Dienstag , 28 März 2017

Filmreif: Wenn ein Betrüger einem Experten von Emsisoft auf den Leim geht

Hierbei geht es um den sogenanten Microsoft-Tech-Support-Betrug der so schon seit Jahren im Internet kursiert. Letzte Woche gerieten Emsisoft und Bleeping Computer an einen solchen Betrüger; drei Stunden lang hatten wir mit ihm zu tun und stellen Ihnen hier detailliert Informationen bereit, wie diese Betrugsmasche vonstatten ging.

Jemand ruft Sie an, behauptet, er arbeite für Microsoft, und will Ihnen einreden, dass Ihr eigentlich einwandfreier PC (vermeintlich) infiziert sei. Wenn Sie sich erfolgreich einschüchtern lassen, stellt diese Person eine Remote-Verbindung auf Ihren PC her, um “dort einmal nach dem Rechten zu sehen”.

Ab dann können ein paar unschöne Dinge passieren, z. B. Malware installiert werden, Daten gestohlen werden oder andere furchteinflößende Dinge, letzten Endes der Versuch, Ihnen irgendein teures Programm anzudrehen, das noch nicht einmal funktioniert – oder gar nicht existiert.

Weltweit werden Menschen jeden Tag von Microsoft-Betrügern kontaktiert, und allzu oft fallen sie auf diese Betrüger herein.

So läuft’s

Schritt 1: Das Opfer unvermittelt anrufen und dann mit tollen technischen Modewörtern das Blaue vom Himmel herunterlügen

Wie viele Betrügereien beginnt auch diese mit einem unvermittelten Anruf. In diesem Fall war es einer unserer Freunde bei Bleeping Computer – wohl einer der schlimmsten Menschen, an den ein solcher Betrüger geraten könnte.

Der Betrüger, den wir hier einmal Herr Z. nennen, beginnt sein falsches Spiel und stellt sich als Support-Mitarbeiter von Microsoft vor. Herr Z. erzählte unserem Freund, er rufe in einer dringenden Angelegenheit an. Das Problem bestehe darin, dass der Computer unseres Freundes Fehler an die Windows-Server melde, ein kritisches Problem, das es zu beheben gelte.

Unser Freund, ein ehrenamtlicher Support-Techniker, wusste sofort, an wen er geraten war. Es gibt keinen sogenannten “Windows-Server”, mit dem sich alle Microsoft-Rechner auf magische Art und Weise verbinden, und Techniker von Microsoft rufen nicht einfach so ihre Kunden wegen kritischer Fehler an, die es zu beheben gelte.

Es handelte sich schlichtweg um eine Betrugsmasche.

Schritt 2: Mit der Windows-Ereignisanzeige furchterregende Dinge zeigen, die das Opfer noch nie zuvor gesehen hat

Unser Freund entschied sich jedoch, das Spiel mitzuspielen. Er heuchelte Unwissen vor und schluckte den Köder. Er sagte zu Herrn Z., sein Computer habe ein merkwürdiges Verhalten an den Tag gelegt, und fragte den Herrn, woher er von dem Problem wisse. Darauf war dieser wohl vorbereitet und gab erste Anweisungen.

Öffnen Sie bitte die Eingabeaufforderung. Dort geben Sie eventvwr ein und bestätigen mit Eingabe.

cmd-eventvwr
image-9806

In bester Betrügermanier nutzte Herr Z, einen den ältesten Tricks der Welt. Die Windows-Ereignisanzeige ist lediglich ein Verwaltungstool, das Informationen zu wichtigen Ereignissen anzeigt, die sich auf Ihrem PC zutragen. Betrüger machen sie sich zu Nutze, da “wichtige Ereignisse” oftmals nichts anderes als kleine Störungen wie Programmabstürze oder gescheitere Aktualisierungen sind. Im Laufe der Zeit werden diesen Störungen bei den meisten Computern als Ereignis protokolliert und als Warnung oder Fehler angezeigt, selbst wenn sie nicht zwangsläufig kritisch sind – oder gar von Otto Normalverbraucher bemerkt werden.

event_viewer_warnings
image-9807

Als jemand, der täglich mit Computern arbeitet, kannte unser Freund den Trick mit der Ereignisanzeige nur zu gut, aber er spielte dennoch weiter mit. Er heuchelte Besorgnis vor und fragte Herrn Z, ob all diese Warnungen und Fehler in der Ereignisanzeige ein Problem darstellten.

Mit größtem Ernst bejahte Herr Z. die Frage.

