Anruf von Microsoft: Interview mit einem Hacker – Windows ruft nicht an!

Interview mit einem Hacker oder warum ein Anruf von Microsoft Abzocke ist. Windows ruft nicht an! Scam & Cold Call. Und was bedeuten CMD > assoc > CLSID?
Interview mit einem Hacker oder warum ein Anruf von Microsoft Abzocke ist. Windows ruft nicht an! Scam & Cold Call. Und was bedeuten CMD > assoc > CLSID?
Bitte warten...

Windows ruft nicht an! Oder?

Ein Anruf von Microsoft, Windows ruft an wegen angeblichem Hackerangriff? Klingt nicht nur absurd, ist es auch. Aber was steckt dahinter?

Und Vorsicht, wer sich als Anwender nicht mit den Details unter der Oberfläche auskennt, kann schnell aufs Glatteis geführt werden.

Der (Fake) Anruf von Microsoft

Neulich nahm ich einen Anruf von Microsoft Windows entgegen von der Nummer 0019087174059. Die eher junge männliche Stimme stellte sich in Englisch als Mitarbeiter von Microsoft vor. Jedoch mit einem leichten Akzent, den ich nicht zu deuten wusste. Auch undeutsame Hintergrundgeräusche, die eher den Eindruch vermittelten, es würde aus einem Transporter vom Straßenrand aus angerufen, anstatt aus einem Büro, ließen gleich einige Alarmglöckchen bei mir klingeln. Jedoch siegte meine Neugier.

Die (noch) nette junge Stimmer erklärte mir, dass er in einer speziellen Abteilung arbeite, die sich gegen Cyberkriminalität richte. Und zwar insbesondere jene, die sich Windows-Rechner zu Nutze machen. Eben dabei habe man bei Microsoft ein Signal von meinem Computer bekommen. Was bedeutet, dass mein Rechner gehackt und übernommen worden sei.

Die ‚Überprüfung‘

Um zu verifizieren, dass er den Anruf von Microsoft aus tätigt, wird er mir das anhand meiner individuellen Windows-IP beweisen. (Was auch immer das sein soll. Denn einzigartig bei Windows ist der Lizenzkey oder auch Productkey genannt. Und der ist auf einem Aufkleber hinter dem Rechner oder unter dem Notebook. Oder auch in den Unterlagen oder auf der Installations-CD zu finden. Diese Nummer lässt sich natürlich auch aus der Registry auslesen. Nur diese Mühe haben sich meine obskuren Anrufer nicht gemacht. Sondern:)

Man gab mir die Anweisung über die Tastenkombination Windowstaste + R  die Ausführungskonsole zu öffnen. Um dann „cmd“ einzutippen. Denn dies öffnet die Eingeaufforderung. Auch Kommandozeile genannt. (Über den Windows „Start Button“ geht das auch, indem man im Eingabefeld cmd eingibt. Um danach mit der Tastenkombination [STRG+Umschalten+Enter] dies zu bestätigen.) Anschließend sollte ich hier wiederum „assoc“ in der Eingabeaufforderung eingeben.

Ziemlich weit unten erscheint dann folgendes:

.zfsendtotarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}

Diese Nummer sagte mir die (noch) nette Stimme auf, um mir zu beweisen, dass der Anruf von Microsoft stamme. Da ja niemand außer Microsoft und mir diese Nummer wissen könne. (Planke Lüge, denn diese CLSID-Nummer ist auf jedem Rechner gleich.)

Das Vorgehen

Wiederum über die Eingabeaufforderung ‚cmd‚ wurde ich aufgefordert, die Internetadresse ‚www.teamviewer.com‚ einzugeben. (Aha, in diese Richtung sollte es gehen. Warum sich noch die Mühe machen PCs zu hacken, wenn die Nutzer selbst die Tür aufmachen?) Denn nun öffnet der Internetbrowser automatisch die eingetippte Seite, von welcher ich das notwendige Hilfsprogramm TeamViewer herunterladen soll. (Zur Information, wer das Programm nicht kennt: Teamviewer ist ein Fernwartungsprogramm mit dem man auf den Desktop eines anderen Computer zugreifen kann, egal von wo auf der Welt. Also generell kein Schadprogramm, solang es nicht von den Falschen bedient wird.) Doch genau das war die Absicht der Anrufer, die mich nun nach der Teamviewer-ID förmlich bettelten, um mir zu helfen meine Rechnerprobleme zu beheben.

Nun, ich war neugierig, was sich Betrüger so alles einfallen lassen. Aber damit war der Punkt erreicht, den zu überschreiten ich jeden eingängig warne. Man lässt ja auch keine Einbrecher freiwillig ins Haus. Also auch nicht in den PC. Anderen Betroffen zufolge, sei es von da an erst richtig losgegangen.

