Microsoft a confirmé à Sky News que les criminels publient des packages contrefaits conçus pour ressembler à des produits Office afin d’escroquer les gens.
L’un de ces packages vu par Sky News est fabriqué selon des normes convaincantes et contient une clé USB gravée, ainsi qu’une clé de produit.
Mais l’USB ne s’installe pas Microsoft Office lorsqu’il est branché à un ordinateur. Au lieu de cela, il contient un logiciel malveillant qui encourage la victime à appeler une fausse ligne d’assistance et à céder l’accès à son PC à un attaquant distant.
Microsoft a lancé une enquête interne sur le colis suspect après avoir été contacté par Sky News.
Le porte-parole de la société a confirmé que la clé USB et l’emballage étaient contrefaits et qu’ils avaient déjà vu un modèle d’utilisation de ces produits pour escroquer les victimes.
Ils ont ajouté que bien que Microsoft ait vu ce type de fraude, il est très rare. Le plus souvent, lorsque des produits frauduleux sont vendus, il s’agit généralement de clés de produit envoyées aux clients par e-mail, avec un lien vers un site pour télécharger le logiciel malveillant.
“Microsoft s’engage à aider à protéger nos clients. Nous prenons les mesures appropriées pour retirer du marché tout produit suspecté sans licence ou contrefait et pour tenir ceux qui ciblent nos clients responsables”, a déclaré le porte-parole.
Comment fonctionne la fraude ?
Martin Pitman, consultant en cybersécurité pour Atheniem, a récupéré la clé USB et le colis frauduleux après que sa mère l’a appelé alors qu’elle se trouvait chez une autre personne alors qu’elle tentait de l’installer.
“On m’a dit qu’une clé USB inattendue avait été livrée par la poste qui semblait être un produit Office 365”, a-t-il déclaré à Sky News, ajoutant que la cible initiale de la fraude était un retraité.
Il est extrêmement inhabituel pour les criminels de cibler des personnes avec des colis postaux, en particulier lorsque la victime visée ne semble pas avoir une valeur particulièrement élevée.
Contrairement aux e-mails de phishing et à d’autres formes d’escroquerie en ligne qui peuvent être distribuées à des millions de victimes potentielles avec des coûts négligeables pour les criminels, les packages physiques coûteront un montant important à fabriquer et à publier, ce qui signifie qu’ils risquent un retour sur investissement beaucoup plus faible pour les entreprises criminelles.
“J’ai déjà entendu parler d’attaques d’appâts et je savais que cela pourrait en être une, d’autant plus que la personne parlait à un technicien d’appel car elle avait eu des problèmes”, a déclaré M. Pitman.
“Dès qu’ils ont branché la clé USB sur l’ordinateur, un écran d’avertissement est apparu indiquant qu’il y avait un virus.
“Pour obtenir de l’aide et résoudre le problème, ils devaient appeler un numéro sans frais pour remettre l’ordinateur en marche.
“Dès qu’ils ont appelé le numéro à l’écran, le service d’assistance a installé une sorte de TeamViewer (programme d’accès à distance) et a pris le contrôle de l’ordinateur de la victime.
“Ici, les pirates ont “trié” le problème, puis ont transmis la victime à l’équipe d’abonnement Office 365 pour l’aider à mener à bien l’action.
“La bonne nouvelle, c’est que la victime a utilisé une carte de crédit et n’a donné aucune donnée bancaire.”
Les transactions frauduleuses sur les cartes de crédit peuvent souvent être récupérées ou annulées, alors qu’il peut être extrêmement difficile d’amener une banque à rembourser l’argent qui a été retiré d’un compte si les criminels peuvent y accéder.
“J’ai demandé à la personne de raccrocher le téléphone et d’éteindre son ordinateur”, a déclaré M. Pitman.
“Après cela, j’ai procédé à une évaluation rapide des dommages et leur ai conseillé d’annuler leur carte de crédit, d’informer la banque d’effectuer un contrôle de précaution sur leurs comptes et de signaler l’incident à Action Fraud.”
M. Pitman a félicité une société de cybersécurité appelée Saepio pour l’avoir aidé à faire connaître l’arnaque.
“Je pense que les gens devraient savoir que cette menace existe”, a-t-il déclaré à Sky News.
Le porte-parole de Microsoft a déclaré : “Nous tenons à rassurer tous les utilisateurs de nos logiciels et produits que Microsoft ne vous enverra jamais de colis non sollicités et ne vous contactera jamais à l’improviste pour quelque raison que ce soit.
“Vous pouvez visiter cette page d’assistance pour obtenir des conseils sur la façon d’éviter les fraudes et les escroqueries.
“Si vous souhaitez signaler une activité frauduleuse, vous pouvez le faire en contactant Action Fraud ou en utilisant le Outil de création de rapports en ligne Microsoft.”
Un porte-parole de la National Crime Agency a déclaré que l’escroquerie n’était pas quelque chose dont son équipe d’incidents était consciente en tant que campagne organisée et s’attendait à ce que le crime soit traité au niveau de la police locale.