Schritt 3: Das Opfer TeamViewer herunterladen und eine Remote-Verbindung herstellen lassen

Zu diesem Zeitpunkt entschied sich unser Freund, uns an diesem Vorfall teilhaben zu lassen. Da er bereits von dieser Maschen gehört hatte, war er sich im Klaren darüber, dass der Betrüger als Nächstes mit Hilfe einer Remote-Verwaltungs-Software eine Verbindung zu seinem Computer herstellen würde. Derartige Verbindungen sind potenziell gefährlich, da ein Fremder darüber Ihren Computer fernsteuern kann.

Glücklicherweise besitzen Malware-Experten nützliche Tools namens virtuelle Maschinen. Eine virtuelle Maschine ist im Grunde ein Emulator für Betriebssysteme, mit Hilfe dessen ein Experte Malware in ihrer natürlichen Umgebung untersuchen kann, ohne jedoch seinen eigenen Computer infizieren zu müssen. Unser Freund wusste, dass unsere Experten bei Emsisoft täglich virtuelle Maschinen einsetzen, und da er selbst keine solche besaß, verwies er den Betrüger an uns weiter.

Wie zu erwarten war, erwiderte Herr Z. unserem Freund gegenüber, die einzige Möglichkeit, die Warnungen und Fehler in seiner Ereignisanzeige, bestehe darin, TeamViewer herunterzuladen und ihm Remote-Zugriff zu gewähren. Auch hier spielte unser Freund erneut mit; jedoch gewährte er Herrn Z- nicht Zugriff zu seinem Computer, sondern gab ihm den Zugriffscode für unseren.

So werden die Opfer eingeschüchtert

Hier wird es nur wirklich interessant.

Herr Z. steht in Verbindung mit einer unserer virtuellen Maschinen in Europa. Unser Freund, der in Nordamerika lebt, erzählt ihm, er gebe nun die Kontrolle an seine Tochter ab, da die ganze Sache mit TeamViewer ihm zu kompliziert sei. Herr Z. spricht also nicht mehr mit unserem Freund bei Bleeping Computer. Er befindet sich in einer TeamViewer-Sitzung. Und zwar mit uns.

Bei einer typischen Microsoft-Support-Betrügerei beginnt hier normalerweise der Anfang vom Ende. Der PC wird mit Malware infiziert, sensible Dateien werden kopiert, verdeckte Backdoors für späteren Zugriff installiert – und noch vieles mehr. Herr Z. könnte alles tun, und darauf waren wir vorbereitet. Um Herr Z. auf die Probe zu stellen, hatten wir sogar unsere virtuelle Maschine mit Malware infiziert, um zu sehen, ob er es bemerken würde – aber das tat er nicht.

Von Anfang bis Ende verfolgte Herr Z. ein Hauptziel: uns glauben machen, etwas sei nicht in Ordnung, und uns dann sein “Hilfsprogramm” anzudrehen, das alles wie von magischer Hand richten würde.

Schritt 4: Wiederholt auf das Problem mit der Ereignisanzeige hinweisen

Der erste Versuch von Herrn Z., uns Angst einzujagen, bestand in der Wiederholung der Masche mit der Ereignisanzeige. Denn schließlich waren wir ja die “Tochter” des ursprünglichen Gesprächspartners und mussten wissen, was los sei.

Lüge:

MRZ-PC (20:04):
Ich zeige ihnen dass hier noch einmal, da wir vorhin unterbrochen wurden

EMSISOFT-WIN764 (20:05):
OK

MRZ-PC (20:06):
Dies hier sind die Fähller und Warnungen, die ihren Computer beeinträchtigen
OK?

EMSISOFT-WIN764 (20:06):
Wo denn?
Ich sehe keine Fehler
Können Sie mit der Maus darauf zeigen?

MRZ-PC (20:06):
Sie wissen, ihr Computer ist sehr lanngsam
Hier sin die Fähller , OK

event_viewer_warnings_boxed
image-9808

MRZ-PC (20:04):

Ich zeige ihnen dass hier noch einmal, da wir vorhin unterbrochen wurden

EMSISOFT-WIN764 (20:05):

OK

MRZ-PC (20:06):

Dies hier sind die Fähller und Warnungen, die ihren Computer beeinträchtigen

OK?

EMSISOFT-WIN764 (20:06):

Wo denn?

Ich sehe keine Fehler

Können Sie mit der Maus darauf zeigen?

MRZ-PC (20:06):

Sie wissen, ihr Computer ist sehr lanngsam

Hier sin die Fähller , OK

– See more at: http://blog.emsisoft.com/de/2014/08/29/wenn-ein-betruger-einem-sicherheitsexperten-auf-den-leim-geht/#sthash.A1sOjVV8.dpuf

EMSISOFT-WIN764 (20:07):
Ja, jetzt verstehe ich
Das sieht schlimm aus
Können Sie das beheben?