Software wird aufgespielt, Rechner gescannt, Dateien heruntergeladen, „Ihre Microsoft Version ist veraltet, bitte geben sie uns ihre Bankverbindung, …“, und, und und.

Ein wenig zögerte ich alles noch heraus, erzählte, dass meine Sicherheitssoftware eine Installation nicht zulasse. „Firewall, Antivirusprogramm, alles sofort abschalten!“ (Interessante Holzhammer-Methode für für Sicherheitstechniker!)

Die Wendung

Meine Weigerung die Teamviewer-ID und mein Passwort mitzuteilen, brachte die ursprünglich nette Stimme etwas aus der Fassung. Vom Flirt über Schmeicheleien ging es über in Ungeduld und Bevormundung. Sogar bis hin zu der Drohung, dass ich mich strafbar mache. Da eben genau jetzt in diesem Moment mein PC dazu verwendet würde, Kinderpornografische Inhalte zu verbreiten. Und das geschieht nun in meinem Wissen, mit meiner Akzetanz. Also werde man wohl sich polizeilichen Zugang zu meiner Wohnung verschaffen müssen.

Als es der Stimme nun doch zu doof wurde nach über einer Stunde mit der Blonden in der Leitung, um noch weiter nett zu bleiben, änderte sich endlich die Taktik. Man würde mir einen Techniker nach hause schicken. Aber dafür müsse ich Vorklasse leisten. Am besten sofort per Westernunion. Der ‚Hausbesuch‘ sollte mich 150 Euro kosten. Das Geld sollte an Mister Hui Li in China überwiesen werden. Einer Zweigstelle von Microsoft. (Bin ich echt so dämlich am Telefon rübergekommen? Das ist gut, erzähl noch etwas weiter, wir sind fast am Ende! Ist ja auch nicht meine Telefonrechnung.)

Doch wichtig sei, so meinte die nicht mehr so nette Stimme etwas entnervt, ich solle bei der Überweisung als Angabe unbedingt ‚For my Friend‘ angeben. Und das sei wirklich wichtig. Ganz, ganz wichtig. Wegen der Steuern. Und ob ich das wenigsten verstanden hätte. (Schon klar! Jetzt hör schon auf mich mit diesen fadenscheinigen Erklärungsversuchen am Telefon zu halten. Denn dies genügt für meinen Artikel. Und Tschüss!)

Am selben Tag wurde ich noch weitere zwei mal angerufen. Mit der Mahnung, dass das Geld noch nicht eingegangen sei. Höflich, wie ich erzogen wurde, bedankte ich mich für das Telefoninterview. Und setzte die mittlerweile wirklich unfreundliche Stimme darüber in Kenntniss, wo das Interview nachzulesen sei. Nämlich hier.

Neue alte Abzocke

Telefonanrufe dieser Art sind illegal. Noch während des Telefonats suchte ich im Internet nach ähnlichen Vorkommnissen. Bereits 2012 wurde von Heise.de vor eben dieser Masche gewarnt. Während dies im Englischsprachigen Raum eine schon recht bekannte Masche scheint, ist es wohl in Deutschland noch nicht all zu geläufig. Dies mag wohl auch an der Sprachbarriere liegen. Da auch nicht jeder deutsche PC-Besitzer über fließende Englischkenntnisse verfügt. Aber sicher nur eine Frage der Zeit, bis der erste deutschsprachige ‚Techniker‘ anruft. Diese Fakeanrufe von angeblichen Windows-Mittarbeitern sind also nichts weiter als Scam-Anrufe oder Cold Calls. Oder ein bisschen was von beiden.

Scam & Cold Calls

Was versteht man unter Cold Calls?

Als unerwünschte telefonische Werbung, auch Cold Calls, Kaltanrufe oder Kaltakquise, gelten sogenannte Initiativ-Anrufe durch Unternehmen gegenüber Privatpersonen. (Wikipedia)

Was ist denn eigentlich Scam?

Im Englischen wird gelegentlich der Begriff Scam (deutsch Betrug, Beschiss, Masche) als Synonym für den Vorschussbetrug verwendet, obwohl er eigentlich eine umfassendere Bedeutung im Sinne des (Internet-)Betruges besitzt. Er hat sich in der Folge als Anglizismus für Vorschussbetrug auch im deutschen Sprachraum verbreitet. (Wikipedia)

Betrug vorbeugen

In speziell diesem Fall kann man nur raten, sofort wieder aufzulegen. Wenn man nicht, wie ich sich das antun und hier darüber informieren möchte, wäre es reine Zeitverschwendung sich das Gequatsche der angeblichen Technicker auch nur eine Minute anzuhören.

