Betrug: Wenn der falsche Microsoft-Mitarbeiter klingelt

27. Juli 2014, 09:32
236 Postings

Cyberkriminelle erlangen PC-Zugriff durch geschicktes Social Engineering - und versuchen den Nutzer zu erpressen

F. (Name der Redaktion bekannt) gehört zu jener Gruppe an älteren PC-Besitzern, die man gemeinhin wohl als "Durchschnittsuser" bezeichnen würde. Er verwendet seinen Windows-Rechner für Office-Aufgaben und Spiele wie "Mahjongg". Ins Internet geht er primär, um seine E-Mails abzurufen und mit Freunden und Verwandten zu skypen. Facebook und Twitter kennt er vor allem aus Medienberichten, doch eine Teilnahme an Social Networks spricht ihn nicht an.

"Support"-Anruf

An einem Julitag klingelte das Telefon. Am anderen Ende der Leitung meldete sich Herr auf Englisch als Mitarbeiter des "Microsoft Windows"-Supports. Fs Rechner habe zahlreiche Fehlermeldungen an Microsoft geschickt, daher wolle er seine Hilfe anbieten. Er fragte, ob F. schon aufgefallen sei, dass sein PC ziemlich langsam arbeite.

Der Supportmitarbeiter bot seine Hilfe an und gab an, er könne die Probleme für fünf Euro beheben. Überfordert, wenn auch etwas skeptisch, folgte F. den Anweisungen des Anrufers, lud die Remote-Assistance-Software Teamviewer herunter und gewährte Zugriff auf sein System.

Gesundes Misstrauen

Der "Helfer" navigierte durch diverse Menüs, erklärte nebenbei, dass zahlreiche Einträge in der Registry, in der das System Speicherort und Optionen für sich selbst und installierte Programme hinterlegt, obsolet oder fehlerhaft seien.

F. Folgte dem Geschehen auf seinem Bildschirm und wurde immer misstrauischer. Als sich schließlich ein Fenster mit einer Eingabemaske für Kreditkartendaten öffnete, bat er schließlich um einen erneuten Anruf in einigen Stunden, wenn sein in Computersachen versierterer Sohn zu Hause sei.

Passwort

Der Schaden war allerdings bereits angerichtet. Der Unbekannte hatte im Zuge seiner Tätigkeiten ein Startup-Passwort über den Windows-eigenen SysKey-Dienst eingerichtet. Ohne den richtigen Schlüssel ist es praktisch unmöglich, auf das eigene System zuzugreifen. Da auch alle Systemwiederherstellungspunkte entfernt worden waren, fiel die Möglichkeit flach, das Problem durch eine Rücksetzung auf diese oder das Einspielen älterer Registry-Einträge zu beheben.

Beliebte Masche

Selbstverständlich steckt am anderen Ende der Leitung kein Microsoft-Mitarbeiter., kein Antivirenexperte und auch niemand vom eigenen Internetprovider. Eben so wenig kostet die Entfernung des Startup-Passworts lediglich fünf Euro.

Die Telefonmasche wird, wie sich in diversen Foren nachlesen lässt, bereits seit mehreren Jahren betrieben. Gefordert wird üblicherweise ein niedriger dreistelliger Geldbetrag – freilich ohne Garantie, dafür tatsächlich wieder Zugriff auf das eigene System zu erhalten. Gezahlt wird über Dienste wie Western Union oder Ukash und damit ohne Möglichkeit einer Rückbuchung.

Social Engineering

Die Masche, die auf Social Engineering setzt, ist im Grunde leicht durchschaubar: Mit scheinbarer Kenntnis über den Rechner des Opfers gelingt es den Betrügern stets aufs Neue, genug Unsicherheit auszulösen, um die Betroffenen dazu zu bewegen, ihren Rechner zugänglich zu machen.

Windows hat unter den Desktop-Betriebssystemen einen Marktanteil von über 90 Prozent, wie die Statistik von Net Applications zeigt. Die Wahrscheinlichkeit, dass der Angerufene PC-Besitzer damit arbeitet, ist also hoch. Auch dass ein System bei langfristiger Verwendung weniger performant wird, ist kein neues Phänomen. Wahlweise wird neben Systemfehlern auch eine angebliche Infektion des Rechners mit Malware als Grund angegeben und eine Lösung versprochen.

Die Warnungen, die dem ahnungslosen Anrufer vor der Einrichtung des Passworts gezeigt werden, stammen aus dem Windows Event Viewer. Dieser sammelt standardmäßig Fehler und Warnungen des Systems, die aber oft harmlos sind und meist nicht auf gröbere Probleme hindeuten. Einen seriösen Hinweis auf eine Malwareinfektion stellen sie nicht dar.

Alte Masche

Wie so ein Anruf aussehen kann, beschreibt Ars Technica. Dort wird auch berichtet, dass jene Unternehmen, die hinter solchen Machenschaften stecken, oft aus Indien operieren, vornehmlich aber in westlichen Staaten nach Opfern suchen. In einem Fall war eine solche Firma mit der Scam-Masche bereits seit 2008 "im Geschäft".

Oft sind persönlich oder geschäftlich wertvolle Daten auf der Festplatte des Rechners gesichert und den Betroffenen steht nicht unmittelbar ein gut geschulter Helfer zur Verfügung. Dementsprechend ist die Zahlungsbereitschaft aus Not heraus entsprechend höher – worauf die Masche auch abzielt.

Glück im Unglück

F. hatte allerdings Glück im Unglück. Denn auf seinem Rechner befanden sich keine wichtigen Daten, die er nicht schon zuvor auf DVDs und USB-Sticks gesichert hatte. Doch für andere Betroffene hat das Hereinfallen auf den falschen Supportmitarbeiter dramatischere Konsequenzen

Der Vorfall endete mit der Änderung von Fs E-Mail-Passwort sowieder Formatierung der Festplatte und der Installation der Windows stark nachempfundenen Linux-Distribution Zorin OS durch seinen Sohn. Der Betrüger sollte am gleichen Tag noch ein zweites Mal anrufen, doch F. legte diesmal einfach auf. (Georg Pichler, derStandard.at, 27.07.2014)

Share if you care.