Wahrheit:

Die Ereignisanzeige ist ein normaler Bestandteil Ihres Windows-PCs, und die protokollierten Warnungen und Fehler sind lediglich kleine Störungen. Um selbst auf die Ereignisanzeige zuzugreifen, öffnen Sie die Systemsteuerung und klicken auf System und Sicherheit > Verwaltung > Ereignisanzeige.

Schritt 5: Dem Opfer von “gutartigen Dateien” und “bösartigen” Dateien erzählen

Bevor er sich “an die Reparatur mache”, wollte Herr Z. uns jedoch erst ein wenig aufklären. Uns ein paar kleine Fehler zu zeigen war zum Erreichen seines eigentlichen Ziels nicht genug. Wie alle Betrüger musste Herr Z. uns falsch informieren und Angst einjagen. Kurz gesagt zeigte uns Herr Z., welche Dateien unserer Computers gutartig und welche bösartig seien.

Laut ihm könne man gutartige Dateien löschen, bösartige dagegen nicht.

Lüge:

MRZ-PC (20:07):
OK, versuchen sie ein mal, sie zu löschen
Ja, ich möchte ihnen helfen, aber zunächst ein mal sollen sie selbst versuchen, sie zu löschen, und falls dass nicht geht, bin ja ich hier /

EMSISOFT-WIN764 (20:08):
Hm, OK

event_viewer_no_delete
image-9809

MRZ-PC (20:09):
Sehen Sie? Es gibt keine Möglichkeit zum löschen
Das bedeutet, sie können sie nicht selbst löschen
OK

MRZ-PC (20:10):
Ja, sie können sie nicht selbst löschen, weil einige der Fähller ler und Warnungen hängen mit Viren zusammen und können nicht einfach so gelöscht werden

EMSISOFT-WIN764 (20:11):
Ah, verstehe

MRZ-PC (20:12):
Sehen Sie? Ich klicke auf TeamViewer und erhalte die Möglichkeit zum löschen, weil TeamViewer ist eine gutartige Datei; gutartige Dateien können immer gelöscht werden, bösartige dagegen nicht. Denken sie in Zukunft daran, und sie werden beide unterscheiden können

shortcut-225x300
image-9810

EMSISOFT-WIN764 (20:13):
Oooh, also haben gutartige Dateien eine Möglichkeit zum Löschen, bösartige aber nicht, alles klar!

MRZ-PC (20:14):
Diese Fähller und Warnungen beeinträchtigen die Dienste ihres Computers; Dienste laufen auf ihrem Computer und sind für ihn sehr wichtig
Hier zeige ich ihnen nun die Dienste

Wahrheit:

Die “Dateien”, die Herr Z. uns löschen lassen wollte, waren einfach nur protokollierte Ereignisse der Ereignisanzeige. Außerdem hat die Tatsache, ob eine Datei gelöscht werden kann oder nicht, nichts mit ihrer Bösartigkeit zu tun.

Schritt 6: Das Opfer auf die “Gefahren” beendeter Dienste hinweisen

Jetzt, da wir Bescheid wussten über unsere “bösartigen” Dateien, die wir nicht löschen könnten, machte uns Herr Z. klar, warum diese Dateien ein so großes Problem darstellten. Laut Herr Z. deaktivierten die bösartigen nicht löschbaren Dateien unsere Dienste – und sobald alle unsere Dienste deaktiviert seien, bedeute dies das Ende unseres Computers.

Lüge:

MRZ-PC (20:16):
Dass sind also sehr wichtige Dienste für ihren Computer, und wie sie sehen, funktionieren soviele nicht mehr…

stopped_services
image-9811

EMSISOFT-WIN764 (20:17):
Ich verstehe

MRZ-PC (20:17):
OK

EMSISOFT-WIN764 (20:17):
Ich denke, in der mittleren Spalte steht “Beendet”, nicht “Beenden”

MRZ-PC (20:18):
Dass kommt auf das gleiche hinaus
ok

EMSISOFT-WIN764 (20:19):
Ja

MRZ-PC (20:21):
OK
Wie sie sehen, wurden 70 % der Dienste auf Ihrem Computer beendet, während nur 30 % aktiv verbleiben; dass verheist nichts gutes

EMSISOFT-WIN764 (20:24):
Kann ich sie nicht einfach wieder starten?

MRZ-PC (20:24):
So bald all diese Dienste beendet wurden, funktioniert Ihr Computer niht und sie können ihn garnicht mehr benutzen
Und sie müssen die Dienste neuinstallieren
OK

EMSISOFT-WIN764 (20:25):
OMG, würde das bedeuten, dass wir einen neuen Computer brauchen?

