23 Februar 2014

Warnung vor Windows Service Center Anruf - Abzocke!

Im Folgenden dokumentiere ich einen betrügerischen Telefonanruf, dessen Zweck es offensichtlich war, Geld von mir zu ergaunern.

Am Samstag, den 22. Februar 2014 erhielt ich um 10:44 Uhr einen Anruf von der Nummer 0044800252525. Eine Dame fragte mich auf Englisch, ob ich Englisch spräche, was ich bejahte.
Sie stellte sich mit leicht asiatischem Akzent als Lisa vom Windows Service Department vor und sagte, es läge ein Problem mit meinem Computer vor. Ich wurde sofort misstrauisch. Mehrfach fragte ich nach, für welche Firma sie arbeitet (Antwort immer "Windows Service", den Firmennamen "Microsoft" nannte sie nicht ein einziges Mal) und warum genau sie mich anruft (Antwort immer in die Richtung, dass mein Computer fehlerhaft sei und dadurch die Windows Server belastet würden). Mit jeder meiner Nachfragen erhöhte sie den Dringlichkeitsdruck und forderte mich recht rüde auf, sofort an meinen eingeschalteten Computer zu gehen, um das Problem zu beheben. Am Computer würde sie mir dann zeigen, dass ihr meine Windows-Lizenznummer bekannt sei, so dass ich sicher sein könne, dass Sie wirklich für Windows arbeite und es sich um ein echtes Problem handele.

Von unseren Rechnern war zu diesem Zeitpunkt nur einer eingeschaltet: Mein Sohn war mit einem Offline-Spiel beschäftigt und renderte im Hintergrund ein Video. Nichts Ungewöhnliches.

Ich beschloss, den Anweisungen der Dame Folge zu leisten, aber jeden Schritt vorher zu ergoogeln.

Als Erstes ließ sie mich die Tastenkombination "Windows-Key" + "R" drücken, die mir bekannt ist und zum Dialogfeld "Ausführen" führte, in der sie mich nicht überraschend den Befehl CMD eingeben ließ.

In dem sich dann öffnenden Fenster mit der Eingabeaufforderung wies die Dame mich an, den Befehl "assoc" einzutippen. Bevor ich dies tat, suchte ich in Google nach diesem Befehl. Auf der ersten Seite der Suchergebnisse fand ich nichts Verdächtiges. Während ich nachforschte, fragte die Dame am anderen Ende der Leitung alle paar Sekunden nach, ob ich den Befehl schon eingegeben habe. Ich sagte mehrmals "Hold on for a moment please", beim 3. Mal laut und barsch - und die Dame hielt endlich mal einige Sekunden lang ihren Mund. Unter dem Zeitdruck überflog ich die Ergebnisse zu "assoc", und da ich nichts wirklich Beunruhigendes fand, schickte ich ihn ab. Eine Liste der Dateitypzuordnungen erschien. In der vorletzten Zeile stand Folgendes:
.zfsendtotarget=CLSID\{888dca60-fc0a-11cf-8f0f-00c04fd7d062}

Die Dame "verifizierte" jetzt, ob es sich bei dem schadhaften Computer wirklich um meinen handelt und las mir exakt oben genannte Zeichenfolge 888dca60-fc0a-11cf-8f0f-00c04fd7d062 vor. Bis hierhin wusste ich noch nicht, dass diese Zeichenfolge auf JEDEM Rechner gleich ist. Jedenfalls bestätigte ich ihr, dass diese Nummer stimmt. Sie erläuterte mir dann, dass das Problem so gravierend sei, dass sie nicht befugt ist, daran weiter zu arbeiten, und dass sie mich jetzt mit einem Vorgesetzten verbinden müsse.

Nach wenigen Sekunden hatte ich einen Herrn in der Leitung, der sich als "Supervisor" vorstellte. Er wiederholte, dass ein schwerwiegendes Sicherheitsproblem mit meinem Computer vorliege. Er forderte mich auf, den Befehl "eventvwr" im noch geöffneten Fenster einzutippen und Enter zu drücken. Ich googelte nach "eventvwr", und die dann erscheinenden Ergebnisse (zweiter Vorschlag war "eventvwr anruf") brachten mir endlich absolute Sicherheit, dass es sich um einen betrügerischen Fake-Anruf handelt und ich legte sofort auf.

Passiert war mir in den bis zu diesem Punkt verstrichenen knapp 15 Minuten zum Glück noch nichts. Mit "eventvwr", ein auch noch völlig harmloser Befehl, um die Windows-Ereignisanzeige aufzurufen, in der immer irgendwelche Fehlermeldungen angezeigt werden, hätte der vermeintliche Service-Techniker mir einen weiteren Beweis geliefert, dass mit meinem Rechner etwas nicht stimmt. Inzwischen weiß ich, dass der Betrüger mich in den nächsten Schritten aufgefordert hätte, eine Remote-Software wie TeamViewer oder Ammyy Admin zu installieren und mich dann aufgefordert hätte, eine Service-Pauschale von 150 Dollar oder Euro, wahrscheinlich via PayPal, zu überweisen mit dem Ziel, meine Kreditkartendaten zu erschleichen.

Eigentlich hätte ich bei Annahme des Anrufs sofort auflegen müssen. Aber das schreibt sich rückblickend sehr leicht - in der Stresssituation des Anrufes selbst reagiert man nicht so, wie man es vernünftigerweise sollte. Mir kam zugute, dass ich ganz gut Englisch spreche und ich es darum verbal mit den beiden Gaunern aufnehmen konnte.

Inzwischen habe ich auch die völlig harmlose Funktion des Befehls "assoc" verstanden, so dass ich sicher sein kann, keine Daten an irgendjemanden geliefert zu haben.
Die Anrufer unternehmen einfach einen "Schuss ins Blaue" und hoffen schlicht darauf, auf einen Haushalt mit mindestens einem eingeschalteten Windows-PC zu treffen und davon zu überzeugen, dass man für die Hilfe Geld bezahlt.

Aufgeschrieben habe ich das Ganze als Warnung an alle, die vielleicht solch einen Anruf in der Zukunft erhalten.

Weitere klärende Quellen sind:
http://www.heise.de/security/meldung/Abzock-Anrufer-geben-sich-als-Microsoft-Techniker-aus-1656479.html
http://www.microsoft.com/en-gb/security/online-privacy/avoid-phone-scams.aspx