技術支持欺騙集成了呼叫優化服務

賽門鐵克觀察到技術支持詐騙者使用流行的呼叫優化服務，將電話號碼動態插入詐騙網頁，並提供額外的功能，使騙局更加成功。

技術支持詐騙者繼續調整方法以確保能夠長期成功。我們之前概述了技術支持詐騙是如何通過利用「living off the land」的策略來避免被發現的。他們還使用其他方法來規避檢測，從簡單的JavaScript混淆到更先進的加密演算法，如高級加密標準AES。

在本博客中，我們將了解詐騙者如何利用合法的呼叫優化服務來提高詐騙效率。

一、呼叫優化服務

呼叫優化服務通常由企業使用，通過電話與他們的客戶互動。這些服務可以提供以下功能：

·跟蹤入站呼叫的來源

·電話號碼的創建和管理

·呼叫負載平衡

·呼叫轉發

·呼叫分析

·呼叫路由

·通話錄音

這些服務可幫助企業獲取其客戶有價值的見解，可用於幫助改善和優化營銷活動。然而，正如我們最近發現的那樣，現在技術支持詐騙者也在使用呼叫優化服務來優化他們自己的「行動」。

二、騙局

與許多技術支持詐騙一樣，它是在毫無戒心的用戶訪問惡意網站或通過各種方式（例如惡意網站或受感染網站）重定向到惡意網站時啟動的。

圖1. 詐騙頁面聲明計算機因惡意軟體感染而被阻止

詐騙網頁通知受害者計算機因惡意軟體感染而被阻止，並試圖誘使用戶撥打「免費」號碼尋求幫助。當用戶訪問詐騙網頁時，就會在後台播放聲明計算機被感染的音頻文件。

三、深入研究

首先瀏覽詐騙網頁的源代碼，可以看到負責播放音頻的代碼。

之後，我們遇到了一些有趣的JavaScript。

圖2.用於收集受害者使用的瀏覽器信息的腳本

圖2中的腳本獲取受害者所使用的瀏覽器的信息。執行瀏覽器指紋識別的技術支持詐騙並不是什麼新鮮事，但大多數詐騙只關注瀏覽器名稱。這個特殊的騙局更進了一步，還獲取了瀏覽器版本。根據瀏覽器名稱和版本號，受害者被重定向到不同的詐騙頁面，如圖3所示的代碼所示。

圖3.根據瀏覽器名稱和版本號，將受害者重定向到不同的詐騙頁面

在圖4中，我們可以看到一個腳本，它是流行的調用優化服務的高級JavaScript集成的一部分。

圖4.流行的呼叫優化服務使用的腳本

當詐騙URL中存在來自呼叫優化服務的特定標記時，該腳本將從伺服器中檢索詐騙者的電話號碼。當伺服器返回詐騙者的電話號碼時，標籤會觸發「Callback」函數。此函數負責檢索和顯示受害者呼叫的適當電話號碼。

如果來自呼叫優化服務的標籤不在詐騙URL中，則通過載入XML文件然後解析它以檢索該號碼，然後將其顯示在詐騙頁面上（參見圖5）。

圖5.用於載入XML文件的腳本，該文件包含要在詐騙網頁上顯示的電話號碼

通過在URL中使用呼叫優化服務的標籤，詐騙者可以動態的將電話號碼插入其欺詐頁面。這很有用，例如，如果受害者位於多個國家，則可以向受害者顯示一個電話號碼，該電話號碼會呼叫說本國語言的人。

四、其他可能的用途

使用呼叫優化服務來確保向每個受害者顯示正確的電話號碼，只是我們所知道的技術支持詐騙者正在使用的一個功能。詐騙者也可能利用這些有用服務提供的更多功能，例如在繁忙時段的呼叫負載平衡，將呼叫重新路由到其他「技術支持」代理，這樣就不會丟失任何客戶/受害者;跟蹤入站呼叫的來源，允許詐騙者定製他們的服務;訪問有關呼叫的詳細分析，這可以幫助詐騙者了解需要做些什麼來提高成功率。這些只是詐騙者可以合併的眾多功能中的一小部分。

呼叫中心、電子商務供應商、聯合網路以及各種小型到大型機構已經認識到使用呼叫優化服務來改善其業務，現在技術支持詐騙背後的犯罪分子已經開始這樣做了。

五、防範和保護

賽門鐵克主動保護客戶免受技術支持欺詐。我們的入侵防禦系統（IPS）通過使用各種檢測來阻止與此類詐騙相關的惡意網路活動，從而保護客戶免受技術支持欺詐。

從2018年1月1日到6月，賽門鐵克的IPS阻止了超過9300萬次技術支持詐騙。

圖6.賽門鐵克IPS阻止的技術支持騙局——2018年1月至6月

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！