Abzocke am Telefon: Persönliche Erfahrung einer Microsoft Scam-Attacke
Bei den Microsoft Tech-Support-Scam-Attacken handelt es sich um eine mittlerweile weit verbreitete Masche von Online-Betrügern. Hierbei werden die Opfer von vermeintlichen Microsoft-Mitarbeitern angerufen und es wird vorgegeben, dass der PC von einer Malware befallen ist.
Wie ist der Mircosoft Scam abgelaufen?
Samstagmorgen, 7.12.2019 um kurz vor 8 Uhr. Ich sitze am Rechner und arbeite. Das Telefon klingelt. Ich achte nicht auf die Nummer, gehe einfach dran. Eine Dame mit gebrochenem Englisch fragt, ob ich Englisch spreche. Sie sei von Microsoft und rufe mich an, weil auf meinem Computer Probleme existieren und ich wohl Malicious Code auf dem Computer habe. Ich denke mir „ja nee, is klar. Was für eine Masche“. Ich frage sie, wie sie auf meine Telefonnummer käme. Sie meinte, ich sei ja registrierter Microsoft-Benutzer und hätte auch meine Rufnummer in meinem Account hinterlegt. „Sicher“, denke ich mir ungläubig, das würde ich jetzt auch behaupten. Aber komm, den Spaß, den mache ich mir. Dreistigkeit kennt keine Grenzen – einen Social Hack live erleben, da spiele ich mal mit.
Erster Schritt: Vetrauen und Angst
Ich frage die Dame, ob und wie sie sich denn bitte mir gegenüber ausweisen könne, dass sie wirklich von Microsoft sei. Sie erklärt mir, dass sie mir das einfach beweisen könne. Ob ich denn am Rechner sitzen würde. Ich solle Bescheid geben, wenn ich soweit wäre. Yes, ich bin gespannt. Wie will sie vorgehen? Wie will sie mich davon überzeugen, dass ich glaube und vertraue, dass sie von Microsoft ist. Es geht los: Ich soll zunächst einmal die Windows-Taste plus R drücken. Sie macht das gut, sie führt mich, erklärt mir, welche Symbole auf den Tasten sind, was ich sehen sollte, buchstabiert die Befehle. Sie fragt mich, ob ich das sehe, was sie will, dass ich sehe. Sie holt sich meine Bestätigung ab.
Sie lässt mich den Eventviewer öffnen und zeigt mir, dass ich doch da ganz viele Fehler sehen würde. Ich stimme ihr zu. Natürlich weiß ich, dass das normal ist, aber ich gebe ihr das Gefühl, das sie in mir erreichen will. Sie erklärt mir, dass genau diese Fehler das Indiz dafür seien, dass ich Malicious Code auf meinem Rechner habe.
Um zu beweisen, dass sie von Microsoft sei, müsse sie mich nun an ihren „Supervisor“ geben. Sie verbindet mich. Die erste Hürde glaubt sie also genommen zu haben. Ich bin gespannt.
Nochmal Vertrauen und Angst…
Die nächste Dame, welche der Supervisor von der ersten Telefonkraft vorgibt zu sein, begrüßt mich, erklärt mir nochmal, dass es jetzt wichtig sei, dass ich tue was sie sagt. Die Lage sei ernst. Sie will sie mir helfen, das Problem zu beseitigen. Das sei wichtig, weil ich sonst meine Daten verlieren würde und bald nix mehr geht. Das wolle ich doch bestimmt vermeiden. Ich stimme natürlich zu. Ich denke mir: Respekt, gut gemacht, mein Sicherheitsbedürfnis versucht ins Wackeln zu bringen.
…und so will man den Fernzugriff bekommen
Nächster Schritt: Die Dame bittet mich, eine Kommandozeile via Windows-Taste + R und dann CMD zu öffnen. Ich denke: cool, jetzt wird es spannend, welchen Befehl soll ich ausführen, damit die Dame die Kontrolle über meinen Rechner übernehmen kann?
