Teamviewer мошенники как работают

Обновлено: 04.07.2024

Реверс малвари

Аналитики Group-IB предупредили о новой волне мошенничества, направленного на пользователей приложений для мобильного банкинга. В новой схеме используется легальная программа для делегирования доступа TeamViewer, которая позволяет третьим лицам подключиться к смартфону. В течение полугода ежемесячно, в среднем, фиксируется более 1000 попыток вывода денежных средств со счетов физических лиц с помощью схемы, в которой используются программы для удаленного доступа.

По данным экспертов, основной пик мошенничества с использованием мобильного приложения и TeamViewer на весну текущего года: в апреле и мае 2019 года в Group-IB начали поступать массовые запросы от банков. Активность мошенников с небольшим спадом продолжилась летом, а второй пик активности пришелся на июль 2019 года. РБК сообщает, что такие атаки фиксировали службы безопасности банка «Открытие», Почта Банка и Альфа-банка.

Обнаружить подобные атаки оказалось весьма трудно, так как в данном случае пользователь мобильного приложения банка сам соглашался установить TeamViewer, после чего отличить его действия от действий мошенника, выдающего себя за реального клиента банка, становилось сложно. Для этого необходимы системы поведенческого анализа, позволяющие в режиме реального времени выявлять мошенническую активность в мобильном канале.

Только в одном из банков Group-IB удалось предотвратить ущерб по схеме с удаленным доступом на сумму 16 000 000 рублей за 2 месяца. Среднемесячная сумма ущерба по данному типу мошенничества для крупного банка может составлять от 6 до 10 млн рублей.

Работает данная схема весьма просто. Злоумышленник звонит пользователю, представляясь сотрудником банка, и сообщает, что зафиксирована попытка взлома его личного кабинета или же вывода средств с его счета. Якобы службе безопасности банка требуется помощь клиента: нужно решить техническую проблему для противодействия мошенничеству. Для этого необходимо срочно установить программу удаленного управления смартфоном, чтобы сотрудники банка могли получить доступ к устройству и обезопасить пользователя. После установки такой программы, мошенник получает возможность действовать от имени пользователя и, получив доступ к приложению мобильного банкинга, выводит средства со счета жертвы.

В одном из разговоров с мошенниками, специалисты Group-IB сообщили преступникам, что видят свой счет и деньги с него не списаны. Мошенник не растерялся и ответил, что средства списываются не сразу: якобы банк уже видит транзакцию, а пользователь еще нет, поэтому необходимы срочные превентивные меры.

Исследователи отмечают, что транзакционный анализ, повсеместно используемый в банках для блокировки несанкционированных списаний, в данном случае, не поможет. Злоумышленник действует от имени и фактически «рукой» легального пользователя. В свою очередь, именно пользователь «наделил» злоумышленника такими правами, по доброй воле установив на свой смартфон программу для удаленного доступа. При этом сама установка TeamViewer не является доказательством реализации мошеннической схемы.

«Единственный вариант обнаружить данную схему — фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии. „Умные“ технологии защиты клиента в каналах ДБО умеют создавать его профиль, основанный на поведенческих характеристиках. Сам факт появления нового ПО для удаленного доступа на устройстве, особенно если раньше оно клиентом не использовалось, уже является фактором риска. Мы отслеживаем такие действия, а анализ дальнейшей работы пользователя позволяет понять — совпадает ли его поведение с обычным поведением его профиля. И если нет — такая активность считается подозрительной и действия мошенника, орудующего в личном кабинете ничего не подозревающего пользователя, блокируются банком», — рассказывает Павел Крылов, руководитель по развитию продуктов направления Secure Bank и Secure Portal.

Специалисты Group-IB советуют пользователям: если вам звонит «сотрудник» банка и сообщает о несанкционированном списании с вашего счета — кладите трубку, независимо от того, с какого номера поступил звонок. Для проверки информации — перезвоните в свой банк самостоятельно по телефону, указанному на вашей карте.

TeamViewer Quick Support и мошенники

Безопасность

Для чего была создана программа TeamViewer QuickSupport?

Программа очень популярная:

  • 2 миллиарда устройств подключено.
  • 45 миллионов устройств онлайн одновременно.
  • 40 тысяч новых скачиваний в час.

И часть этой популярности добавляют мошенники, использующие эту программу чтобы тырить денежные средства у доверчивых граждан в безналичном виде.

Как используют программу TeamViewer мошенники

teamviewer support

Поддержка Сбербанка


Доказать взлом счета в данном случае будет невозможно, т.к. взаимодействовать с банком в данном случае будет непосредственно Ваш телефон или компьютер. Для банка нет совершенно никакой разницы кто двигал мышь и нажимал на клавиши клавиатуры: Вы или мошенник, главное что сигнал пришёл с Вашего устройства.

В Google Play немало соответствующих отзывов от пользователей:

Отзывы на TeamViewer

Примеры кражи денег на сотни тысяч рублей

Приемы мошенников

  1. Это вы делаете перевод со своего счета на сумму 5430 рублей из г.Зелепупинска Пупкину Василию Алибабаевичу в г.Хабаровск?
  2. Это вы заходите в ваш личный кабинет из г. Муходрищенска?
  3. Это вы оформляете кредит на 100000 рублей в вашем личном кабинете?
  4. Это вы меняете номер телефона? Нет? О, да у вас вирус в телефоне, мы вам поможем.