MRZ-PC (20:25):
Nein nein, da für bin ich ja da und helfe ihnen bei der Reperatur der Dienste
OK
Werfen wir nun einen Blick auf ihr Anti Viren Programm

EMSISOFT-WIN764 (20:26):
Uffff, in Ordnung, jetzt hatte ich doch kurz Angst

Wahrheit:

Dienste sind einfache Hintergrundprozesse, die vielerlei Aufgaben auf Ihrem Computer ausführen. Sie erscheinen nicht auf der grafischen Benutzeroberfläche und arbeiten stattdessen hinter den Kulissen. Um anzuzeigen, welche Dienste auf Ihrem PC aktiv sind, drücken Sie einfach Strg + Alt + Löschen, was den Task-Manager öffnet; dann klicken Sie auf den Tab “Dienste”. Hier sehen Sie, dass einige Dienste aktiv sind, andere dagegen nicht. Das stellt kein Problem dar. Dienste sind derart konzipiert, dass sie bei Bedarf automatisch starten und beendet werden; und wie Elise bei 20:24 darlegt, kann ein beendeter Dienst manuell gestartet werden. Dazu klicken Sie einfach mit der rechten Maustaste darauf.

Schritt 7: Das Opfer auf sein “nutzloses” Anti-Viren-Programm hinweisen

Nachdem er uns auf die Probleme unseres Computers hingewiesen hatte, brauchte Herr Z. einen Sündenbock. Computer hören nicht einfach von allein auf zu funktionieren, mit Verlaub. Als Erklärung dafür, warum wir unlöschbare Dateien hatten, die unsere Dienste deaktivierten, schob Herr Z. unserem “nicht kompatiblen” und “nutzlosen Anti-Viren-Programm” die Schuld zu… Emsisoft Anti-Malware!

Lüge:

MRZ-PC (20:29):
Prüfen wir mal den Status ihres Anti Viren Programms
OK
Ich klicke nun auf Compatibilität

MRZ-PC (20:29):
Hier sehe ich nun

MRZ-PC (20:30):
Dieses Programm im Compatibilitätsmodus für Windows XP Service Pack 3 aus führen.

scammer
image-9812

EMSISOFT-WIN764 (20:30):
Aber ist diese Option nicht deaktiviert?

MRZ-PC (20:30):
Das bedeutet, das ihr Anti Viren Programm nicht auf dem Computer läuft
OK

Wahrheit:

Klicken Sie mit der rechten Maustaste auf die Verknüpfung zu Emsisoft Anti-Malware, wählen Sie “Eigenschaften” und klicken Sie dann auf den Tab “Kompatibilität”. Dort sehen Sie eine Auswahlliste “Kompatibilitätsmodus”, mit der Sie manuell das Betriebssystem für Emsisoft auswählen können. Dieses Menü diente Herrn Z. als Beweis dafür, dass Emsisoft Anti-Malware nicht mit unserem Computer kompatibel sei!!!

Nun, wir gaben uns dumm… aber nicht dermaßen dumm, sodass wir dieses Kompaibilitätsproblem mit einem Scan zu entkräften suchten.

Weitere Lügen:

EMSISOFT-WIN764 (20:31):
Aber es läuft doch, kann ich dem Programm also vertrauen?
Ich denke, ich habe ein weiteres Anti-Viren-Programm…

MRZ-PC (20:31):
Wenn sie ein gutes Anti Viren Programm auf ihrem Computer hätten, dann würden diese Fähllern und Warnungen nie mals auf ihrem Computer auftauchen

EMSISOFT-WIN764 (20:32):
OK, dann lasse ich das auch mal laufen
Schau mal einer an, es hat etwas gefunden!!!!

MRZ-PC (20:33):
Es behauptet nur, es läuft, tut es aber in Warheit nicht. Deshalb finden sich soviele Fähller und Warnungen auf ihrem Computer

EMSISOFT-WIN764 (20:33):
Verdammt…

MRZ-PC (20:33):
Ist dass ein kostenpflichtiges oder kostenloses Anti Viren Programm?

EMSISOFT-WIN764 (20:33):
In Ordnung, dann klicke ich nicht auf diese Meldung.
Mein Vater hat aber darauf geklickt
Oder er hatte eine kostenlose Jahreslizenz

MRZ-PC (20:34):
Wieviel haben sie bezahlt? Haben sie jährlich, monatlich oder dergleichen bezahlt?

