打电话的人说：“我是从Windows技术支持打电话给你的。”假冒的技术支持骗子今天打电话给我们是个错误，我们一起玩，只是为了好玩。事情是这样的。

相关：告诉你的亲戚：不，微软不会打电话给你关于你的电脑

对于不知情的人来说，我们之前已经讨论过这个话题——多年来，这些骗子一直冷冷地给人打电话，声称自己来自微软，试图让他们相信自己的电脑有病毒，然后让“客户”付钱给他们解决问题。你可能以为**会制止这种事情……但几年后，这些骗局仍然存在。

今天，我们接到其中一个电话，决定一起玩。这是我们的故事。

“我从窗口给你打电话”

电话铃响了，一个陌生的来电者来自（404）891-5588，一个覆盖乔治亚州亚特兰大的区号。另一头的人好像在摸索什么东西，没有马上说什么。在背景中，你可以听到一个组织不好的呼叫中心的忙音，和有人在酒吧里给你打电话没什么区别。

“喂？“我是从Windows技术支持打电话给你的”，他一开始就说，口音很重，我几乎听不懂。“我们的服务器在您的电脑上检测到病毒。您知道吗？“. 这是他一周内第二次给我打电话——第一次我听不懂他在说什么，所以他挂断了我的电话，但这次我做好了准备。“不，我不知道。那是什么意思？”

他接着告诉我，我的电脑正在向他们的服务器报告病毒，他需要我验证我的消费者许可证ID，以确保它确实是我的电脑病毒。“你能记下这个号码吗？“他问，然后发出一个字母数字代码让我记下来。8，8，8，D代表狗，C代表猫，A代表苹果，6，0。我能把这个念给他听吗？是的，888DCA60，他确认了。

在这一点上，我争先恐后地在一个虚拟机上启动一个新安装的Windows副本，幸运的是我已经准备好了。

接下来他问我是否在电脑前，有一次，他让我同时按Windows键和R键，然后让我键入C、M、D，然后按enter。一旦我这样做了，他问我是否可以键入“assoc”并再次按回车键。想笑的欲望几乎让人无法忍受，但我的好奇心让我忍不住想看看他们要告诉我什么废话。

“你能读懂最长的一行吗？“我这么做了，注意到这些数字和我之前写下的数字是一样的，因为我终于开始了解这个游戏了。

长代码{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}实际上是一个CLSID，一个在Windows注册表中找到的全局唯一标识符，它用来告诉Windows注册表中处理该文件扩展名的位置。因为assoc.exe文件，他们让我键入的命令，实际上是用来显示哪些文件扩展名与哪些应用程序相关，与病毒完全无关。这个骗局的另一个好处是，ZFSendToTarget扩展总是快结束了，在你祖母看来很可怕。

“看，这和我们让你写的代码是一样的。这证实了我们正在从Windows给您打电话，您的计算机上有病毒”。啊…这会很有趣的。“你现在能在窗口中键入下列内容吗？”

他接着要求我输入eventvwr并按enter来打开事件查看器，此时我已经厌倦了向他验证我在屏幕上看到的每一件事。你在屏幕的左上角看到了什么？你在右上角看到了什么？这个冷电话脚本的精确性让人印象深刻，但当你知道接下来会发生什么时，却非常恼火。

当然，它只是通过关键错误来过滤系统事件日志，然后继续告诉我我的计算机显示了很多错误。他让我读出了所有事件的数量，然后故意告诉我，他看到的是同一件事。

在这一点上，他说，他要把我转到他更先进的技术支持人员，进一步研究这个问题。直到后来我才意识到，这是他们设计的一部分，让自己看起来像一个真正的呼叫中心，但从理论上讲（也是错误的）也可以避免因为欺骗你而惹上麻烦。

你要用奇怪的俄罗斯软件控制我的电脑？当然！

链上的下一个家伙——他更容易理解——接着让我在我喜欢的浏览器中输入一个URL（是的，他问我喜欢哪种浏览器），然后拼写出一个tinyurl.com网站一个字符一个字符的短网址，然后让我读给他听。按回车键，他说，然后再次用极其精确的脚本……“你现在在屏幕上看到了什么？“我被要求继续并单击Run按钮，然后脚本有点偏离目标，因为他忘了告诉我在UAC提示符下单击Yes。我想他说了些关于继续的事，但我很兴奋地看到接下来会发生什么，于是就跳了起来。是的，连接到我的虚拟机，你这个骗子！（不，我没有大声说出来）

我惊讶地发现，他们不像我读到的大多数骗子那样使用TeamViewer；相反，他们使用的是一个名为Ammyy Admin的怪异程序，似乎是由俄罗斯的某家公司开发的。常识应该告诉你你需要知道的一切，但一个小小的网络研究表明，这不是一个公司，你应该信任你的钱。或者你的电脑。避免。我没有，并告诉他身份证号码，点击记住和接受，让他进入我的电脑。如果你想知道，IP地址映射回服务器在美国。

