Warnung: Angebliche Anrufe von Microsoft in betrügerischer Absicht (00688899)

Angeblicher Microsoft-Mitarbeiter

Ich kenne niemanden auf Tuvalu und wunderte mich daher heute über einen Anruf von der Nummer 00688899. Die Anruferin gab in akzentbehaftetem Englisch an, sie arbeite für „Windows“ und wolle mich über ein Sicherheitsproblem auf meinem PC informieren.

Update September 2016: Mein Dank geht an das LKA-Niedersachsen und auch an alle anderen beteiligten Personen aus Deutschland und Indien. Im September ist es gelungen, in Indien ein wahrscheinlich kriminelles Callcenter zu schließen und mehrere Verdächtige zu verhaften (Quellen: Online-Betrüger in Indien verhaftet und Falscher Microsoft-Support: Fahnder bremsen indische Online-Betrüger aus).

Die Anruferin wies mich an, über Win-R das Tool eventvwr zu starten, also die Ereignisanzeige, und ihr die Anzahl der Fehler im Windows-Protokoll mitzuteilen. Naturgemäß tauchen hier zahlreiche Fehler und Warnungen auf. Bei mir sind es gut 16.000. „Dann hätte ich wohl Schadsoftware auf dem PC.“, so die Anruferin weiter. Und da Microsoft sich um seine Kunden kümmern würde, werde ich jetzt mit einem Techniker verbunden, der mir bei der Beseitigung der Probleme helfe.

Ich war gespannt, wo das hinführt und hatte dann angeblich Marshall Wilson am Apparat. Der sprach ebenfalls Englisch mit deutlichem Akzent. Er wies mich an, Teamviewer zu installieren, um meinen PC zu prüfen. Da ich Windows ohnehin gerade in einer virtuellen Maschine (Virtualbox) laufen hatte, spielte ich das Spiel mit. Herr Wilson zeigte mir die vielen Fehler in der Ereignisanzeige und ein abgelaufenes Microsoft Root Zertifikat. Außerdem hätte ich auch keine richtige Antivirensoftware (brauche ich auch nicht), was zu den vielen Fehlern führt, die mein PC an Microsoft gesendet hat. Dann zeigte er mir Msconfig mit zahlreichen deaktivierten Diensten, was auf Hacker hinweisen sollte, die meinen PC übernommen hätten.

Dienste in Msconfig

Msconfig zeigt die Dienste an, die auf Ihrem PC installiert sind. Dass etliche davon nicht laufen, ist kein Zeichen für einen Hackerangriff.

Auf die Frage, wer er genau sei zeigte er mir auf meinem Bildschirm einen Mitarbeiter-Ausweis, der ihn als Mitarbeiter von Microsoft Los Angeles auswies (mit Windows-Vista-Logo). Die Frage, warum Herr Wilson aus den USA mit auffälligen indischen Akzent spricht, habe ich mit verkniffen.

Mehr Sicherheit für meinen PC?

Danach sollte ich die Webseite www.121usa.com besuchen, die mich sofort auf remote.speaktechsupport.com weiterleitete. Hier musste ich eine ID eintippen, damit der Techniker meinen PC weiter untersuchen könne. Das bescherte mir dann ein LogMeIn Rescue Applet auf dem PC, über das der angebliche Support-Techniker sein Unwesen treiben konnte. Der Bildschirm wurde nach einiger Zeit schwarz und ich habe keine Ahnung, was der angebliche Herr Wilson dabei getrieben hat. Nach etlichen Minuten wurde mit dann vorgeschlagen, einen Support-Vertrag über zwei Jahre mit Kaspersky Antivirus und einem für mich persönlich gültigen Microsoft Zertifikat abzuschließen (49 Euro). Auch neun Jahre und länger waren im Angebot. Zahlen sollte gleich, per Sofort-Überweisung. Das Formular erschien nach einer längeren Wartezeit im Browser auf meinem Bildschirm, und ich sollte meine Bankdaten eintippen. An dieser Stelle habe ich aufgelegt und die Internetverbindung unterbrochen.