EMSISOFT-WIN764 (20:34):
Ich frage ihn…

MRZ-PC (20:34))
OK

EMSISOFT-WIN764 (20:34):
Er meinte, er zahle 30 Dollar im Jahr
Er habe aber eine kostenlose Lizenz von einem Freund bekommen

MRZ-PC (20:35):
Oh wirklich, sie zahlen 30 Dollar für dieses nutzlose Anti Viren Programm?
OMG

EMSISOFT-WIN764 (20:36):
Nun, keine Ahnung, aber es erkennt einige Sachen, auch wenn es offenbar nicht viel hilft

MRZ-PC (20:37):
Schauen sie mal, es isst nutzlos; würde es wirklich was taugen, so hätten sie nicht all diese Fähller auf ihrem Computer
OK

EMSISOFT-WIN764 (20:37):
Das stimmt
Was sollte ich Ihrer Meinung am besten verwenden?

Weitere Wahrheiten:

Emsisoft Anti-Malware lief in der Tat. Es erkannte die Malware, die in die virtuelle Maschine geladen worden war, bevor die TeamViewer-Sitzung überhaupt erst losging!

Schritt 8: Das Gehirn des Computers scannen

Jetzt da Herr Z. uns auf unser fehlerhaftes Handeln hingewiesen hatte, war es an der Zeit, die Lösung des Problems anzugehen. Wie er uns klar gezeigt hatte, hatten wir ein nutzloses Anti-Viren-Programm, das unlöschbare Dateien unsere Dienste deaktivieren ließ! Für eine genauere Diagnose begann Herr Z. mit einem Scan des Gehirns unseres Computers.

Lüge:

MRZ-PC (20:38):
Scanen wir nun ein mal dass Gehirn ihres Computers und warten wir die Ergebnisse ab; falls ess noch weitere Probleme gibt, werden wir dass dann sehen
OK
Legen wir Mal loss

EMSISOFT-WIN764 (20:38):
OK

MRZ-PC (20:38):
Wass die Beste Anti Viren Lösung für ihren PC an geht

MRZ-PC (20:45):
Warten sie nur, dass wird ein Wenig dauern
OK

EMSISOFT-WIN764 (20:45):
Ja

MRZ-PC (20:46):
Sehen sie sich Mal dass Erste Fenster an
Wass stet dort?

brain_scan
image-9813

EMSISOFT-WIN764 (20:47):
Hmm
Da steht etwas von einem Trozen
Was heißt das?
An zweiter Stelle steht was von einer Warnung
Und dann etwas über die Lizenz

MRZ-PC (20:47):
Ja, wissen sie, wass ein Trojaner Virus isst?

EMSISOFT-WIN764 (20:48):
Ja, nichts Gutes, ich weiß

Wahrheit:

Herr Z. hat nicht das Gehirn unseres Computers gescannt. Stattdessen gab er einfach tree c:\ /f in die Eingabeaufforderung ein. Dabei handelt es sich um einen harmlosen Befehl, der eine “baumartige” Darstellung des jeweiligen Verzeichnisses in der Eingabeaufforderung produziert. In diesem Falle war die Darstellung recht lang, weshalb es einfach wie ein Scan aussah. Probieren Sie es einfach einmal selbst und öffnen Sie ein Fenster der Eingabeaufforderung (suchen Sie danach mit der Windows-Suchfunktion), geben Sie tree c:\/f ein, drücken Sie “Eingabe”, und voilà – auch Sie haben “das Gehirn Ihres Computers gescannt”.

Werfen Sie einen genaueren Blick auf den “Gehirnscan” von Herrn Z., und Sie sehen ebenso 3 Meldungen am Ende:

Warnung:

trozen virus found -250

computer liscebse will expire will expire in two week

Diese Meldungen haben zunächst einmal rein gar nichts mit dem Befehl tree c:\/ zu tun. Wenn Sie den Befehl selbst eingeben, sehen Sie keinen von diesen nach Ausführung des Befehls. Wie hat Herr Z. nun einen Gehirnscan reproduzieren können, der diese Ergebnisse zu Tage förderte?

Er gab sie einfach in die Eingabeaufforderung ein. Und offenbar nutzte er dazu eine kaputte Tastatur.

Genau wie Sie Ihren Computer anweisen können, den Befehl tree c:\/ auszuführen (oder jeden anderen Befehl), können Sie ihn zur Ausführung des Befehls warning!!! anweisen.Dabei handelt es sich jedoch um keinen Befehl, den die Eingabeaufforderung erkennen würde. In der Tat erkennen Sie bei genauerem Hinsehen, das diese mangelende Erkennung die prompte Antwort ist.

