Schlagwort-Archive: ACHTUNG

Microsoft-Mitarbeiter am Telefon: ACHTUNG ! So funktioniert die Masche

Microsoft-Mitarbeiter am Telefon: ACHTUNG ! So funktioniert die Masche

Immer wieder hört man davon:
Angebliche Mitarbeiter des Microsoft-Supports rufen wahllos Leute an und erzählen ihnen, dass auf ihrem Computer ein Virus entdeckt worden sei. Sie bieten die Beseitigung an, was natürlich mit Kosten verbunden ist – außerdem werden per Fernzugriff in nicht wenigen Fällen zusätzlich echte Viren und Trojaner auf den PCs der Opfer installiert. Aber wie funktioniert das eigentlich? Wie bringen die Betrüger ihre Opfer dazu, ihnen diese Geschichte zu glauben und sie am Ende sogar auf ihren PC zu lassen? Tech-Blogger Lowell Heddings wurde ebenfalls angerufen. Er wusste sofort, was Sache ist, ließ sich zum Schein aber darauf ein und dokumentierte den Ablauf auf seiner Seite How-ToGeek. Ich gebe den Ablauf hier in deutscher Sprache wieder, ergänzt um meine eigenen Kommentare.
Vorab aber noch eine Sache: Wenn es um Schadsoftware oder Betrügereien am PC geht, höre ich von neunmalklugen Zeitgenossen immer mal wieder den Satz: ‚Wer so dumm ist, darauf rein zu fallen, der hat es nicht besser verdient.‘ Darüber könnte ich mich jedes Mal ganz fürchterlich aufregen. Natürlich, bei dem was gleich kommt, wird ein erfahrener Computernutzer sich an den Kopf fassen – aber denkt einfach mal an die Leute, die Euch regelmäßig um Hilfe bitten – oder besser noch: Denkt an ein Thema, von dem Ihr selbst keinen Plan habt, und überlegt Euch, wie leicht es wäre, Euch mit ein bisschen Fach-Chinesisch auf’s Glatteis zu führen. Also mir fallen da jede Menge Themen ein, bei denen man mich so richtig hoch nehmen könnte. Aber die verrate ich Euch jetzt nicht…
Also, bei Lowell Heddings klingelt das Telefon, und eine freundliche Stimme sagt: ‚Hallo, ich rufe vom Windows-Kundendienst an. Unsere Server haben auf ihrem Computer einen Virus entdeckt. Wissen Sie darüber bescheid, dass Ihr PC infiziert ist?‘ ‚Nein‘, antwortet Heddings, ‚davon wusste ich nichts. Was hat das zu bedeuten?‘ Der falsche Techniker erklärt ihm, dass sein Computer einen Virusbefall gemeldet habe. Um sicher zu gehen, dass es sich auch wirklich um seinen Computer handelt, müsse nun die Lizenz-ID abgeglichen werden. Er bittet, Heddings, sich den Code zu notieren, dieser lautet: 888DCA60. Nun weist der Anrufer Heddings an, eine Kommandozeile zu öffnen, den Befehl ‚assoc‘ einzugeben und Enter zu drücken. Die längste Zeile, die nun angezeigt wird, soll  er laut vorlesen.

Und siehe da, der Code 888DCA60 stimmt exakt überein. Zauberei? Mitnichten! Der Befehl ‚assoc‘ liefert als Ausgabe lediglich die Zuordnung von Dateiendungen, wie sie in der Registry gespeichert sind. 888DCA60 ist der Beginn der CLSID, welche auf den Pfad in der Registry verweist, und dieser Wert ist logischerweise auf allen Windows-Systemen gleich. Clever gemacht: Der Anrufer diktiert seinem Opfer erst den Code und lässt es anschließend selbst heraus finden, dass dieser mit seinem PC überein stimmt. Damit ist der ‚Beweis‘ erbracht, dass es sich auch wirklich um den PC des Angerufenen handelt.
Diesem wird nun weiter das Händchen geführt: Der Anrufer erklärt ihm, wie er die Ereignisanzeige aufruft und die Ansicht so filtert, dass nur kritische Fehler angezeigt werden.