Danach konnte ich prüfen, was inzwischen auf meinem Rechner geschehen war. Ich habe jedoch nur die Dateien von LogMein unter „AppData\Local\LogMeIn Rescue Applet“ gefunden. Netterweise war auch die ID-Card noch auf dem Desktop zu finden, die mir Herr Wilson per Teamviewer auf den Rechner geladen hatte (siehe Bild, das Foto habe ich verpixelt). Ich habe die Datei an Microsoft Los Angeles geschickt, mit der Frage, ob es sich tatsächlich um einen Microsoft-Mitarbeiter handelt. Mal sehen, ob die mir antworten.

Das ganze Telefongespräch hat mehr als eine halbe Stunde gedauert. Es scheint sich also zu lohnen, Windows-Nutzer anzurufen und zu verunsichern, vor allem wenn die Arbeitskosten im Land des Anrufers gering sind.

Danach erhielt ich weitere Anrufe von 00688899 und eine E-Mail von „MICROSOFT CORPORATION <msc.technical@outlook.com>“ mit der Antwortadresse marshall_willson@outlook.com (mit LL). Darin hieß es:

We are really sorry ,

the phone call as well the connection got disconnected…
so please receive the call
Marshall is trying to reach you on your telephone…

Eine Antwort an diese E-Mail-Adresse („Ich bin an Ihrem Support nicht weiter interessiert…“), kam mit „Undelivered Mail Returned to Sender“ wieder zurück. Die Telefonnummer habe ich inzwischen in meiner Fritzbox blockiert.

Weitere Untersuchungen und mögliche Gefahren

121usa.com ist mit einer IP-Adresse in Arizona, Scottsdale, auf den Namen Akshay Kumar registriert, einem bekannten indischen Schauspieler. Die Site ist bei Godaddy.com gehostet. Auf die IP-Adresse sind weitere 132831 Domains registriert, meist mit fragwürdigem Inhalt. Ein Beispiel ist 00-software.biz. Der Aufruf ändert die Adresse auf www.oo-software.com/de/parking, die auf (die seriöse) O&O Software GmbH verweist. Möglicherweise verbirgt sich dahinter eine Site, die für den den Download von Schadsoftware missbraucht werden soll.

speaktechsupport.com gehört dagegen Rahul Choudhury, soll in Singapur beheimatet sein und ist ebenfalls bei Godaddy.com registriert. Auf der Website werden unglaubliche viele Dienste angeboten vom Windows Setup und Netzwerk-Support bis zur Datenwiederherstellung und Sicherheitslösungen. Soweit zu sehen ist, handelt es sich dabei um Scam (Betrug).

Bei Youtube habe ich noch einige Videos gefunden, die einen Anruf bei speaktechsupport.com (1-800-806-0768) wiedergeben. Das zweite Video von MAXCyberDefense ist besonders interessant: Nachdem sich die Anrufer widerspenstig gezeigt und den Techniker verärgert hatten, löschte der angebliche Support per Fernzugriff Dateien von der Festplatte, sodass das System unbrauchbar wurde. Wenn Sie den „Support“ selbst testen möchten, sollten Sie diesen Test daher nur in einer virtuellen Maschine durchführen. Für alle, die kein Wagnis eingehen möchten, hier die dringende Warnung:

Legen Sie sofort auf, wenn angebliche Microsoft-Mitarbeiter Sie anrufen und Ihnen Sicherheitslösungen verkaufen möchten. Microsoft ruft niemanden unaufgefordert wegen Sicherheitsproblemen an und verlangt weder Fernzugriff auf Ihren PC noch Ihre Kontodaten.

Möglicherweise sind die Scammer zurzeit besonders aktiv, weil zahlreiche Windows-Benutzer gerade mit Windows-10-Upgrades beschäftigt sind und sich Sorgen um die Sicherheit machen.

Was kann man gegen die Täter unternehmen?

Insgesamt tun sich Politik und Behörden schwer, mit Internetkriminalität umzugehen. So ist es beispielsweise kaum möglich herauszufinden, wer tatsächlich etwa hinter der Rufnummer 00688899 steckt. Die Betrüger leiten den Voice-over-IP-Verkehr über diverse Anbieter weiter, die meist nicht besonders auskunftsfreudig sind. Ein erster Schritt wäre, die betrügerischen Websites beziehungsweise Domains aus dem Netz zu nehmen. Hier wären die Web-Hoster in der Pflicht. Diese kann man über den Missbrauch informieren. Ob darauf jedoch eine Reaktion erfolgt, ist fraglich.

