Ich kenne niemanden auf Tuvalu und wunderte mich daher heute über einen Anruf von der Nummer 00688899. Die Anruferin gab in akzentbehaftetem Englisch an, sie arbeite für „Windows“ und wolle mich über ein Sicherheitsproblem auf meinem PC informieren.
Die Anruferin wies mich an, über Win‑R das Tool eventvwr zu starten, also die Ereignisanzeige, und ihr die Anzahl der Fehler im Windows-Protokoll mitzuteilen. Naturgemäß tauchen hier zahlreiche Fehler und Warnungen auf. Bei mir sind es gut 16.000. „Dann hätte ich wohl Schadsoftware auf dem PC.“, so die Anruferin weiter. Und da Microsoft sich um seine Kunden kümmern würde, werde ich jetzt mit einem Techniker verbunden, der mir bei der Beseitigung der Probleme helfe.
Ich war gespannt, wo das hinführt und hatte dann angeblich Marshall Wilson am Apparat. Der sprach ebenfalls Englisch mit deutlichem Akzent. Er wies mich an, Teamviewer zu installieren, um meinen PC zu prüfen. Da ich Windows ohnehin gerade in einer virtuellen Maschine (Virtualbox) laufen hatte, spielte ich das Spiel mit. Herr Wilson zeigte mir die vielen Fehler in der Ereignisanzeige und ein abgelaufenes Microsoft Root Zertifikat. Außerdem hätte ich auch keine richtige Antivirensoftware (brauche ich auch nicht), was zu den vielen Fehlern führt, die mein PC an Microsoft gesendet hat. Dann zeigte er mir Msconfig mit zahlreichen deaktivierten Diensten, was auf Hacker hinweisen sollte, die meinen PC übernommen hätten.
Auf die Frage, wer er genau sei zeigte er mir auf meinem Bildschirm einen Mitarbeiter-Ausweis, der ihn als Mitarbeiter von Microsoft Los Angeles auswies (mit Windows-Vista-Logo). Die Frage, warum Herr Wilson aus den USA mit auffälligen indischen Akzent spricht, habe ich mit verkniffen.
Mehr Sicherheit für meinen PC?
Danach sollte ich die Webseite www.121usa.com besuchen, die mich sofort auf remote.speaktechsupport.com weiterleitete. Hier musste ich eine ID eintippen, damit der Techniker meinen PC weiter untersuchen könne. Das bescherte mir dann ein LogMeIn Rescue Applet auf dem PC, über das der angebliche Support-Techniker sein Unwesen treiben konnte. Der Bildschirm wurde nach einiger Zeit schwarz und ich habe keine Ahnung, was der angebliche Herr Wilson dabei getrieben hat. Nach etlichen Minuten wurde mit dann vorgeschlagen, einen Support-Vertrag über zwei Jahre mit Kaspersky Antivirus und einem für mich persönlich gültigen Microsoft Zertifikat abzuschließen (49 Euro). Auch neun Jahre und länger waren im Angebot. Zahlen sollte gleich, per Sofort-Überweisung. Das Formular erschien nach einer längeren Wartezeit im Browser auf meinem Bildschirm, und ich sollte meine Bankdaten eintippen. An dieser Stelle habe ich aufgelegt und die Internetverbindung unterbrochen.
Danach konnte ich prüfen, was inzwischen auf meinem Rechner geschehen war. Ich habe jedoch nur die Dateien von LogMein unter „AppData\Local\LogMeIn Rescue Applet“ gefunden. Netterweise war auch die ID-Card noch auf dem Desktop zu finden, die mir Herr Wilson per Teamviewer auf den Rechner geladen hatte (siehe Bild, das Foto habe ich verpixelt). Ich habe die Datei an Microsoft Los Angeles geschickt, mit der Frage, ob es sich tatsächlich um einen Microsoft-Mitarbeiter handelt. Mal sehen, ob die mir antworten.
Das ganze Telefongespräch hat mehr als eine halbe Stunde gedauert. Es scheint sich also zu lohnen, Windows-Nutzer anzurufen und zu verunsichern, vor allem wenn die Arbeitskosten im Land des Anrufers gering sind.
Danach erhielt ich weitere Anrufe von 00688899 und eine E‑Mail von „MICROSOFT CORPORATION <msc.technical@outlook.com>“ mit der Antwortadresse marshall_willson@outlook.com (mit LL). Darin hieß es:
We are really sorry ,
the phone call as well the connection got disconnected…so please receive the callMarshall is trying to reach you on your telephone…
Eine Antwort an diese E‑Mail-Adresse („Ich bin an Ihrem Support nicht weiter interessiert…“), kam mit „Undelivered Mail Returned to Sender“ wieder zurück. Die Telefonnummer habe ich inzwischen in meiner Fritzbox blockiert.