Oh Schreck, alles rot! Jeder, der die Ereignisanzeige schon mal benutzt hat weiß, dass es auf einem Windows-System ständig zu irgendwelchen Fehlern kommt, auch wenn das System einwandfrei läuft und man davon gar nichts mit bekommt. Der unerfahrene Nutzer wird sich davon aber leicht schockieren lassen. Der Anrufer zündet nun die nächste Stufe: Er erklärt seinem Opfer, dass sein System offenbar besonders stark befallen ist und er ihn deshalb an einen technisch versierteren Kollegen weiter verbinden muss. Dieser wiederum veranlasst Heddings, eine Webseite aufzurufen, sich von dieser eine Fernwartungssoftware mit dem Namen ‚Ammy Admin‘ herunterzuladen und diese auszuführen. Darauf hin verbindet sich der Anrufer mit dem PC, führt einige Befehle aus, schaut erneut in die Ereignisanzeige und verkündet schließlich, dass da wirklich sehr viele Viren seien und seine Kenntnisse dafür auch nicht ausreichen würden – erneut wird also weiter verbunden und der dritte ‚Techniker‘ betritt die Szene.
Dieser greift nun so richtig tief in die Trickkiste. Er erzählt, dass er zunächst einen Scan seines Computers durchführen müsse. Dazu startet er den Befehl ‚tree /f‘. Dieser tut nichts anderes, als jeden Ordner und jede Datei auf der Festplatte in einem Baumformat auszugeben, mit einem Virencheck hat das natürlich rein gar nichts zu tun. Während der Befehl läuft, tippt er eine Warnmeldung ein und unterbricht den Ablauf dann mit der Tastenkombination Strg+C. Davon bekommt der Angerufene natürlich nichts mit, er sieht nur, wie der Scanvorgang mit der Warnmeldung, dass ein Trojaner gefunden wurde, abgebrochen wird. Probiert das ruhig selbst mal aus, das geht ganz einfach:

Das sei überhaupt nicht gut, murmelt der falsche Experte nun. Er fragt, ob der Computer manchmal langsam reagiert oder auf Webseiten Fehlermeldungen angezeigt werden. Also wieder so eine Frage, die mit hoher Zuverlässigkeit ein ‚Ja‘ als Antwort zur Folge hat. Wiederum sehr clever: Es wird nun nicht versucht, das Opfer direkt in die Kostenfalle zu locken. Stattdessen erklärt man ihm, er müsse sich Hilfe besorgen, um seinen Computer von den vielen Viren zu befreien. Er könne einen Freund um Hilfe bitten oder seinen PC zu einem Fachgeschäft bringen. Alternativ könne man den Fehler aber auch hier und jetzt zum Pauschalpreis von 175 Dollar beseitigen – in dem Preis sei außerdem ein Jahr Support enthalten. Die Bereinigung werde ein bis zwei Stunden dauern und in dieser Zeit werde sein PC gründlich untersucht, damit nachher auch wirklich alles einwandfrei funktioniert. Für diesen Vorgang wird nochmals weiter geleitet, so dass der Angerufene es insgesamt mit vier (!) Personen zu tun hat.
An dieser Stelle brach Heddings dann das Experiment ab und gab sich zu erkennen, aber der enttarnte Betrüger legte nicht etwa auf, sondern versuchte weiterhin, ihn von der Echtheit der Geschichte zu überzeugen und versicherte mehrfach, dass er keineswegs Böses im Schilde führe.
Also mir fallen auf Anhieb mehrere Leute ein, bei denen ich ziemlich sicher bin, dass sie darauf herein fallen würden. Und diese Leute sind gewiss nicht doof. Hier in Deutschland werden viele Angerufene misstrauisch, weil die Anrufer fast immer englisch sprechen. Bei überzeugendem Auftreten in sauberem Deutsch wäre die Erfolgsquote sicher deutlich höher.
An der Tatsache, dass bis zu vier Anrufer involviert sind, kann man ablesen, dass es sich hierbei dennoch um ein erschreckend lukratives Geschäft handeln muss.
Mehr Infos bei Microsoft:

Warnung vor Telefon-Betrug
In jüngster Zeit häufen sich wieder Betrugsversuche von Cyberkriminellen: Mit Telefonanrufen, bei denen sich die Betrüger als angebliche Microsoft-Mitarbeiter ausgeben und versuchen, die Opfer zu schädigen.

Weitere Informationen