Abzocke am Telefon: Persönliche Erfahrung einer Microsoft Scam-Attacke

Februar 4, 2020

Panikmache ist das Instrument der „Microsoft-Mitarbeiter“. Nun bin ich selbst Ziel eines Scam-Anrufs geworden und berichte in diesem Beitrag über meine Erfahrung und das Vorgehen der Betrüger.

Bei den Microsoft Tech-Support-Scam-Attacken handelt es sich um eine mittlerweile weitverbreitete Masche von Online-Betrügern. Hierbei werden die Opfer von vermeintlichen Microsoft-Mitarbeitern angerufen und es wird vorgegeben, dass der PC von einer Malware befallen ist.

Wie ist der Mircosoft Scam abgelaufen?

Samstagmorgen, 7.12.2019 um kurz vor 8 Uhr. Ich sitze am Rechner und arbeite. Das Telefon klingelt. Ich achte nicht auf die Nummer, gehe einfach dran. Eine Dame mit gebrochenem Englisch fragt, ob ich Englisch spreche. Sie sei von Microsoft und rufe mich an, weil auf meinem Computer Probleme existieren und ich wohl Malicious Code auf dem Computer habe. Ich denke mir „ja nee, is klar. Was für eine Masche“. Ich frage sie, wie sie auf meine Telefonnummer käme. Sie meinte, ich sei ja registrierter Microsoft-Benutzer und hätte auch meine Rufnummer in meinem Account hinterlegt. „Sicher“, denke ich mir ungläubig, das würde ich jetzt auch behaupten. Aber komm, den Spaß, den mache ich mir. Dreistigkeit kennt keine Grenzen – einen Social Hack live erleben, da spiele ich mal mit.

Erster Schritt: Vetrauen und Angst

Ich frage die Dame, ob und wie sie sich denn bitte mir gegenüber ausweisen könne, dass sie wirklich von Microsoft sei. Sie erklärt mir, dass sie mir das einfach beweisen könne. Ob ich denn am Rechner sitzen würde. Ich solle Bescheid geben, wenn ich soweit wäre. Yes, ich bin gespannt. Wie will sie vorgehen? Wie will sie mich davon überzeugen, dass ich glaube und vertraue, dass sie von Microsoft ist. Es geht los: Ich soll zunächst einmal die Windows-Taste plus R drücken. Sie macht das gut, sie führt mich, erklärt mir, welche Symbole auf den Tasten sind, was ich sehen sollte, buchstabiert die Befehle. Sie fragt mich, ob ich das sehe, was sie will, dass ich sehe. Sie holt sich meine Bestätigung ab.

Sie lässt mich den Eventviewer öffnen und zeigt mir, dass ich doch da ganz viele Fehler sehen würde. Ich stimme ihr zu. Natürlich weiß ich, dass das normal ist, aber ich gebe ihr das Gefühl, das sie in mir erreichen will. Sie erklärt mir, dass genau diese Fehler das Indiz dafür seien, dass ich Malicious Code auf meinem Rechner habe.

Um zu beweisen, dass sie von Microsoft sei, müsse sie mich nun an ihren „Supervisor“ geben. Sie verbindet mich. Die erste Hürde glaubt sie also genommen zu haben. Ich bin gespannt.

Nochmal Vertrauen und Angst…

Die nächste Dame, welche der Supervisor von der ersten Telefonkraft vorgibt zu sein, begrüßt mich, erklärt mir nochmal, dass es jetzt wichtig sei, dass ich tue, was sie sagt. Die Lage sei ernst. Sie will sie mir helfen, das Problem zu beseitigen. Das sei wichtig, weil ich sonst meine Daten verlieren würde und bald nichts mehr geht. Das wolle ich doch bestimmt vermeiden. Ich stimme natürlich zu. Ich denke mir: Respekt, gut gemacht, mein Sicherheitsbedürfnis versucht ins Wackeln zu bringen.