Есть и отдельные свидетельства неудачных попыток мошенников. Причем всё указывает на то, что мошенники подготовились хорошо и не ограничились общедоступной информацией о потенциальной жертве через СБП, а имела место утечка данных из банка.

Favorite

В закладки

TeamViewer списал с моей карты 16 тысяч рублей и отказывается возвращать деньги. Что происходит?

В 2020 году я проводил много онлайн-мероприятий. И часть этих мероприятий была организована мной для друга из Португалии почтенного возраста.

С техникой и софтом он на «Вы», а местоположение компьютера и закрытость границ не давали возможность приехать к нему и настроить удалённый доступ.

Была важна максимальная простота решения, и из всех протестированных платформ (TeamViewer, AnyDesk, Google Chrome, Zoom) мы остановились на TeamViewer, как на самой надёжно работающей в нашей ситуации.

Программа быстро зарубила нам бесплатное использование, жалуясь на коммерческое использование. А оно действительно было коммерческим (хоть и недолгим).

Happy End? Нет


Списание произошло в ночи, я тут же открыт ноутбук и полусонными глазами начал рыться на их сайте, ища заветную страницу техподдержки. Не сразу, но я ее нашёл. И сразу написал о своей проблеме, номер инвойса и просьбу вернуть деньги за сервис, которым я не пользовался и не планирую пользоваться. На что мне поступил отказ.

Сроĸ действия лицензии на подписĸу автоматичесĸи продлевается еще на 12 месяцев, если она не была отменена в письменной форме за 28 дней до даты истечения сроĸа. К сожалению, мы не получили ваш запрос на отмену подписĸи вовремя.

Я начал копать и выяснил, что:

• Тимвьювер возвращает деньги в течение 7 дней с момента оплаты подписки, но только новым пользователям

На русском языке я не нашёл жалоб, но подумал о том, что наш человек скорее махнёт рукой, чем будет добиваться своих кровных от немецкой компании, у которой нет представительства в РФ.

Признаюсь, так же хотелось сделать и мне, но:

• Сумма значительная (это половина нового айпеда)

Мне очень не понравилось, что деньги списали без моего согласия, при оплате в 2020 году я не ставил никаких галочек, что готов подписаться на ежегодное обслуживание, их тупо там не было. Но зато информация об этом аккуратно была указана в неочевидном для меня месте…

Вчера я позвонил еще раз в службу поддержки, но мне вновь не смогли помочь, послав меня писать новое обращение..

Я бы посоветал тем, кто регистрируется в интернет-сервисах, использовать виртуальные карты, лучше одноразовые. Других вариантов полностью обезопаситься от подобных списаний пока не вижу.

Благодарю, что дочитали до конца и желаю вам полного отсутствия подобных ситуаций в жизни!

(46 голосов, общий рейтинг: 4.61 из 5)

Favorite

В закладки


«Я побежал вниз по лестнице, где другой компьютер был включен и работал. Издали я увидел, что там уже появилось окно программы TeamViewer. Прежде чем я успел убрать его, нападавший запустил браузер и открыл новую веб-страницу. Как только я добрался до клавиатуры, я сразу аннулировал удалённый контроль, немедленно зашёл на сайт TeamViewer, изменил пароль и активировал двухфакторную аутентификацию».



Скриншот страницы, которую открыл злоумышленник

«К счастью, я был рядом с компьютером, когда произошла атака. Иначе её последствия сложно себе представить», — пишет специалист по безопасности. Он начал расследовать, каким образом это могло произойти. Он очень давно не использовал TeamViewer и почти забыл, что тот установлен в системе, так что логично предположить утечку пароля с какого-нибудь другого взломанного сервиса, например, LinkedIn.


По его мнению, действия злоумышленника похожи на то, что тот по-быстрому изучал, какие компьютеры попали в его распоряжение. Он открывал страницу, чтобы посмотреть IP-адрес жертвы и определить часовой пояс, вероятно, с планом вернуться позже в более подходящее время.

Программа TeamViewer предназначена для удалённого управления ПК. Завладев чужим аккаунтом, вы фактически получаете готовый руткит, установленный на компьютере жертвы. Многие пострадавшие жалуются, что с их банковских счетов и аккаунтов Paypal пропали деньги.

Компания TeamViewer отрицает взлом корпоративной инфраструктуры, а факт недоступности серверов в ночь с 1 на 2 июня объясняет проблемами с DNS и возможной DDoS-атакой. Компания рекомендует пострадавшим не использовать одни и те же пароли на разных сайтах и приложениях, а также включить двухфакторную аутентификацию. К этому можно добавить, что следует обновлять программу до последней версии и периодически менять пароли. Уникальные пароли желательно генерировать, например, с помощью менеджера паролей.

Кроме того, в качестве ответной меры на массовый взлом аккаунтов TeamViewer представила две новых функции безопасности. Первая из них — «Доверенные устройства» (Trusted Devices), которая вводит дополнительную процедуру разрешения на управление аккаунтом с нового устройства (для подтверждения нужно перейти по ссылке, которую присылают по электронной почте). Вторая — «Целостность данных» (Data Integrity), автоматический мониторинг несанкционированного доступа к аккаунту, в том числе с учётом IP-адресов, откуда осуществляется подключение. Если обнаружены признаки взлома, аккаунт подлежит принудительной смене пароля.

Читайте также: