Für die regelmäßigen Leser unsere Blogs dürfte es keine Überraschung sein, dass Abzock-Anrufe ein beliebtes Mittel bei Betrügern sind. Was jedoch relativ neu ist, ist die Tatsache, dass die Abzocker ihrerseits um einen Anruf bitten, statt "Kaltakquise"zu betreiben. Dort besteht durchaus die Chance, dass man als Abzocker an jemanden wie mich oder meinen Kollegen Eddy Willems gerät - Menschen also, von denen man sagen kann, dass sie Ahnung von IT-Sicherheit haben. So hatte mein Kollege Eddy Willems auch einmal das Vergnügen, mit einem dieser Abzocker zu telefonieren. Anders als sonst bei diesen Anrufen üblich, bekam er damals sogar ein Job-Angebot.
Eine etablierte Methode zur Kontaktaufnahme können E-Mails sein oder Nachrichten in einem Browserfenster - andere Methoden können auch bösartige Werbung oder Schadsoftware beinhalten. In unserem Falle bekam der Benutzer eine Meldung mit der "Fehlernummer DW6VB36" zu sehen, die zum Anrufen einer Support-Hotline aufrief. Begleitet wurde das Ganze von einer Stimmaufzeichnung, die zusätzlich davor warnte, die Nachricht zu ignorieren. In diesem Falle würde "der Rechner deaktiviert" und "eine Kopie des Berichts an die "Netz-Sicherheit" geschickt, um weitere Schäden zu vermeiden und zusätzliche Schritte einzuleiten."
Vorgehensweise
Der erste Schritt in einer Abzock-Masche ist die Kontaktaufnahme. In Fällen, in denen die Opfer angerufen werden, beginnt der Kontakt direkt nachdem man den Anruf entgegen genommen hat. In letzter Zeit haben Betrüger jedoch ihre Vorgehensweise angepasst, da mehr und mehr Menschen wissen, dass es solche Betrugs-Anrufe gibt. Die Erfahrung zeigt, dass die Betrüger keine Zeit verschwenden und direkt auf den Punkt kommen, sobald der Kontakt hergestellt ist. Man behauptet, im Auftrag von Microsoft oder einer anderen Firma anzurufen. Dann wird auf verschiedene Weise versucht, dem Opfer klar zu machen, dass deren Computer Probleme verursacht, zu deren Lösung man beitragen wolle. Dazu bräuchte man "dringend" Zugriff auf den Rechner. Oft wird unterstrichen, dass ausschließlich die angebliche Support-Hotline zur Lösung dieser Probleme im Stande ist.
Sollte der Anrufer Widerwillen zeigen, dann werden mehr oder weniger versteckte Drohungen gemacht. Das kann die Androhung eines Strafverfahrens, das Einfrieren oder Sperren von Bankkonten oder Kreditkarten sowie Online-Zugängen sein. In anderen Fällen sperren die Betrüger ihre Opfer aus dem System aus. Sobald das Betrugsopfer dazu bewegt wurde, einem "Support-Mitarbeiter" per Fernwartung Zugang zu gewähren, passiert zumeist folgendes:
- Verschlüsselung des Benutzerkontenspeichers mit dem Windows-Werkzeug "Syskey". Die Betrüger behaupten, dass sie damit die "Hacker aussperren".
- Öffnen von Systemprotokollen oder Diensten und der Versuch, das Opfer davon zu überzeugen, dass ein System "eindeutig infiziert" sei - und natürlich ist der Support-Mitarbeiter als einziger qualifiziert, diese Bedrohung abzustellen
- Andeuten eines "Systemscans"
- Anbieten einer Dienstleistung oder eines "Wartungsvertrages"
Diese "Dienstleistungen" sind natürlich alle kostenpflichtig. Eine oft genutzte Strategie ist das Anbieten von "Wartungsverträgen". In einigen Fällen installieren die Betrüger Gratis-Programme auf dem PC und behaupten, es handele sich um ihr Produkt - natürlich können auf dem Weg auch Schadprogramme installiert werden. Sollte sich ein potenzielles Opfer standhaft weigern, Zahlungen zu leisten, dann löschen Betrüger in manchen Fällen kritische Dateien oder machen das System anderweitig unbrauchbar. So wird dann die Abzocke schnell zur Erpressung, bei der nur dann der Zugang wieder gewährt wird, wenn eine Zahlung geleistet wurde - wenn überhaupt.
