![\"\"](\"https:\/\/it-net.blog\/wp-content\/uploads\/2018\/07\/2018-07-03-17_28_45-Microsoft.com-site-search-results.png\")
<\/p>\nHeute Nachmittag hat mich auf meinem privaten Festnetzanschluss ein Anruf von „Microsoft“ erreicht.<\/p>\n
Der Herr hat mir in englischer Sprache erkl\u00e4rt, dass mein Computer von einem Trojaner befallen sei und ein schwerwiegendes Problem f\u00fcr mein ganzes Netzwerk bestehe sowie die Lizenz meines Windows gesperrt wurde.<\/p>\n
Da dachte ich mir, ich spiele mal mit und startete meine Windows 7 Hyper-V VM. Der „nette“ Supportmitarbeiter wies mich Schritt-f\u00fcr-Schritt an, den Eventviewer zu \u00f6ffnen. Ich leistete Folge und wie auf jeder Windows Installation \u00fcblich, fanden sich tats\u00e4chlich einige Warn- und Fehlermeldungen.<\/p>\n
Die Banden welche diese Betrugsmasche anwenden gehen recht professionell zu Werke, nach Angabe der Systemsprache konnte dieser mich wortgenau durch die deutsche Windows 7 Installation lotsen.<\/p>\n
Nun wurde mir angeboten, meine Probleme durch ihn weiter analysieren zu lassen, dazu soll ich ein kleines („Microsoft“) Tool von einer Webseite herunterladen. Ich folgte brav seinen Anweisung und lud von der SupRemo Webseite den entsprechenden Client herunter. \u00c4hnlich wie beim bekannten Teamviewer muss dem Supporter eine ID und ein Passwort mitgeteilt werden, was ich auch tat. Er \u00fcbernahm also die Kontrolle \u00fcber meine VM und erkl\u00e4rte mir, was er alles tat. Er zeigte mir in der Systemkonfiguration die Dienste, welche den Status beendet tragen, dies sei sehr problematisch, da es sich dabei um Sicherheitsfunktionen handle. Weiter \u00f6ffnete er den Zertifikatsmanager und pr\u00e4sentierte mir ein im Jahr 2000 abgelaufenes Microsoft Root Zertifikat welches in jeder (zumindest Windows 7) Installation noch in den vertrauensw\u00fcrdigen Stammzertifizierungsstellen liegt. Dies sei meine Microsoft Windows Lizenz welche aufgrund meines verseuchten Computers ausgelaufen sei und erneuert werden m\u00fcsse.<\/p>\n
Nun installiert der Scammer zu meiner \u00dcberaschung noch einen Teamviewer. Dieser laufe bei meiner sehr langsamen Internetverbindung besser (Die VM war durch mich vorg\u00e4ngig auf 1 Mbit\/s Up- und Download gedrosselt).<\/p>\n
Das gesamte Telefonat fand in Englisch statt, wir hatten eigentlich keine Probleme mit der Verst\u00e4ndigung. Jedoch hat er mir meine Computerprobleme, die Auswirkungen und die Begriffserkl\u00e4rungen f\u00fcr mich im Google Translate in English verfasst und on-the-fly ins deutsche \u00fcbersetzen lassen. Nun gut. Er erkl\u00e4rte mir die Begriffe Trojaner, Spam, Junk etc.<\/p>\n
Da die Internetverbindung immer noch nicht schneller wurde bat er mich, doch meine anderen Computer oder Tablets etc. auszuschalten, diese seien auch sehr gef\u00e4hrdet und ebenfalls infiziert. Auch soll ich mein Handy ausschalten, ich kam dieser bitte nach.<\/p>\n
(Was er aber nicht wusste, mein Festnetztelefon ist auf das betreffende Handy umgeleitet, ich folgte nat\u00fcrlich trotzdem seinen Anweisungen, was die telefonische Verbindung unterbrach. Ich solle mein Handy wieder einschalten lies er mich schriftlich bitten. Ich lasse ihn aber erstmal 5-10 Minuten warten… und genehmige mir mal eine Tasse Kaffee.)<\/p>\n
Kaum ist das Handy wieder eingeschaltet, hat er sofort wieder angerufen und ich entschuldigte mich f\u00fcr meinen Fauxpas.<\/p>\n
Nun gings ums Gesch\u00e4ftliche. Ich bekam die Info, dass seine Dienstleistung, die Bereinigung und die Lizenzaktivierung f\u00fcr zwei Jahre, CHF 15.00 kosten w\u00fcrde. Als Zahlungsm\u00f6glichkeiten bot er mir Kreditkarte, E-Banking oder iTunes Geschenkkarte an. Auf Nachfrage ob iTunes denn nicht von Apple sei, kam ein Nein, Microsoft betreibe iTunes im Auftrag von Apple. Als Beweis legte er mir die Suchergebnisse von Begriff iTunes von microsoft.com vor.<\/p>\n
<\/p>\n
Nun gut. Ich nahm das mal erstaunt zur Kenntnis.<\/p>\n
Da ich angegeben habe, keine Kreditkarte und kein E-Banking zu besitzen, blieb aus seiner Sicht nur noch eine M\u00f6glichkeit \u00fcbrig. Aus meiner Sicht bot ich ihm noch den Versand per Couvert mit der Post an, dies lehnte er jedoch nach einigen Sekunden \u00dcberforderung ab, dies sei zu unsicher.<\/p>\n
Ich solle doch in einem Kiosk die iTunes Karten im Wert von CHF 500.00\u00a0 kaufen, er werde mir dann die restlichen 485.00 auf mein Bankkonto zur\u00fcck \u00fcberweisen. Es sei leider so, dass die 500.00 von der „Company“ ein Minimalbetrag sei.<\/p>\n
Nun verhandelte ich mit ihm auf 150.00 Sfr. Da ich angab nicht mehr in meiner Brieftasche mitzuf\u00fchren.<\/p>\n
Nach einer Abkl\u00e4rung beim „Manager“, gab er mir gr\u00fcnes Licht, ich solle die Karten im Wert von 150.00 holen gehen. Ich lies ihn im glauben dies zu tun. Er nahm in dieser Zeit keinerlei Aktionen auf meinem Computer vor.