Internet-Browser wie Mozilla Firefox, Google Chrome und Microsoft Internet Explorer warnen standardmäßig vor Phishing- und Malware-Websites. Wer von den Tätern auf gefährliche Websites gelockt wird, sollte daher eine Warnmeldung erhalten und der Browser sollte den Zugriff blockieren. Phishing-Sites können Sie bei Google auf der Seite Report Phishing Page melden. Malware-Sites bei Google auf der Seite Report malicious software oder bei stopbadware.org.

Betrug und Betrugsversuche können Sie auch bei der Polizei melden. Einige Bundesländer bietet ein Online-Formular dafür an, beispielsweise die Polizei Brandenburg und die Polizei Niedersachsen. Anzeigen nimmt aber jede Polizeidienststelle in Ihrer Nähe entgegen. Viel versprechen sollten Sie sich davon allerdings nicht. Die Möglichkeiten der Polizei, bei Anzeigen gegen Unbekannt und Internetkriminalität, sind sehr begrenzt.

Auch die Softwarehersteller wären in der Pflicht. Im geschilderten Fall vor allem Microsoft. Der Konzern hätte deutlich mehr Möglichkeiten, betrügerische Websites zu finden und für deren Schließung zu sorgen – vor allem in den USA. Auch Hersteller von Fernwartungssoftware wie LogMein müssten dafür sorgen, dass ihre Software nicht missbräuchlich verwendet wird.

Die andere Seite: Wer sich darüber beklagt, dass betrügerische Websites nicht schnell genug aus dem Internet verschwinden, muss auch die Nebenwirkungen dieser Forderung bedenken. Schnell könnten Websites betroffen sein, deren Inhalte beziehungsweise politischen Aussagen jemandem nicht gefallen. Insofern ist es verständlich, das Suchmaschinenbetreiber und Hosting-Anbieter zurückhaltend mit Sperranträgen umgehen. Hier gilt es, einen tragfähigen Kompromiss zu finden und die internationale Zusammenarbeit deutlich zu verbessern.

 

 

 

Be Sociable, Share!

9 Kommentare

  • Hallo ,
    ich habe heute an windows Anforderung bekommen dass ich Nummern 0322 14219626 anzurufen!?Mein Computer ist gesperrt!? Wass soll ich jetzt machen…komme nicht mehr rein!?

    • Ist der Computer tatsächlich gesperrt? Oder ist das nur ein Meldungsfenster?
      Ich würde ein Linux-Live-System booten und die Daten auf der Festplatte untersuchen.
      Es könnte sich um eine Virus beziehungsweise Verschlüsselungstrojaner handeln.
      Die Nummer würde ich auf keinen Fall anrufen. Das kann teuer werden.
      Dahinter stehen auf jeden Fall Betrüger.

  • ICH HABE SELBST ANGERUFEN
    Mir ist heute genau das gleiche passiert, aber leider andersrum. Bei mir ging ein Fenster auf, ich hätte einen Virus mit einem schweren Fehler auf dem PC, solle nicht weiterarbeiten sondern eine lokal Nummer anrufen. Das habe ich getan. Der sagte er sei von „LogMeIn“, Vertragsfirma von Windows und wollte Zugriff auf meinen PC – ich gab ihn ihm. Dann passierte genau das gleiche wie oben beschrieben. Am Ende sollte ich einen Service von 60 Euros bezahlen, damit sie das Problem lösen und ich einen 24h Std-Service von Ihnen erhalte. Ich hoffe, mein Computer wurde jetzt nicht – mit meiner Zustimmung – gehackt.

  • MARSHALL WILSON

    Hey this is marshall wilson .And i will not stop scamming you people.You people are smart but most of the people in your country are fools.And then i take thousand of euros from their Account.And you police Department and your Government cannot do anything.They cannot catch me ever.I challenge you.Catch me if you can.
    HAHAHAHAHAHAHAHAHAHAHAH
    yOU FOOLS………………………….

    • Ich weiß ja jetzt nicht, ob dieser Kommentar von einem Troll stammt oder tatsächlich vom möglichen Täter. Aber recht hat er. Polizei und Regierung sind machtlos. Es muss jeder selbst für die Sicherheit seines PCs sorgen und bei jeder Art von Betrugsversuchen vorsichtig reagieren. Das gilt am PC und auch in der realen Welt.