Schritt 9: Auf die unfehlbaren Götter Google und Wikipedia verweisen

Herr Z. ging nun aufs Ganze. Mit Hilfe seines umfassenden technischen Fachwissens und eines höchst effizienten Gehirnscans hatte er uns aufgezeigt, dass unser Computer mit “Trozens” infiziert war. Herr Z. wollte jedoch ganz sichergehen, dass wir uns der Gefahr bewusst sind. Er wollte uns klipp und klar zu verstehen geben, was diese “Trozens” waren… und dafür gab es für ihn kein besseres Mittel als Wikipedia und Google.

MRZ-PC (20:48):
Lassen sie mich nun ein mal zeigen, wass Trozens sind
OK

EMSISOFT-WIN764 (20:49):
Ja

MRZ-PC (20:51):
Gleich sehen sie ess
Ich gebe nun Trozen auf google ein…
OK

EMSISOFT-WIN764 (20:53):
Ja

MRZ-PC (20:53):
Warten sie…

EMSISOFT-WIN764 (20:53):
Es wird Text angezeigt…

MRZ-PC (20:53):
Warten sie nur, ich bin gerade da bei, fassen sie nix an
OK, lesen sie nun die markierte zeile
Ess geht um Trojaner Viren

wikipedia_trojan_highlight
image-9814

EMSISOFT-WIN764 (20:55):
OK
Ich verstehe
Das hört sich nicht gut an

MRZ-PC (20:55):
Hmmmm
Da runter sehen sie “Charakteristiken”

EMSISOFT-WIN764 (20:56):
Ja

MRZ-PC (20:57):
Dort heist es: “Trojanische Pferde sind Programme, die gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können,
und dem Anwender nicht genannte Funktionen ausführen
Und weiter unten

EMSISOFT-WIN764 (20:57):
Ja

MRZ-PC (20:58):
Viele Trojanische Pferde installieren während ihrer Ausführung auf dem Computer heimlich ein Schadprogramm und führen zum Absturz des Computers mit einem Blue Screen of Death
Sehen sie mal Hier

bsod
image-9815

EMSISOFT-WIN764 (20:58):
Oh, so was habe ich nie gesehen
aber es verheißt nichts Gutes:(

MRZ-PC (20:58):
Sehen sie dass?
Ja

EMSISOFT-WIN764 (20:59):
Ja, ich sehe es

MRZ-PC (20:59):
Ein Trojaner kann ihren Computer abstürtzen lassen

EMSISOFT-WIN764 (20:59):
Oh, und das möchte ich wirklich nicht

MRZ-PC (20:59):
Und jedes mal, wenn Sie ihren PC ein schalten,
sehen sie die gleiche Anzeige
Und sie werden da rum gebetten, Ihren Computer neu zu starten
und egal wie oft sie ihren Computer neu starten, sehen sie immer die gleiche Anzeige

EMSISOFT-WIN764 (21:00):
Ich verstehe

MRZ-PC (21:00):
Und sogar um ihr Geld kann Mann sie erleichtern
Einfach so aus ihrem Konto

EMSISOFT-WIN764 (21:02):
Wow

MRZ-PC (21:02):
Ganz zu Schweigen von Datendiebstahl

EMSISOFT-WIN764 (21:02):
Ja, ich verstehe

MRZ-PC (21:02):
Datendiebstahl bedeutet Entwendung persönlicher Daten von ihrem Computer
wie Benuzernamen, Passworter
Fotos und andere persönliche Information

EMSISOFT-WIN764 (21:03):
OMG

MRZ-PC (21:03):
Sogar ihre Kreditkarten Daten kann man ihnen entwenden

EMSISOFT-WIN764 (21:03):
Mist

MRZ-PC (21:03):
Denken sie an die Zahlungsinformation
Schauen wir nun Mal

EMSISOFT-WIN764 (21:04):
Ja

MRZ-PC (21:04):
Nutzen sie Online Banking?
Kaufen sie online ein
?
Zahlen sie Rechnungen online?
Oder der gleichen?
Hallo?
??

EMSISOFT-WIN764 (21:05):
Sorry
Ja
Manchmal kaufe ich online ein
Und mein Vater, glaube ich, macht Online-Banking

MRZ-PC (21:06):
Alles gelesen? Darf ich sie dan was fragen?

EMSISOFT-WIN764 (21:06):
Ja

MRZ-PC (21:06):
Sie sollten da mit auf hören

EMSISOFT-WIN764 (21:06):
Ja, ich höre definitiv damit auf

MRZ-PC (21:07):
Sie sollten da mit auf hören, biss der Trojaner Virus von ihrem Computer entfernt ist.
OK

EMSISOFT-WIN764 (21:07):
Ja

MRZ-PC (21:07):
Ok
Verstehen sie jetzt, wass ein Trojaner isst?

EMSISOFT-WIN764 (21:08):
Ja

Wahrheit:

Es gibt einen Wikipedia-Artikel über Trojaner.