\nEr fragte nur von Zeit zu Zeit per Translate „Sir, are you back?“ Nach einer guten halben Stunde, schrieb ich mal „Yes sir“zur\u00fcck. Augenblicke sp\u00e4ter klingelte das Telefon, was mich zur Annahme bringt, dass er tats\u00e4chlich eine halbe Stunde damit verbrachte meinen Bildschirm zu beobachten.<\/p>\n
Ich solle die zwei Codes (1x 50, 1x 100) doch bitte ins Browserfenster tippen. Leider ging aber gerade dann meine\u00a0Tastatur scheinbar „defekt“. Nun wurde er ungeduldig. Er hatte mit mir immerhin schon \u00fcber eine Stunde Besch\u00e4ftigung. Er wollte die Codes nun per Telefon \u00fcbermittelt erhalten. Leider wusste ich bis dato nicht dass alle iTunes Codes mit X beginnen, er jedoch schon… H\u00f6rbar genervt fragte er mich ob ich die Karten denn wirklich habe. Dies habe ich mit einem einfachen und ehrlichen „No.“ beantwortet. Seine Gef\u00fchlslage spiegelte sich nun in seiner Stimme nieder. W\u00e4hrend er mich noch telefonisch zutextet, erstellte er mit dem Tool syskey ein Boot Passwort. Ich konnte nur noch herzlich lachen, ich fragte ihn was er da versuche, er sei in einer VM und k\u00f6nne absolut keinen Schaden anrichten. Da er anscheinend nicht verstanden hat was ich ihm sagen wollte, lies ich ihn mal weitermachen. Er wollte nun noch einen drauf setzen. Er hat im Taskmanager den explorer.exe Prozess beendet und ging davon ausging dass ich jetzt total verloren w\u00e4re. Er w\u00fcnschte mir noch viel Spass mit meinem defekten System. Ich zeigte ihm noch kurz wie schnell ein solcher Prozess wieder gestartet ist. Er beendete darauf hin \u00e4usserst genervt unser f\u00fcr mich sehr am\u00fcsantes Telefonat und verabschiedete sich von meinem Computer.<\/p>\n
Was ich noch nicht erw\u00e4hnt habe, er hat zum Beweis seiner Zugeh\u00f6rigkeit zu Microsoft eine Teamviewer Session von meinem Rechner zu seinem get\u00e4tigt. Diese ID war dann nach seinem Verbindungsabbruch noch drin. Mein Verbindungsversuch zu seinem Desktop wurde aber leider entdeckt bevor ich seine Eingaben blockieren konnte. Darauffolgende Versuche wurden irgendwann durch die DoS Protection von Teamviewer unterbunden.<\/p>\n
Ich raubte ihm durch diese Aktion mehr als eine Stunde seiner Zeit und hoffe dass er dadurch vlt. ein oder zwei Opfer weniger Scammen konnte…<\/p>\n
![\"ajax](\"https:\/\/it-net.blog\/wp-content\/plugins\/thanks-you-counter-button\/images\/ajax-loader.gif\")
<\/div><\/div>","protected":false},"excerpt":{"rendered":"Heute Nachmittag hat mich auf meinem privaten Festnetzanschluss ein Anruf von „Microsoft“ erreicht. Der Herr hat mir in englischer Sprache erkl\u00e4rt, dass mein Computer von einem Trojaner befallen sei und ein schwerwiegendes Problem f\u00fcr mein ganzes Netzwerk bestehe sowie die Lizenz meines Windows gesperrt wurde. Da dachte ich mir, ich spiele mal mit und startete … \u201eDer Anruf eines vermeintlichen Microsoft Mitarbeiter aka Scammer\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-136","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/it-net.blog\/index.php?rest_route=\/wp\/v2\/posts\/136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/it-net.blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/it-net.blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/it-net.blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/it-net.blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=136"}],"version-history":[{"count":3,"href":"https:\/\/it-net.blog\/index.php?rest_route=\/wp\/v2\/posts\/136\/revisions"}],"predecessor-version":[{"id":146,"href":"https:\/\/it-net.blog\/index.php?rest_route=\/wp\/v2\/posts\/136\/revisions\/146"}],"wp:attachment":[{"href":"https:\/\/it-net.blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/it-net.blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/it-net.blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}