Falsch gedacht: Sie bitte mich, den Befehl assoc auszuführen, buchstabiert ihn und bittet mich ENTER zu drücken. Ich kenne den Befehl nicht, also google ich parallel kurz, ohne dass sie es merkt. Assoc zeigt eine Liste aller aktuellen Zuordnungen für Dateinamen Erweiterungen an. Es rattert die Liste runter, sieht cool aus. Sie leitet meine Aufmerksamkeit auf die vorletzte Zeile. Da ist eine CLSID, das sei die eineindeutige Lizenznummer bzw. Identifikation meines Computers. Diese sieht aus wie mein Lizenzschlüssel. Ok, ich bin gespannt. Sie liest mir diese CLSID (ZFSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062} vor und ich bin verblüfft: die CLSID stimmt 100% überein. Respekt, ich dachte immer, ich kenne mich aus. Hier hat sie mich kurzzeitig aus der Bahn geworfen, ich hätte ihr fast geglaubt, dass sie von Microsoft ist. Jetzt glaubt sie, dass sie mein Vertrauen hat.
Im nächsten Schritt fragt sie mich nun, welchen Internetbrowser ich nutze und gibt mir die Möglichkeiten (Chrome, Firefox, Internet Explorer, Edge). Wir nehmen Firefox. Sie bittet mich, die Website ultraviewer.net zu öffnen. Ultraviewer als Tool, glaubte ich, schon mal gehört zu haben. Ich drücke jedoch nicht ENTER, obwohl sie es mir so schön buchstabiert hat und mich bis hier hin geführt hat.
Und jetzt ist Schluss!
Ich sage ihr, dass ich jetzt an dieser Stelle stoppe. Ich will mich mit meinem Security Manager abstimmen und mir von ihm das OK holen. Sie meint, es sei ernst, es würde nur 15 Minuten dauern, dann wären wir fertig. Ich beharre darauf und reagiere damit, dass – wenn es ernst sei – dann hätte sie bestimmt nichts dagegen, wenn Sie mich in 2 Stunden wieder anriefe, dann habe ich mit ihm gesprochen. Sie wird sauer und baut Druck auf. Ich bleibe dabei, sage ihr noch, dass ich für eine IT-Security Company arbeite, wir selbst wissen wie Hacker und Social Hacking funktioniere und ich hier sensibel reagiere.
Sie legt auf. Das Besetztzeichen ertönt. Mein Rechner läuft weiter, ich lösche die Eingaben im Firefox, die ich nicht bestätigt hatte. Die Rufnummer, von der aus angerufen wurde, habe ich notiert. Ich telefoniere mit unserem IT-Sicherheitsbeauftragten und Awareness-Experten Götz Weinmann bei der TO und erzähle ihm davon. Er bedankt sich bei mir für die Info, erklärt mir, dass die ein typischer Microsoft Scam Hack sei, ein paar technische Hintergründe zu CLSID und dass er entsprechende Maßnahmen ableiten werde. Ich bin froh, dass ich richtig reagiert habe.
Anschließend google ich im Internet nach dieser Attacke und bin verblüfft: die Masche der falschen Microsoft-Techniker gibt es schon seit 2012 und scheint – sonst würden es die Kriminellen nicht so lange machen – immer noch zu funktionieren.
Weiterführende Informationen
Mircosoft macht auf der eigenen Webseite auf die Scam-Anrufe aufmerksam und hat ein Meldesystem für Betroffene von Microsoft Scam-Attacken eingerichtet.
- Was ist eigentlich eine CLSID?
- Heise-Bericht zur Betrugsmasche von 2012
- Beispiel eines Microsoft Scam-Anrufes auf Youtube
Wenn auch Sie von einem Angriff betroffen sein sollten, dann schauen Sie doch mal bei unserer Informationsseite Hilfe, ich wurde gehacked! vorbei. Hier geben wir Tipps und erklären Ihnen, wie im Ernstfall vorzugehen ist.
Folgen Sie uns schon auf LinkedIn? Bleiben Sie immer auf dem Laufenden.
Webcast: Phishen Sie noch oder machen Sie schon Awareness?
Sind Ihre Mitarbeiter bereits Teil Ihres Security-Teams? Wie Sie in Ihrer Organisation eine nachhaltige Security-Awareness aufbauen, erfahren Sie in diesem Webinar.
Hatte heute auch einen Anruf – fast identischer Ablauf. Habe von Anfang an gesagt das ich IT-Background habe. Als ich bei assoc gestreikt habe haben sie recht aggressiv reagiert und mit der Polizei gedroht. Am besten direkt auflegen.
Tel.: +49 3868 823438
Tel.: +493445443033
19.05.2022
Immer noch das gleiche Spiel
Heute auch wieder eine Variante des Anrufs. Diesmal zuerst die Ereignisanzeige, die natürlich irgendwelche Fehler- und Warnmeldungen bringt. Dann netstat – das seien alles Verbindungen, über die jemand auf meinem Rechner arbeiten würde. Dann sollte ich nach „blackshades“ googeln und per Wikipedia lernen, was ein Trojaner ist. Dann sollte ich ultraviewer als Fernwartungstool herunterladen. Ab diesem Punkt habe ich nicht mehr mitgespielt.