Jetzt geht’s ans Verkaufen

Schritt 10: Dem Opfer eine Text-Datei geben, die es nicht ablehnen kann

Wir befanden uns nun schon über eine Stunde in der TeamViewer-Sitzung. Während der gesamten Zeit hatten wir etwas erfahren über Warnungen und Fehler, unlöschbare Dateien, beendete Dienste, nutzlose Anti-Viren-Programme, Gehirnscans sowie die Gefahren von “Trozens” mittels Wikipedia und Google. Dank Herrn Z. waren wir jetzt voll und ganz fehlinformiert und verlangten “verzweifelt” nach einer Lösung. Zu unserem Glück hatte Herr Z. diese parat.

MRZ-PC (21:11):
Ich werde nun mit unserem leitenden Techniker über ihren Computer sprechen

EMSISOFT-WIN764 (20:16):
OK

MRZ-PC (21:17):
OK
Warten sie
Ich spreche mit meinem Vorgesetzten über ihr Computer Problem
Wass die besste Lösung sein sollte

EMSISOFT-WIN764 (21:18):
OK, danke

MRZ-PC (21:18):
OK
Jetzt schreibe ich die Lösung für ihren Computer auf
OK

scammer_deal
image-9816

Wie ein angeblicher Microsoft-Support-Mitarbeiter Ihren PC repariert.

Ein herzliches Dankeschön von Bleeping Computer und Emsisoft

Letzter Schritt: Sobald das Opfer merkt, dass es sich um Betrug handelt, alles abstreiten

So langsam waren wir uns nicht mehr sicher, ob wir noch mitspielen sollten. Herr Z. hatte uns über zwei Stunden lange technischen Support geleistet… und versuchte er uns zu Bezahlung für weitere Dienstleistungen zu bewegen, und das mit dürftig verfassten Werbeanzeigen, die er in den Editor kopierte. Ehrlich gesagt machte uns dieser letzte Schritt sprachlos, aber nach einiger Beratung mit unseren Freunden bei Bleeping Computer fanden wir schließlich eine passende Antwort und führten die Unterhaltung im Editor fort.

thank_you_note_4
image-9817

Wenig überraschend, dass Herr Z. alle Anschuldigungen, er sei ein Betrüger, bis zum Ende von sich wies.

scammer_finale_1
image-9818

Und die Moral von der Geschicht’? Es gibt Menschen, die scheuen vor nichts, um Fremde im Internet zu hintergehen, selbst wenn es viel Arbeit und wenig Geld bedeutet. Fallen Sie nicht auf sie herein.

Wir wünschen eine schöne Zeit (ohne Herrn Z.)!

Ihr Emsisoft-Team

*Hinweis: Alle Aussagen von “Herrn Z. haben wir in ihrer ursprünglichen Form dargestellt. Falls Sie nicht daraus schlau werden, keine Sorge – wir auch nicht! Im Allgemeinen sind Fehler wie diese – unabhängig von der Sprache – ein sicheres Zeichen dafür, dass Sie es mit einem Betrüger zu tun haben.

 

Wie ein angeblicher Microsoft-Support-Mitarbeiter Ihren PC repariert. – See more at: http://blog.emsisoft.com/de/2014/08/29/wenn-ein-betruger-einem-sicherheitsexperten-auf-den-leim-geht/#sthash.A1sOjVV8.dpuf

Wahrheit:

Dienste sind einfache Hintergrundprozesse, die vielerlei Aufgaben auf Ihrem Computer ausführen. Sie erscheinen nicht auf der grafischen Benutzeroberfläche und arbeiten stattdessen hinter den Kulissen. Um anzuzeigen, welche Dienste auf Ihrem PC aktiv sind, drücken Sie einfach Strg + Alt + Löschen, was den Task-Manager öffnet; dann klicken Sie auf den Tab “Dienste”. Hier sehen Sie, dass einige Dienste aktiv sind, andere dagegen nicht. Das stellt kein Problem dar. Dienste sind derart konzipiert, dass sie bei Bedarf automatisch starten und beendet werden; und wie Elise bei 20:24 darlegt, kann ein beendeter Dienst manuell gestartet werden. Dazu klicken Sie einfach mit der rechten Maustaste darauf.

Schritt 7: Das Opfer auf sein “nutzloses” Anti-Viren-Programm hinweisen

Nachdem er uns auf die Probleme unseres Computers hingewiesen hatte, brauchte Herr Z. einen Sündenbock. Computer hören nicht einfach von allein auf zu funktionieren, mit Verlaub. Als Erklärung dafür, warum wir unlöschbare Dateien hatten, die unsere Dienste deaktivierten, schob Herr Z. unserem “nicht kompatiblen” und “nutzlosen Anti-Viren-Programm” die Schuld zu… Emsisoft Anti-Malware!