Und nach wie vor gilt: Eine gute Sicherheitssoftware, regelmäßige Programmupdates und etwas Umsichtigkeit beim Surfen im Internet begrenzt die Chancen wirklich Opfer eines Hackerangriffs zu werden.

Bitte warten...

BabyDuda

Das bin ich: Vollzeit Arbeitnehmer. Vollzeit Selbstständig. Vollzeit Mutter. Klingt mathematisch unlösbar, ist aber in der Praxis durchaus real. In der Kürze der Zeit einer rasanten Welt, sucht Mancher nach Zerstreuung. In der Arbeit an meinen Blogs finde ich einen Teil dieser Zerstreuung. Davon gebe ich gern etwas ab, sofern Andere diese Interessen teilen...

Das könnte Dich auch interessieren …

9 Antworten

  1. Hallo zusammen, hatte eben genau diesen Anruf 2x von verschiedenen „Microsoft-Mitarbeitern“- Also diese Masche ist hoch aktuell.

    Bitte warten...
  2. Allo Gödde sagt:

    Hatte die letzten Tage auch 3x solche Anrufe. Die Nr. lautete: 08562 31547.
    Habe die Dame, mit meinem „schlechten Englisch“, auch eine Weile hingehalten und mich blöd gestellt.
    Als Sie mich dann endlich nach meinem Computer fragte habe ich Ihr zu verstehen gegeben, dass ich nur einen Laptop habe. Danach wurde das Gespräch von „Microsoft“ sofort beendet, hatte noch nicht mal Gelegenheit mich für die Warnung der Schadsoftware auf meinem Rechner zu bedanken.

    ;-) ;-) ;-)

    Bitte warten...
  3. karl-Heinz sagt:

    Heute exakt dasselbe Erlebnis. Die anrufende Nummer war 0034 9529 28891. Zwei Männer behaupteten, von Microsoft London anzurufen, weil mein Laptop von Hackern übernommen worden sei, um Spam zu verbreiten. Sie verlangten von mir,- unter Nennung der Zeichenkombination 00c04fd7d062 als Legitimationsbeweis- ich solle mein Laptop nach ihren Anweisungen überprüfen. Nach ca. 20 Minuten habe ich das Gespräch abgebrochen, war aber doch leicht verunsichert. Rücksprache mit einem Bekannten und kurze Recherche im Net haben gezeigt, dass es der wie auch immer geartete Versuch eines unverschämten Betruges war.

    Bitte warten...
  4. Jürgen sagt:

    Hallo BabyDuda,
    ja, sie sind (wieder) unterwegs mit dieser Masche.
    Vielen Dank für Deinen ausführlichen und wirklich guten Bericht, der sich in Vielem mit meinem „Erlebnis“ am
    01. April (ich dachte erst es wäre ein Aprilscherz) deckt. Ich schicke voraus, dass meine IT- und Englischkenntnisse bestenfalls „oberflächlich“ sind.
    Bei mir rief zunächst eine Frau mit Akzent belastetem Englisch an und erklärte:
    – sie sei vom Windows Technical Service aus den USA (Nummer im Display: 03150218207 ?)
    – mein Computer sei von einen indischen Hacker gehackt worden und bereite nun Probleme im Netz.
    Ich folgte ihr dann mit ungutem Gefühl und der Tastenkombination Windows-Taste + R (Ausführen-Fenster öffnet sich) und der Eingabe „cmd“. Nachdem „OK“ öffnete sich dann das schwarze Eingabefenster mit meiner User C:\Users\xyz>. An dieser Stelle wurde es mir dann zu mulmig und ich brach das Gespräch ab. Aber 5 Sekunden später klingelte mein Telefon erneut und diesmal eine männliche Stimme mit besserem aber nicht akzentfreiem Englisch (Nummer im Display nun: 0856231547 ?). Nun ich folgte ihm (mit noch schlechterem Gefühl) und er lotste mich auf eine englischsprachige Seite von TeamViewer und ich lud dann eine englischsprachige Software-Variante vom TeamViewer herrunter und installierte sie auch. Es öffnete sich dann das TeamViewer-Fenster mit dem Menüpunkt „Fernsteuerung zulassen“ (englischer Begriff ist mir nicht mehr gegenwärtig), einer mir zugewiesen 10-stelligen ID und einem für mich generiertem 6-stelligen Passwort (auf der linken Seite). Rechts war dann unter der Überschrift „Computer fernsteuern“ (englischer Begriff ist mir nicht mehr gegenwärtig) das Eingabefeld für die Partner-ID. Der Anrufer gab mir dann seine ID (1295708037) und ich sollte diese Eintragen und über den Button „Verbinden“ die Verbindung/die Fernsteuerung herstellen. Dies tat ich dann aber nicht und brach unter Bitten bis Beleidigen des Anrufers das Gespräch ab.
    Gruß Jürgen
    (ein full-time-Rentner)

    Bitte warten...
  5. Stauch, Günther sagt:

    Vorsicht! Freundliche, englischsprechende Damen meldete sich heute unter der Nr. 023532207 mit der Vorgehensweise wie oben beschrieben.
    Werde sie beim nächsten Anruf auflaufen lassen!