  • Ich habe heute (und schon zwei mal) auch so einen Anruf erhalten, aber von einer anderen Nummer (0764240216 die Nummer gehört eigentlich einem älteren Ehepaar aus Endingen (das weiß ich da diese Nummer Kunde bei der Deutschen Telekom ist, wo mein Vater arbeitet)). Da ich erst 13 bin und noch nicht im Stimmbruch bin, habe ich mich als sechs Jähriger ausgegeben. Was ich noch dazusagen muss das ich auch nicht Windows benutze, sondern Ubuntu und generell aus meiner Familie niemand Windows hat (außer in einer virtuellen Machine). Bei mir hatte er auch einen indischen Akzent und sprach nicht sehr gutes Englisch. Am Anfang sagte er mir das er von Microsoft anrufe und das ich im Google Chrome auf die Seite www. 121usa . com gehen soll, das ich nicht gemacht, aber so getan habe als ob ich es gemacht hätte. Dann fragte er mich ob ich irgendetwas mit Remote Control sehe, ich spielte sein Spiel weiter und sagte ja. Ich sagte ihm dann irgendeine ID und irgendeine Nummer. Dann solle irgendwas downloaden und ich solle es installieren. „Dann hat bei mir dauernd irgendwas nicht funktioniert“ habe ich gesagt. Später habe ich gesagt das ich keine Ahnung hätte und habe denen meine Mutter gegeben und jemand anderes hat sich am Telefon gemeldet, dann hat sie gesagt das sie ein iMac hat und kein Windows und wie die dann überhaupt etwas machen wollen. Dann bin wieder ich ans Telefon gegangen und wir haben alles nochmal von vorne gemacht. Als der mir gesagt hat das mein Computer gesperrt wird wenn ich nichts mache, habe ich in ängstlicher Stimme gesagt das ich alles mache was er will, als er mir dann die Installation nochmal erklären wollte habe ich gesagt das mein Computer abgestürzt ist. Er sagte ich solle ihn wieder anmachen, worauf ich dann behauptet hatte das, das nicht mehr ginge. Dann habe ich gesagt das wir noch einen anderen Computer haben, er sagte ich solle es an diesem machen, als ich ihm sagte dass dieser sich auch nicht mehr einschalten lässt, sagte er „Then go and f**k your mother! Do you see your mother, the pu**y!“ Danach legte ich auf!
    Wir haben diese Nummer zwar noch nicht geblockt aber wenn die uns nochmal anrufen werden wir dies tun.

  • Hallo,

    Heute wurde ich von angeblich Microsoft angerufen.
    Tel.Nr. 02225 90706 . Angeblich hätten Häcker meinen
    Computer infiziert. Mein Englisch ist leider nicht gut
    und die haben mich dann auf die
    121USA.com-Seite weitergeleitet. Ist da was dran.
    Wie kann ich feststellen, ob mein Computer ok ist.
    wie kann ich reagieren??

    Viele Grüße und Danke
    Waltraud

    • Die Nummer 02225 90706 ist bereits für Betrugsanrufe bekannt. Siehe: https://www.sollichannehmen.de/telefonnummer/0222590703. Bitte reagieren Sie nicht auf weitere Anrufe von dieser Nummer und erlauben Sie keinen Fernzugriff auf Ihren Computer. Microsoft ruft niemanden an.

      Der Anruf hat nichts mit möglichen Problemen auf Ihrem PC zu tun, sondern erfolgt rein zufällig.

      Ihr PC ist ausreichend geschützt, wenn Sie immer alle Windows-Updates installieren und eine aktuelle Sicherheitssoftware beziehungsweise eine Antivirus-Software verwenden. Laden Sie keine Programme aus unbekannten Internet-Quellen herunter und öffnen Sie ohne genaue Prüfung keine E-Mail-Anhänge – auch nicht von Ihnen bekannten Firmen oder Freunden.

  • Hallo,

    Heute wurde ich von angeblich Microsoft angerufen.
    Tel.Nr. 02225 90706 . Angeblich hätten Häcker meinen
    Computer infiziert. Mein Englisch ist leider nicht gut
    und die haben mich dann auf die
    121USA.com-Seite weitergeleitet. Ist da was dran.
    Wie kann ich feststellen, ob mein Computer ok ist.
    wie kann ich reagieren??

    Viele Grüße und Danke
    Waltraud

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.