Bei Anruf: Betrug
Folgende Konfiguration kam beim Gespräch mit den Betrügern zum Einsatz: Ich habe eine Maschine in unserem Labor aufgesetzt und mit einem externen Screen-Recorder verbunden. Der PC geht über eine IP ins Netz, die normalerweise auf keiner "schwarzen Liste" auftaucht - denn auch die Betrüger sind nicht dumm und wissen hinter welchen IP-Adressen sich möglicherweise Sicherheitsfirmen verbergen. Ich habe auch einen "echten" PC gewählt und keine virtuelle Maschine - denn Kriminelle prüfen in einigen Fällen auch, ob man sie in einer VM aufs Glatteis führen will. Der Anruf bei der angeblichen Support-Hotline erfolgte mit einer nicht gelisteten Nummer ohne Rufnummernübertragung. Eine freundlich klingende Mitarbeiterin, die mit starkem Akzent sprach, nahm meinen Anruf entgegen. Sie erklärte mir, was passiert war und warum ich anrufen sollte. Dann bat sie um eine Rückrufnummer, unter der sie mich erreichen könne. Ich gab ihr eine Mobilfunknummer und sie rief sofort zurück. Sie wies mich an, auf eine Support-Webseite zu gehen (in diesem Falle "helpme.net" - eine ganz normale Fernwartungsseite die auch von vielen regulären Dienstleistern genutzt wird). Sie führte mich durch die einzelnen Schritte und reichte dann den Anruf an "einen ihrer hochqualifizierten Ingenieure" weiter.
"Peter von Windows"
Der Support-Mitarbeiter, der sich als Peter vorstellte und auch mit einem starken Akzent sprach, war ebenfalls sehr freundlich. Was weniger freundlich war, war die Tatsache, dass er als erstes den Benutzerkontenspeicher meines PCs verschlüsselte und mit einem Passwort belegte. Bereits jetzt hatte ich einen unbenutzbaren PC, selbst wenn ich jetzt sofort die Verbindung getrennt hätte. Er erklärte mir, dass er mit dieser Maßnahme sicherstelle, dass das System vor fremdem Zugriff geschützt ist. Technisch gesehen stimmt das sogar - nur bin ich hier plötzlich selbst zum "Fremden" geworden. Dann öffnete Peter die Ereignisanzeige des Betriebssystems, um nach "Hintergrundviren" zu suchen. Er fand Hunderte davon und behauptete, jede "Fehler" - oder "Warnung" - Meldung in der Anzeige für einen solchen Virus stehe, inklusive Datum und Uhrzeit, wann diese auf das System gelangt sein sollen. Aber es sollte noch dicker kommen: Er öffnete eine Eingabeaufforderung und gab den Befehl "netstat" ein. Alles, was dieser Befehl tut, ist, eine Auflistung offener Verbindungen des Rechners aufzulisten. Normalerweise ist hier nicht viel Interessantes zu lesen. Peter versicherte mir aber, dass all diese Einträge für Hacker stünden, die jederzeit Zugriff auf meinen Rechner hätten. Mich persönlich hätte an Peters Stelle die lokale IP-Adresse stutzig gemacht, da in den meisten Fällen eine IP-Adresse, die mit "10.x.x.x". beginnt, zumindest unüblich für ein normales Heimnetz ist. Zudem hatte er wohl öffentliche und private IP-Adressen miteinander verwechselt, aber das nur am Rande. Für mich war es jedenfalls alles andere als einfach, die Fassung zu bewahren. Glücklicherweise war dies kein Video-Anruf.