    Bitte warten...
  6. Piotr sagt:

    Schon interessant – heute hatte ich den Inder aus London / Bottrop am Apparat – hab mir einen Spaß draus gemacht… – von wegen CLSID und Ereignisse deuten auf Bedrohung hin.

    Sollte meine Bankdaten, Zugangsdaten etc. preisgeben – per Teamviewer… von wegen – soweit ging es dann doch nicht ;)

    Das Gespräch direkt beendet und die Internetverbindung direkt gekappt – wollen uns ja nicht bescheißen lassen.

    Bitte warten...
  7. Bülent sagt:

    Hatte heute ebenfalls anrufen von diesen euten und sind nach der selben Masche vorgegangen.

    Die Rufnummer waren +4911111111111, +4922730771, +493553948887 und etliche unbekannte Anrufe. Der Mann am telefon musste 3 mal einen anderen Mitarbeiter rufen um mich zu überzeugen. Also sehr penetrant. Als diese meine IP nicht nennen konnten und mich nur auf die besagte CLSID hingewiesen haben, war mir alles klar. Ich wußte dass diese CLSID überall gleich ist.

    Also passt bitte auf, zur Zeit rufen die Unternehmen an. Das lustige war, dass diese mich über eine Rufnummer angerufen haben, die seit Jahren nicht in Nutzung ist, die ich aber noch besitze.

    Also Hut ab. Alles was hier steht, ist die Vorgehensweise, die ich heute selber mitbekommen habe

    Bitte warten...
  8. Interessant: Die maskierte Nummer 0207433006 ruft an. Microsoft in London würde meinen PC als Spamschleuder identifizirt haben. Der müsse nun abgeschaltet werden.
    London? Mit Vorwahl Bottrop?
    Auf der Seite der Anrufer musste erst eine Dame herbeitgeholt werden die Englisch spricht.
    Der westafkrikanische Einschlag war nicht zu überhören. Nun, Menschen aus Nigeria sind in London häufiger aus in Bottrop. In Nigeria überhaupt. Oder wo sonst. Ansonsten sind mit Menschen in Westafrika (wie z.B. meine Frau)
    eher sysmpathisch.
    Also: Microsoft ruft grundsätzlich nicht an. Woher sollten die meine Telefonnummer haben.
    Und was ist eine Windows-ID? Hätte ich schon was davon gehört.
    Die Dame war sehr bemüht, mit eine CLSID vorzulesen. (Über diese bin ich dann auch in diesem Blog gelandet.)
    Ich habe ihr versprochen, das zu prüfen und zurück zu rufen.
    Damit war sie einverstanden, denn da wäre erst vielleicht kräftig kassiert worden, wenn in Bottop keiner
    den Hörer angenommen hätte. Stichwort Ping-Anruf.
    Abwehr:
    Es ist verboten, die Trillerpfeife zu benutzen. Es gilt da Körperverletzung.
    Ein Kollege hat das getan und die osteuropäische Dame hat wohl eine Gehörschaden eritten.
    Das ist sicherlich nicht gewollt gewesen. Der ‚Chef‘ hat den Kollegen dann am Telefon bedroht.
    Für was? Ein Impressum hat er nicht hinterlassen.
    So habe ich mir angewöhnt mit einem leisten Pfiff mit meiner Apito aus Tropenholz (Samba-Pfeife aus Brasilien)
    anzudeuten, wohin die Reise gehen könnte.
    Eingentlich ist es ziemlich einfach, Betrügereien am Telefon zu erkennen.
    Leute wie BabyDuda sind da sehr hilfreich, und mein Dank gilt auch Ihr.

    Bitte warten...
    • BabyDuda sagt:

      Hallo und vielen Dank für die Zeilen.
      Das beschreibt ziemlich genau meine Erfahrungen. Erst neulich hatte ich wieder einen neuen Anruf. Als ich sagte, er solle es doch lassen, da ich Bescheid weiß, worauf das Telefonat hinausführt und ich all das bereits vor längerem veröffentlicht habe – da wurde er doch mit seinem bisschen Englich auch noch ausfällig.
      Ich empfehle jeden sofort anzudrohen, das Gespräch mitzuschneiden und schnellstmöglichst zu beenden, damit kein erneuter Anruf erfolgt.

      Bitte warten...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Schrift anpassen
Stile anpassen