…und so will man den Fernzugriff bekommen

Nächster Schritt: Die Dame bittet mich, eine Kommandozeile via Windows-Taste + R und dann CMD zu öffnen. Ich denke: cool, jetzt wird es spannend, welchen Befehl soll ich ausführen, damit die Dame die Kontrolle über meinen Rechner übernehmen kann?

Falsch gedacht: Sie bitte mich, den Befehl assoc auszuführen, buchstabiert ihn und bittet mich ENTER zu drücken. Ich kenne den Befehl nicht, also google ich parallel kurz, ohne dass sie es merkt. Assoc zeigt eine Liste aller aktuellen Zuordnungen für Dateinamen Erweiterungen an. Es rattert die Liste runter, sieht cool aus. Sie leitet meine Aufmerksamkeit auf die vorletzte Zeile. Da ist eine CLSID, das sei die eineindeutige Lizenznummer bzw. Identifikation meines Computers. Diese sieht aus wie mein Lizenzschlüssel. Ok, ich bin gespannt. Sie liest mir diese CLSID (ZFSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062} vor und ich bin verblüfft: die CLSID stimmt 100% überein. Respekt, ich dachte immer, ich kenne mich aus. Hier hat sie mich kurzzeitig aus der Bahn geworfen, ich hätte ihr fast geglaubt, dass sie von Microsoft ist. Jetzt glaubt sie, dass sie mein Vertrauen hat.

Im nächsten Schritt fragt sie mich nun, welchen Internetbrowser ich nutze und gibt mir die Möglichkeiten (Chrome, Firefox, Internet Explorer, Edge). Wir nehmen Firefox. Sie bittet mich, die Website ultraviewer.net zu öffnen. Ultraviewer als Tool, glaubte ich, schon mal gehört zu haben. Ich drücke jedoch nicht ENTER, obwohl sie es mir so schön buchstabiert hat und mich bis hier hingeführt hat.

Und jetzt ist Schluss!

Ich sage ihr, dass ich jetzt an dieser Stelle stoppe. Ich will mich mit meinem Security Manager abstimmen und mir von ihm das OK holen. Sie meint, es sei ernst, es würde nur 15 Minuten dauern, dann wären wir fertig. Ich beharre darauf und reagiere damit, dass – wenn es ernst sei – dann hätte sie bestimmt nichts dagegen, wenn Sie mich in 2 Stunden wieder anriefe, dann habe ich mit ihm gesprochen. Sie wird sauer und baut Druck auf. Ich bleibe dabei, sage ihr noch, dass ich für eine IT-Security Company arbeite, wir selbst wissen wie Hacker und Social Hacking funktioniere und ich hier sensibel reagiere.

Sie legt auf. Das Besetztzeichen ertönt. Mein Rechner läuft weiter, ich lösche die Eingaben im Firefox, die ich nicht bestätigt hatte. Die Rufnummer, von der aus angerufen wurde, habe ich notiert. Ich telefoniere mit unserem IT-Sicherheitsbeauftragten und Awareness-Experten Götz Weinmann bei der TO und erzähle ihm davon. Er bedankt sich bei mir für die Info, erklärt mir, dass die ein typischer Microsoft Scam Hack sei, ein paar technische Hintergründe zu CLSID und dass er entsprechende Maßnahmen ableiten werde. Ich bin froh, dass ich richtig reagiert habe.

Anschließend google ich im Internet nach dieser Attacke und bin verblüfft: die Masche der falschen Microsoft-Techniker gibt es schon seit 2012 und scheint – sonst würden es die Kriminellen nicht so lange machen – immer noch zu funktionieren.

Weiterführende Informationen

Mircosoft macht auf der eigenen Webseite auf die Scam-Anrufe aufmerksam und hat ein Meldesystem für Betroffene von Microsoft Scam-Attacken eingerichtet.

Wenn auch Sie von einem Angriff betroffen sein sollten, dann schauen Sie doch mal bei unserer Informationsseite Hilfe, ich wurde gehacked! vorbei. Hier geben wir Tipps und erklären Ihnen, wie im Ernstfall vorzugehen ist.