Jetzt wurde es bizarr: Peter begann, mir von "Koobface" zu erzählen. Diese Malware machte etwa im Jahr 2010 von sich Reden. Er behauptete, ich hätte diesen Virus auf meinem Computer. Umständlich las er mir die ersten Zeilen des dazugehörigen Wikipedia-Artikels (den er schnell über Google gesucht hatte) vor und bestand darauf, dass man hier etwas unternehmen müsse. Dazu müsse ein Sicherheitsscan auf dem Rechner durchgeführt werden, der 60 bis 90 Minuten dauern würde. Der Scan erfordere auch kostenpflichtige Software. Peter öffnete einen Text-Editor und begann eine Preisliste zu tippen. Für eine einmalige Bereinigung des Rechners veranschlagte er 150 Euro. Weitere Verträge mit unterschiedlichen Laufzeiten waren verfügbar - vom einem Jahr für 349 Euro zzgl. Mehrwertsteuer bis hin zu einem "lebenslangen" Vertrag für 888 Euro. Dann sprachen wir über mögliche Zahlungsmethoden. Ich gab sofort zu verstehen, dass ich keine Kreditkarte besitze. Das sei aber kein Problem, beruhigte mich Peter, denn man könne auch per Banküberweisung zahlen oder per Apple iTunes-Karte zahlen. Ich versuchte Peter die Bankdaten für eine Überweisung zu entlocken, allerdings bestand er auf iTunes-Karten. Ich bot ihm sogar meine Bankverbindung für eine Lastschrift an. Im Gegenzug frage Peter mich, welcher Supermarkt am nächsten gelegen sei und ob dieser iTunes-Karten verkaufe und wie lange ich für den Hin- und Rückweg bräuchte. Ich versuchte weiterhin an Überweisungsdaten zu kommen, aber davon wollte er nun nichts mehr wissen - er unterstrich noch einmal, dass eine Überweisung 29 Euro teurer wäre und deshalb iTunes viel besser sei - selbst, als ich zu verstehen gab, dass mir die Extrakosten nichts ausmachten.
"Silberne Partner"
Da wir offensichtlich so nicht weiterkamen, fragte ich, ob ich nicht einfach das System neu aufsetzen könne, um das Problem zu lösen. Alles, was auf dem Rechner sei, wäre in einem Backup. Nein, das sei unmöglich, da meine IP-Adresse und mein Internetanschluss infiziert seien. Als ich den Vorschlag machte, einen Freund "der viel Ahnung von Computern hat" darauf schauen zu lassen, wurde der Ton aggressiver. Plötzlich hatte ich nicht mehr Peter sondern jemand anderen am Telefon, der mich offenbar versuchte einzuschüchtern. Warum ich denn überhaupt anrufe war eine der Fragen - vielleicht auch, weil man das Gefühl bekam, dass ich deren Zeit verschwende...? Um ehrlich zu sein - genau das tat ich ja. Mittlerweile eine knappe Dreiviertelstunde davon. Ich antwortete wahrheitsgemäß (fast jedenfalls), dass ich anrufe, weil die Meldung auf dem Bildschirm gesagt hat, dass ich anrufen soll. Mein neuer Gesprächspartner machte mir mehrfach klar, dass ich es mit einem "Silbernen Partner von Windows" zu tun hätte. Ich schlug dennoch erneut vor, dass ich zuerst einen Bekannten einen Blick auf das Problem werfen lasse. Anscheinend hatte mein Gesprächspartner nun genug von mir und verabschiedete sich mit einem knappen "Ja, dann danke ich für Ihren Anruf, ich wünsche ihnen noch einen schönen Tag".
Wie bereits befürchtet, verlangte mein Computer nun nach einem Neustart ein Passwort. Dieses hatte mir Peter natürlich nicht genannt. Hätte ich noch einmal angerufen, dann hätten die Betrüger vermutlich mehr Geld als ursprünglich verlangt, um das "Problem" zu lösen. Wäre meine Situation "echt" gewesen, hätte ich nun ein Problem.
Warum funktioniert diese Abzocke so gut?
Die besten Werkzeuge eines Betrügers sind Geschwindigkeit, Überraschung und Aggression.
Menschen, die von solchen Betrügern angerufen werden (bzw. die sie anrufen), werden mit einer geballten Ladung von Angstmacherei, Drohungen und technisch klingenden Worthülsen "mürbe gemacht". Man zeigt den Opfern normale Systemdaten und versucht, sie davon zu überzeugen, Opfer eines Angriffs oder eines "Hackers" geworden zu sein. Alles, was die Abzocker dafür tun müssen, ist das logische Denke ihres Opfers lange genug auzszuschalten, damit es die geforderte Zahlung leisten kann. Diese bewährte MEthode setzt auch Ransomware ein. Da der Mensch von Natur aus allem Negativen (wie Strafverfahren, finanzielle Probleme, Datenverlust) lieber aus dem Weg gehen möchte, tun sie alles, um diese Ereignisse abzuwenden - selbst wenn das bedeutet, dass man einem Fremden am Telefon seine Kreditkartendaten gibt oder sie auf einer vom Betrüger genannten Internetseite eingibt. Geschwindigkeit ist der Schlüssel - das Opfer soll keine Zeit zum Nachdenken haben. Aus diesem Grunde gehen die Betrüger sehr bestimmt und teilweise sogar aggressiv vor. Sobald ein mögliches Opfer Zeit bekommt zum Denken, ist das Spiel normalerweise aus.