– See more at: http://blog.emsisoft.com/de/2014/08/29/wenn-ein-betruger-einem-sicherheitsexperten-auf-den-leim-geht/#sthash.A1sOjVV8.dpuf

MRZ-PC (20:09):

Sehen Sie? Es gibt keine Möglichkeit zum löschen

Das bedeutet, sie können sie nicht selbst löschen

OK

MRZ-PC (20:10):

Ja, sie können sie nicht selbst löschen, weil einige der Fähller ler und Warnungen hängen mit Viren zusammen und können nicht einfach so gelöscht werden

EMSISOFT-WIN764 (20:11):

Ah, verstehe

MRZ-PC (20:12):

Sehen Sie? Ich klicke auf TeamViewer und erhalte die Möglichkeit zum löschen, weil TeamViewer ist eine gutartige Datei; gutartige Dateien können immer gelöscht werden, bösartige dagegen nicht. Denken sie in Zukunft daran, und sie werden beide unterscheiden können

– See more at: http://blog.emsisoft.com/de/2014/08/29/wenn-ein-betruger-einem-sicherheitsexperten-auf-den-leim-geht/#sthash.A1sOjVV8.dpuf

Lüge:

MRZ-PC (20:07):

OK, versuchen sie ein mal, sie zu löschen

Ja, ich möchte ihnen helfen, aber zunächst ein mal sollen sie selbst versuchen, sie zu löschen, und falls dass nicht geht, bin ja ich hier /

EMSISOFT-WIN764 (20:08):

Hm, OK

– See more at: http://blog.emsisoft.com/de/2014/08/29/wenn-ein-betruger-einem-sicherheitsexperten-auf-den-leim-geht/#sthash.A1sOjVV8.dpuf

äuft’s

Schritt 1: Das Opfer unvermittelt anrufen und dann mit tollen technischen Modewörtern das Blaue vom Himmel herunterlügen

Wie viele Betrügereien beginnt auch diese mit einem unvermittelten Anruf. In diesem Fall war es einer unserer Freunde bei Bleeping Computer – wohl einer der schlimmsten Menschen, an den ein solcher Betrüger geraten könnte.

Der Betrüger, den wir hier einmal Herr Z. nennen, beginnt sein falsches Spiel und stellt sich als Support-Mitarbeiter von Microsoft vor. Herr Z. erzählte unserem Freund, er rufe in einer dringenden Angelegenheit an. Das Problem bestehe darin, dass der Computer unseres Freundes Fehler an die Windows-Server melde, ein kritisches Problem, das es zu beheben gelte.

Unser Freund, ein ehrenamtlicher Support-Techniker, wusste sofort, an wen er geraten war. Es gibt keinen sogenannten “Windows-Server”, mit dem sich alle Microsoft-Rechner auf magische Art und Weise verbinden, und Techniker von Microsoft rufen nicht einfach so ihre Kunden wegen kritischer Fehler an, die es zu beheben gelte.

Es handelte sich schlichtweg um eine Betrugsmasche.

– See more at: http://blog.emsisoft.com/de/2014/08/29/wenn-ein-betruger-einem-sicherheitsexperten-auf-den-leim-geht/#sthash.A1sOjVV8.dpuf

Christian Mairoll
Christian Mairoll ist Gründer und Geschäftsführer von Emsisoft, einem österreichischen Virenschutz Newcomer-Unternehmen mit international verteiltem Team. Die Hauptprodukte der 'virtuellen Firma' sind Emsisoft Anti-Malware und die Online Armor Firewall. Aktuelle Virenwarnungen finden sich in den Facebook und Twitter Profilen.
Christian Mairoll
Christian Mairoll

2 Kommentare

  1. Jabber-Server.de Admin

    Wirklich sehr unterhaltsam! Ein Video-Mitschnitt des Vorgangs fände ich ebenfalls amüsant :-)

  2. Ich finde ja, dass das Krasse daran garnicht der Versuch an sich ist, sondern die Gramatik von Herrn Z. Ich meine, dass man da draußen DAUs findet, die nicht merken wie sie an der Nase herumgeführt werden, das will ich garnicht bestreiten, dementsprechend wird es auch immer Leute geben die so einen Versuch wagen. Aber mal ehrlich, wer zur Hölle unterhält sich mit einem Supportmitarbeiter der so einen Quark daher schreibt und kommt nicht auf den Gedanken, dass das Ganze irgendwie nicht mit rechten Dingen zu gehen kann…

    Klasse gemacht von euch, vorallem dass ihr das solange durchgehalten habt.