
Soy un ávido usuario de un sitio de búsqueda inversa de teléfonos (sin nombrar ningún nombre) donde puedes buscar un número de teléfono reciente que haya llamado. Uno de los números tiene que ver con la infame estafa telefónica del "Soporte técnico de Windows".
Alguien había publicado en el hilo, afirmando que podían formar una especie de "conexión bidireccional". Dijeron que permitieron que el estafador se conectara con ellos en un sistema operativo sandbox a través de RDC, y que pudo obtener acceso a la PC del estafador y ver lo que estaba haciendo mientras el estafador continuaba con el script.
Me pregunto si esto es posible y cómo la "víctima" podría haberlo logrado.
Respuesta1
Es posible "sombrear" una conexión rdp, pero tendría que estar en el "sistema operativo sandbox" que fue comprometido... no en el host del atacante remoto. La persona que está siguiendo podrá ver todo lo que hace el usuario, pero solo en el host comprometido.
De forma predeterminada, un seguidor debe dar permiso explícito para permitir que se siga su sesión. Para poder remedar sin permiso, el administrador debe anular esto intencionalmente con una política de grupo configurada para permitir el remedo sin permiso del usuario.
Hay limitaciones:
- Sólo un administrador puede seguir sesiones.
- El seguimiento no está disponible en un grupo de trabajo.
¿Cómo seguir al usuario? Debe estar en un servidor (los servidores Windows permiten al menos 2 conexiones remotas). Primero obtenga el ID de sesión del usuario que desea seguir.
símbolo cmd > sesión de consulta
o abra el administrador de tareas y vaya a la pestaña "Usuarios" para encontrar el ID de sesión de un usuario.
Una vez que tenga el ID de sesión,
símbolo cmd>sombra <-SessionID->