Von aktuellen Ereignissen profitieren
Wenn bestimmte Ereignisse lange genug eine gewisse Medienpräsenz haben, dann steigt auch das Risiko, dass Abzocker auf diesen Zug versuchen aufzuspringen.
Mittlerweile haben viele Menschen eine Vorstellung davon, was Ransomware ist und welchen Schaden Hacker anrichten können. Zumindest reicht das Wissen so weit, dass Menschen dies als "nichts Gutes" und als gefährliches Problem einstufen. Das ist bereits eine gute Grundlage für eine solche Masche - alles, was man jetzt noch braucht, ist jemand, der am Telefon bestimmt und überzeugend genug auftreten kann.
Wie kann ich mich schützen?
Die Schritte, die zum Schutz vor Abzockern notwendig sind, kann man einfach umsetzen. Das Entscheidende ist, dass man sich an sie erinnert, wenn man einem vermeintlichen Abzocker gegenübersteht.
- Angst und Einschüchterung sind die wichtigsten Werkzeuge von Betrügern.
Falls der Anrufer / der Angerufene im Weigerungsfall mit negativen Konsequenzen droht (rechtlicher, finanzieller, technischer oder sonstiger Art): legen Sie einfach auf. Abzocker arbeiten oft mit Extremen: man kann die Zahlung leisten und "alles wird gut" - weigert man sich, dann drohen Gefängnis, finanzielle Schwierigkeiten oder der Verlust wichtiger Daten.
Oft behaupten die Betrüger auch, dass die Probleme sich nur lösen lassen, wenn man ihre "Hilfe" annimmt. Das gelte selbst für den Fall, dass man das System neu aufsetzt. - Unter keinen Umständen sollte man Kreditkarten- oder sonstige Zahlungsdaten über das Telefon bekanntgeben. Gleiches gilt für die Eingabe auf Internetseiten, zu denen man Sie lotst.
- Gewähren Sie niemals jemandem den Fernzugriff auf Ihr System, sei sei denn, sie kennen die Person und vertrauen ihr:
Das erste, was Abzocker oft tun, ist das Betriebssystem so zu manipulieren, dass der PC nicht mehr richtig startet, falls Sie die Zahlung verweigern oder das Telefonat beenden.
Die gute Nachricht ist, dass das Syskey-Tool, das in diesem Beispiel für die Manipulation benutzt wurde, mit dem kommenden Creators Update von Windows 10, welches im Herbst erscheint, nicht mehr unterstützt werden wird. - Sollte der Betrüger bereits per Fernwartung auf Ihrem Computer eingeloggt sein: ziehen Sie sofort das Netzwerkkabel und starten Sie auf keinen Fall die den PC neu. Sehr wahrscheinlich wird das System ohne die Eingabe eines Passwortes, welches die Betrüger gesetzt haben, nicht mehr hochfahren. Sichern Sie stattdessen alle wichtigen Daten und setzen das System neu auf.
- Falls Sie dennoch Kreditkartendaten weitergegeben und eine Zahlung geleistet haben, verlieren Sie keine Zeit und kontaktieren sofort Ihre Bank. Lassen Sie Ihre Kreditkarte sperren und die Transaktion rückgängig machen und als "betrügerisch" kennzeichnen (sein Geld zurück zu bekommen ist unter Umständen jedoch nicht möglich, da die Transaktion von Ihnen autorisiert worden ist. Aus Sicht der Bank ist die Transaktion damit in Ordnung.).
Es ist wichtig festzuhalten, dass viele der Schritte, die Abzocker unternehmen, keine Schadsoftware beinhalten - zumindest am Anfang. Die Fernwartungswerkzeuge an sich sind legitim und werden auch von legalen Serviceanbietern genutzt; ebenso sind die Werkzeuge wie netstat oder Syskey, die am PC über die Fernwartung eingegeben werden, Teil des Betriebssystems und vollkommen legitim. Daher kann keine Sicherheitslösung der Welt, wie die von G DATA, vor dieser Form des Angriffs schützen. Die Betrüger verstehen sich sehr gut auf so genannte Social Engineering-Techniken und tun ihr Möglichstes, damit ihre Opfer aus vermeintlich freien Stücken eine (für sie nachteilige) Entscheidung treffen.