Genau den gleich Verlauf heute zum 2. Mal gehabt.
Telefonnummer 0675353661 Gibt sich als Microsoft Headquarter aus nenn auf Nachfrage seinen Manage den ich ja mal Google könnte.
Chandan Bharti Microsoft sei sein Manager …
Ich habe ihm dann logischerweise keine Zugriff per
Teamviewer gegeben und das Gespräch beendet.
Hallo,
genau den gleichen Anruf hatte ich vor einer halben Stunde.
Das beschriebene Vorgehen stimmt zu fast 100%.
Die Telefonnummer, unter der ich kontaktiert wurde war 032773148.
Danke für den Bericht !
Lieber Michael Schenk,
danke für diesen Hinweis! Ich habe ihn ebenfalls während eines solchen Anrufs gegoogelt und das Gespräch abgebrochen, bevor es Zugriff auf meinen Rechner gab. Bei mir sollte der Remote-Zugriff über https://www.supremocontrol.com/de/ eingerichtet werden.
Es war wirklich der dreisteste Angriff auf meinen Rechner, den ich erlebt hatte. Er könnte fatalen Schaden anrichten und ich kann mir gut vorstellen, dass Leute darauf hereinfallen.
Andreas B.
Eine Weile her schon, aber ich hab solch eine Truppe mal erfolgreich eine Stunde hingehalten. Auch weil ich einen grade geplätteten und neu aufgesetzten XP- Rechner, der sowieso zum endgültigen Abschuss gedacht war, parat hatte als Honeypot. Die Details habe ich leider nicht mehr so genau in Erinnerung. Auch Fernwartung – klar. Arbeite selbst im Software-Support.
Ich kenne mich auch einigermaßen aus und fühle mich leidlich wohl in Englisch,. Daher mal auf den „Spaß“ eingelassen. Schaunwermal und halten die vom andere Leute Anrufen ab.
Es ging mehrfach eine Hierarchiestufe („Supervisor“?) nach oben. Indischer Akzent wie bisher immer üblich mit dem die Einzelsilben herunterratternden „Maschinengewehr“- Englisch, dem so schwer zu folgen ist.
Das Ganze endete dann damit, dass wohl die letzte Hierarchiestufe sich unfreundlich beschwerte, dass ich den indischen Kindern wohl nichts gönnen würde.
*sigh*
Haha, mach ich auch immer, wenn mich so jemand anruft. Die sind schon recht geduldig. Ich hab mich jetzt schon 3 mal „verschrieben“. Ab und zu ein „Hallo“, „Ja“ etc hält sie recht lang bei der Stange.
Leider habe ich mit dem Inder in der Leitung ein kleines Verständungsproblem, da ich nur bayrisch spreche.
Habe heute auch so einen Anruf eines vermeintlichen Microsoft „Technikers“ erhalten.
Da ich mehrere PCs besitze habe ich eine eindeutige Information verlangt, welcher denn nun betroffen sei. Antwort: alle. Gleiche Vorgehensweise mit „cmd“ und „assoc“. Und natürlich wollte er mir weissmachen, dass die CLSID eindeutig mir zugeordnet sei.
Leider gelang es mir nur 17 Minuten lang ihn davon abzuhalten jemanden anderes anzurufen, dann hat er es aufgegeben, nicht ohne sich vorher die Telefonnummer 112 zu notieren und mir zu drohen, dass mein PC in 30 Minuten nicht mehr funktionieren würde. Ist bestimmt schon der 20. Anruf mit der gleichen Masche, habe auch schon welche mit „ich habe nur Linux-Rechner“ beendet. Passiert ist noch nie etwas.
Hallo, Danke für den ausführlichen Bericht. Ich habe heute auch so einen seltsamen Anruf bekommen und alles notiert, aber nichts eingegeben. Ist schon etwas seltsam, was die alles wissen… insbesondere Name und Telefonnummer eines nicht registrierten Anschlusses – aber seis drum: BigData macht viels möglich und bestimmt hinterlässt man hier und da Spuren…
Als immer schön die Firewall hoch und wachsam sein. 😉
Ich bin Ihnen dankbar, diesen Fall geschildert zu haben. Während des (z.T. ja unterhaltsamen Telefonats kamen mir schon direkt zweifel – aber Sicherheit hatte ich eben erst, als mir eine Suche diesen Artikel (mit doch tatsächlich der gleichen CLSID) zurück gibt. Als ich dann etwas konsequenter ablehne und bereit bin, dass „Microsoft meine ID dann eben sperren soll“ legt er entnervt auf.