在这一点上，这家伙继续看了一些事情，并通过了大多数相同的步骤，最后一个家伙刚刚要求我做。他解释说，他需要检查事件查看器，然后听起来他对自己的发现感到不安。他继续告诉我，我的电脑上到处都是病毒，事件查看器中的所有这些错误都非常糟糕。

他们越拉越近

他需要把我转到其他人那里，看看他们能不能诊断出这个问题。第三个人有不同的口音，更东方。虽然第一个人几乎听不懂，第二个人说得很清楚，但这种口音却大不相同，我立刻注意到了其中的差别。还是别的什么？

果然，不仅仅是口音：这家伙的剧本不一样。他听起来更有知识，少了一点脚本，没有任何问题的电脑导航。就在那时，我意识到他离我们更近了——他的工作就是完成交易，让你相信你的电脑被感染了，他们可以帮你修复。这也是它开始变得有趣的时候。

首先，他告诉我他需要扫描一下我的电脑，看看到底发生了什么。他是通过打开命令提示符并运行tree/f命令来实现的。你做过这个吗？它需要相当长的时间…因为它列出了每一个文件夹和文件在您的计算机上的“树”格式，当然，这与病毒扫描无关。就像在命令提示符下键入dir或ls一样，它只显示文件列表。

这就是他变得非常狡猾的地方。当命令运行时（在我的虚拟机上大约一分钟），他正在键入“security break..trojans found..”。当然，你看不到他在输入什么，因为所有的东西都在滚动，shell一直保存输入直到输出完成。因此，一旦他输入完消息，他就使用CTRL+C来阻止tree命令永远执行下去。现在你看到他的假错误信息。你得承认，这有点可怕。

“哦，”他说，“那不好。发现安全漏洞和特洛伊木马。你知道什么是特洛伊木马吗？“. 他继续告诉我所有关于木马如何感染我的电脑，他将需要进一步调查，但这绝对不是一件好事。我的电脑慢吗？我在网站上收到过错误信息吗？

175美元清洗我的电脑？

他很肯定我很信服，我希望我在引导他方面做得很好。他说：“你需要有人来清除你的电脑上所有的病毒和特洛伊木马。你可以把它送到当地的修理厂，或者我们可以帮你打扫。”我回答说：“好的，那要花我多少钱？”？“他开始漫无目的地说这将花费175美元，但这不仅会清洁我的电脑，而且会给我一年的支持。

清理过程将需要1至2个小时，在此期间，他们将安装Windows Defender并对我的整个电脑进行扫描，并确保所有内容都已清理和更新。当然，他需要把我转到其他人那里去收我的钱，然后修理。

我有点怀疑。他看得出来。他不知道的是我在笑，尽量不让他听到。

他继续打开我的系统信息，开始四处寻找，这时我意识到jig可能启动了——我的意思是，它是一个虚拟机。系统型号是VirtualBox，计算机名是WIN81VM10……他怎么会不注意到呢？不知怎的，他没有，并继续告诉我，我的BIOS是真的过时了，并没有更新，自2006年以来，完全忽视了我的BIOS是由“VirtualBox”…但慢慢地碎片开始到位。他开始问我什么时候拿到电脑，上次更新是什么时候。他在尽最大努力推销我，但此时我笑得像疯了一样，试图遮住电话让他注意不到。

他注意到虚拟机只有1.49gb的RAM，当然一点也不正常，在真正的计算机中也不可能。他仍然试图告诉我，我的电脑有问题，但他一直对RAM感到困惑，然后他意识到，如果我“刚买了电脑”，它就不会有2006年的BIOS。

我再也受不了了，所以我直截了当地问他：“人们真的为这个骗局付给你175美元吗？”. 他知道吉格舞开始了，开始紧张地笑了一会儿，但他拒绝打破性格或给我更多的信息。他开始问我为什么要指控他试图欺骗任何人。他只是想帮我清除电脑上的病毒和木马。有趣的是，他开始从字典里读“骗局”的定义，然后告诉我我是个不好的骗子。他一直都知道我是电脑迷。

我开始问他到底在哪里，他说萨克拉门托。我指出他的区号来自亚特兰大，他说他没有时间回答愚蠢的问题。我问他是否真的像他声称的那样来自微软。就在这时他指出他从来没有说过这样的话。他从来没有向我要过信用卡，也没有想骗我钱。他没有做错什么。如果这是个骗局，他为什么要建议我把它送到修理厂去？（他至少重复了10次。这不可能是巧合）。这就是他坚持至少15分钟的游戏，试图让他承认自己的手术。

你看，第一个家伙打电话说他是“Windows”的，你有病毒。然后第二个家伙让你连接，第三个家伙告诉你这会花你的钱，然后把你转到第四个家伙那里，我们假设他会拿走你的钱，对你的电脑不做任何有用的事情，可能会在上面安装特洛伊木马，然后让你觉得自己像个傻瓜。

这就是我浪费41分钟和一个骗子玩的故事。