fin le CLSID avec le code 888DCA60?”
“Vous voyez, ceci est la preuve que je suis bien Microsoft, et que je reçois les informations de votre PC, ce qui nous permet de détecter ce qui vous menace”

Ce code est le GUID par défaut de toutes les machines Windows de la planète pour le menu clic droit, fonction “dossier compressé”! Mais profites-en pour lui demander de te donner tout le CLSID entièrement, en entier, sinon, trop facile… D? like Bernard or Daniel? tu peux gagner au moins 5 minutes…

C’est un identifiant unique que seul Microsoft peut connaître!

Effectivement, il est unique, c’est le même sur tous les ordinateurs! Ne faîtes pas comme moi, car elle pourrait décider de raccrocher. Mais j’ai testé de suite sur un 2nd ordinateur et je lui ai fait remarqué que j’avais un autre ordinateur avec le même code. (Il faut dire que je m’en doutais un peu…)

C’est normal quand ils sont sur le même réseau!

Bel aplomb! J’ai oublié de lui demander si mes autres ordinateurs devaient être aussi “nettoyés”.

On va lancer l’utilitaire qui va fixer le problème

Alors on te fait taper:

  • [Windows]-R (Touche windows + lettre R),
  • puis ‘http://www.impcremote.com/’ (ils sont tellement ignorants qu’ils ne te font même pas économiser le ‘www.’ inutile), cela va ouvrir une page web:
Ah ben, c’est quoi cela? Un outil de Microsoft, trop bien équipés les gars. Pourquoi le nom de domaine c’est pas Microsoft.com? Vas-y questionne à fond, +5mn.

Non, mais sans déconner! Ils sont tellement mauvais, qu’ils n’ont même pas monté une page web pour masquer l’info actuellement parfaitement lisible sur cette page: “Warning ! Fake — hacker — telephone calling

Voici le lien associé:

Fake — hacker — telephone calling
We hear sometimes about a fake Microsoft telephone support, when somebodies call people and lie: they are a “Microsoft technical department”. They are asking to install/run imPcRemote software to take over computers for “helping fixing problems to computers”. But it is a false call.
What you can do after the incident:If you used the Instant app: the Instant app closes and deletes itself after disconnecting, but they maybe install other app or virus, so please check your system with one or more virus scanner.
And for sure please search for “rpuvnc.exe” or “rpuvnci.exe” on whole system and if it exists, consult with your real computer assistant about removing.
If you used the Professional app, you can uninstall it from Control Panel.We can give you the connected partner’s public IP address if you send the time of connection and your IP address to us. Maybe you can do some steps with justice against the hackers with this data.Important! Never give right to access to your computer, only for a trustful partner.

Donner le titre de “hackers” à ces abrutis, c’est leur faire bien trop d’honneur et faire honte aux vrais hackers, qui ne sont pas tous des criminels, de loin!

Faire durer: Mais c’est un outil de contrôle à distance Madame, vous allez prendre le contrôle de mon ordinateur?

Non, non… C’est pour résoudre votre problème.

Elle me prend pour une bille… Bon, j’avais joué le jeux aussi.

Cliquer maintenant sur “Instant for windows (user)”

Pratique, cela fonctionne aussi sans être ‘admin’ de son ordinateur…

Sur la fenêtre Windows qui demande une confirmation, acceptez!

Heu non là, tu t’arrêtes et ne donnes pas ce numéro! (tu changes un chiffre…)

Bon c’est à ce moment là, que tu ne donneras pas le bon numéro, et tu essayes de faire trainer le truc. Du genre: Mais avec cet outil, vous allez pouvoir contrôler mon ordinateur? Comment je peux savoir si ce n’est pas dangereux? Qu’est-ce qui me prouve que vous êtes bien de Microsoft? (Celle-là, mieux vaut la sortir vers la fin).

Leur message d’intimidation: “C’est votre responsabilité de décider si vous allez laisser votre ordinateur devenir infecté, ou pas…”

Et quand tu en as ras le bol, et veux clôturer, tu évites d’attirer leur attention sur le message warning de ce site même, il peut en sauver d’autres, mais tu racontes une recherche sur Internet, et que visiblement Microsoft annonce sur leur site web qu’ils n’appellent pas, jamais! Alors?

Ok tu perds aussi du temps, mais quelle rigolade, si vous êtes plusieurs, faîtes mousser… En main libre, cirque gratis.

Bilan, ces escrocs utilisent des outils que tous peuvent exploiter, ce ne sont que des arnaqueurs de bas étages… Mais c’est simple, et du coup génial!


Record à battre: 36 minutes et 46 secondes!


Les bons réflexes

Vérifier

Tu fais immédiatement une recherche sur Internet de la situation courante, et cela permet assez vite de tomber sur ce type d’article:

Si tu n’es pas à l’aise sur l’ordinateur, tu le fais sur le téléphone, en mode “main libre”, tu reviens sur la “home page” et lances un navigateur et poses la question à ton moteur de recherche préféré, ou Google si tu ne trouves pas facilement l’info avec de dernier. (Je ne suis libriste que quand cela fonctionne)

Enregistrer

Alors dans mon cas, je savais que c’était des criminels, appel de l’étranger, et je n’ai pas annoncé les enregistrer. Mais il est mieux de le faire, escrocs ou pas, nous devons rester dans la légalité. On peut donc annoncer:

Excusez-moi, comme c’est un problème de sécurité, je vais devoir en rendre compte, et je n’ai pas une bonne mémoire. J’active donc l’enregistrement si cela ne vous dérange pas…

Important, tu actives l’enregistrement avant le moment où tu annonces cette phrase, afin d’enregistrer ton annonce qui va prévenir l’interlocuteur, et le “non rejet” implicite adverse. Je te recommande cette technique aussi pour les enquêtes et autres appels suspects, dès le début. Mais tu préviens!


Conseillers Numériques Suisses Romands

Le réseau des experts indépendants du digital pour des…

Pascal Kotté

Written by

Réducteur de fractures numériques, éthicien digital, Suisse romande.

Conseillers Numériques Suisses Romands

Le réseau des experts indépendants du digital pour des tranformations informatiques durables et responsables.

More From Medium

Also tagged Scam

Top on Medium

Ed Yong
Mar 25 · 22 min read

27K