Moin moin,
hatte auch gerade diesen lustigen Anruf. Erst war eine Frau am Telefon, dann kam ein „Techniker“ dazu. Ich bin seit 30 Jahren in der IT-Branche, hab mich köstlich amüsiert, wie er mir versucht hat, zu verkaufen die ZFSendToTarget -Association (ID 888DCA60-FC0A-11CF-8F0F-00C04FD7D062) die ID meines PC’s ist, die nur MS kennt :-). Kleiner Tipp: wenn er versucht die Console zu öffnen indem man „cmd“ eingibt, einfach mehrmals sagen: I tried zmd, smd, znd, znt …. da war er dann irgendwann doch auch genervt. „sorry mr., my English is not only for runaways“
Dann haben wir noch bisschen Eventlog angesehen und dann musste ich leider einkaufen gehen. Kam leider nicht mehr dazu den Techniker per Fernwartung auf meinen PC zu lassen ;-).
Für einen unbedarften Anwender aber echt gut gemacht, im Hintergrund die Geräuschkulisse eines CallCenters. Ich hoffe nur, dass da nicht viele drauf rein fallen. Schade ums Geld, die Zeit und den Ärger wenn’s einen doch erwischt hat.
Hallo,
Danke für die Infos! Hatte gerade eben denselben Anruf, habe parallel im Netz nach der ZFSendToTarget -Association (ID 888DCA60-FC0A-11CF-8F0F-00C04FD7D062) Nummer gesucht und bin auf diese Seite gestossen. Dann dem freundlichen Techniker gesagt, dass er mich aufgrund eines Termins in 2 Stunden zurückrufen soll, mal sehen, ob er dass tut. Die Betrüger rufen jetzt wohl in ganz Europa an, ich wohne in Belgien.
Heute genau diesen Anruf erhalten, auch mit Callcenter-Gebrabbel im Off. Nr aus Griechenland: 0030297292786. Sieht im ersten Moment aus, wie eine Berliner 030-Vorwahl.
Danke allen für‘s Warnen!
Hallo an alle,
ich habe die gleichen Anrufe seit ca 3-5 Wochen, am Anfang mit größeren Abständen , letzte Woche 8-10 mal, soeben wieder 2mal. Immer das gleiche Vorgehen wie oben beschrieben. Mich würde ja interessieren, wie sie es machen, soviele verschiedeneTelefonnummern vorzutäuschen, sie sehen aus wie deutsche Vorwahlen, nie ist eine Länderkenner zu sehen (weder US oder Indien oder …)
Und ich hatte noch nie eine Telefonnummer zweimal, sonst könnte man sie ja sperren.
Kann man sonst noch etwas dagegen unternehmen?
In den letzten Wochen bekommen wir regelmäßig solche Anrufe vom „Microsoft Technical Support“. Meine Frau sagt, dass sie keinen Computer hat. Das mögen sie kaum glauben.
Ich frage, welchen der drei Computer sie denn meinen. Oh, da werde ich an den Senior Technical Support weitergeleitet. Der leitet mich dann Buchstabe für Buchstabe dazu an, das Command-Fenster zu öffnen und den „assoc“ Befehl einzugeben. Dann quälend langsam das Buchstabieren von „888DCA60-FC0A-11CF-8F0F-00C04FD7D062“.
Das sei die Security-ID meines befallenen Rechners.
„Nein“, sage ich. „Dann sitze ich am falschen Rechner. Dieser habe eine andere Nummer.“ Klick. Er legt auf.
Ich habe auch schon mal gefragt, woher er denn anruft. Ah, aus Washington State. Wie denn das Wetter da sei. Sehr gut. Die Sonne scheint. Hmm, 11 Uhr hier, 9 Stunden zurück ist Washington State. Da scheint jetzt keine Sonne. Als ich laut loslache, werde ich sehr unprofessionell beschimpft. Der heutige wusste aber, welche Uhrzeit er nennen musste…
Einfach auf deutsch antworten und das recht indische Englisch nicht verstehen, führt auch zum Ende des Dialogs. Macht aber natürlich nicht so viel Spaß.