Weitere Untersuchungen und mögliche Gefahren
121usa.com ist mit einer IP-Adresse in Arizona, Scottsdale, auf den Namen Akshay Kumar registriert, einem bekannten indischen Schauspieler. Die Site ist bei Godaddy.com gehostet. Auf die IP-Adresse sind weitere 132831 Domains registriert, meist mit fragwürdigem Inhalt. Ein Beispiel ist 00-software.biz. Der Aufruf ändert die Adresse auf www.oo-software.com/de/parking, die auf (die seriöse) O&O Software GmbH verweist. Möglicherweise verbirgt sich dahinter eine Site, die für den den Download von Schadsoftware missbraucht werden soll.
speaktechsupport.com gehört dagegen Rahul Choudhury, soll in Singapur beheimatet sein und ist ebenfalls bei Godaddy.com registriert. Auf der Website werden unglaubliche viele Dienste angeboten vom Windows Setup und Netzwerk-Support bis zur Datenwiederherstellung und Sicherheitslösungen. Soweit zu sehen ist, handelt es sich dabei um Scam (Betrug).
Bei Youtube habe ich noch einige Videos gefunden, die einen Anruf bei speaktechsupport.com (1–800-806‑0768) wiedergeben. Das zweite Video von MAXCyberDefense ist besonders interessant: Nachdem sich die Anrufer widerspenstig gezeigt und den Techniker verärgert hatten, löschte der angebliche Support per Fernzugriff Dateien von der Festplatte, sodass das System unbrauchbar wurde. Wenn Sie den „Support“ selbst testen möchten, sollten Sie diesen Test daher nur in einer virtuellen Maschine durchführen. Für alle, die kein Wagnis eingehen möchten, hier die dringende Warnung:
Legen Sie sofort auf, wenn angebliche Microsoft-Mitarbeiter Sie anrufen und Ihnen Sicherheitslösungen verkaufen möchten. Microsoft ruft niemanden unaufgefordert wegen Sicherheitsproblemen an und verlangt weder Fernzugriff auf Ihren PC noch Ihre Kontodaten.
Möglicherweise sind die Scammer zurzeit besonders aktiv, weil zahlreiche Windows-Benutzer gerade mit Windows-10-Upgrades beschäftigt sind und sich Sorgen um die Sicherheit machen.
Was kann man gegen die Täter unternehmen?
Insgesamt tun sich Politik und Behörden schwer, mit Internetkriminalität umzugehen. So ist es beispielsweise kaum möglich herauszufinden, wer tatsächlich etwa hinter der Rufnummer 00688899 steckt. Die Betrüger leiten den Voice-over-IP-Verkehr über diverse Anbieter weiter, die meist nicht besonders auskunftsfreudig sind. Ein erster Schritt wäre, die betrügerischen Websites beziehungsweise Domains aus dem Netz zu nehmen. Hier wären die Web-Hoster in der Pflicht. Diese kann man über den Missbrauch informieren. Ob darauf jedoch eine Reaktion erfolgt, ist fraglich.
Internet-Browser wie Mozilla Firefox, Google Chrome und Microsoft Internet Explorer warnen standardmäßig vor Phishing- und Malware-Websites. Wer von den Tätern auf gefährliche Websites gelockt wird, sollte daher eine Warnmeldung erhalten und der Browser sollte den Zugriff blockieren. Phishing-Sites können Sie bei Google auf der Seite Report Phishing Page melden. Malware-Sites bei Google auf der Seite Report malicious software oder bei stopbadware.org.
Betrug und Betrugsversuche können Sie auch bei der Polizei melden. Einige Bundesländer bietet ein Online-Formular dafür an, beispielsweise die Polizei Brandenburg und die Polizei Niedersachsen. Anzeigen nimmt aber jede Polizeidienststelle in Ihrer Nähe entgegen. Viel versprechen sollten Sie sich davon allerdings nicht. Die Möglichkeiten der Polizei, bei Anzeigen gegen Unbekannt und Internetkriminalität, sind sehr begrenzt.
Auch die Softwarehersteller wären in der Pflicht. Im geschilderten Fall vor allem Microsoft. Der Konzern hätte deutlich mehr Möglichkeiten, betrügerische Websites zu finden und für deren Schließung zu sorgen – vor allem in den USA. Auch Hersteller von Fernwartungssoftware wie LogMein müssten dafür sorgen, dass ihre Software nicht missbräuchlich verwendet wird.
Die andere Seite: Wer sich darüber beklagt, dass betrügerische Websites nicht schnell genug aus dem Internet verschwinden, muss auch die Nebenwirkungen dieser Forderung bedenken. Schnell könnten Websites betroffen sein, deren Inhalte beziehungsweise politischen Aussagen jemandem nicht gefallen. Insofern ist es verständlich, das Suchmaschinenbetreiber und Hosting-Anbieter zurückhaltend mit Sperranträgen umgehen. Hier gilt es, einen tragfähigen Kompromiss zu finden und die internationale Zusammenarbeit deutlich zu verbessern.
Schreibe einen Kommentar