Anruf von Microsoft: Interview mit einem Hacker – Windows ruft nicht an!
Artikelinhalt
Windows ruft nicht an! Oder?
Ein Anruf von Microsoft, Windows ruft an wegen angeblichem Hackerangriff? Klingt nicht nur absurd, ist es auch. Aber was steckt dahinter?
Und Vorsicht, wer sich als Anwender nicht mit den Details unter der Oberfläche auskennt, kann schnell aufs Glatteis geführt werden.
Der (Fake) Anruf von Microsoft
Neulich nahm ich einen Anruf von Microsoft Windows entgegen von der Nummer 0019087174059. Die eher junge männliche Stimme stellte sich in Englisch als Mitarbeiter von Microsoft vor. Jedoch mit einem leichten Akzent, den ich nicht zu deuten wusste. Auch undeutsame Hintergrundgeräusche, die eher den Eindruch vermittelten, es würde aus einem Transporter vom Straßenrand aus angerufen, anstatt aus einem Büro, ließen gleich einige Alarmglöckchen bei mir klingeln. Jedoch siegte meine Neugier.
Die (noch) nette junge Stimmer erklärte mir, dass er in einer speziellen Abteilung arbeite, die sich gegen Cyberkriminalität richte. Und zwar insbesondere jene, die sich Windows-Rechner zu Nutze machen. Eben dabei habe man bei Microsoft ein Signal von meinem Computer bekommen. Was bedeutet, dass mein Rechner gehackt und übernommen worden sei.
Die ‚Überprüfung‘
Um zu verifizieren, dass er den Anruf von Microsoft aus tätigt, wird er mir das anhand meiner individuellen Windows-IP beweisen. (Was auch immer das sein soll. Denn einzigartig bei Windows ist der Lizenzkey oder auch Productkey genannt. Und der ist auf einem Aufkleber hinter dem Rechner oder unter dem Notebook. Oder auch in den Unterlagen oder auf der Installations-CD zu finden. Diese Nummer lässt sich natürlich auch aus der Registry auslesen. Nur diese Mühe haben sich meine obskuren Anrufer nicht gemacht. Sondern:)
Man gab mir die Anweisung über die Tastenkombination Windowstaste + R die Ausführungskonsole zu öffnen. Um dann „cmd“ einzutippen. Denn dies öffnet die Eingeaufforderung. Auch Kommandozeile genannt. (Über den Windows „Start Button“ geht das auch, indem man im Eingabefeld cmd eingibt. Um danach mit der Tastenkombination [STRG+Umschalten+Enter] dies zu bestätigen.) Anschließend sollte ich hier wiederum „assoc“ in der Eingabeaufforderung eingeben.
Ziemlich weit unten erscheint dann folgendes:
.zfsendtotarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
Diese Nummer sagte mir die (noch) nette Stimme auf, um mir zu beweisen, dass der Anruf von Microsoft stamme. Da ja niemand außer Microsoft und mir diese Nummer wissen könne. (Planke Lüge, denn diese CLSID-Nummer ist auf jedem Rechner gleich.)
Das Vorgehen
Wiederum über die Eingabeaufforderung ‚cmd‚ wurde ich aufgefordert, die Internetadresse ‚www.teamviewer.com‚ einzugeben. (Aha, in diese Richtung sollte es gehen. Warum sich noch die Mühe machen PCs zu hacken, wenn die Nutzer selbst die Tür aufmachen?) Denn nun öffnet der Internetbrowser automatisch die eingetippte Seite, von welcher ich das notwendige Hilfsprogramm TeamViewer herunterladen soll. (Zur Information, wer das Programm nicht kennt: Teamviewer ist ein Fernwartungsprogramm mit dem man auf den Desktop eines anderen Computer zugreifen kann, egal von wo auf der Welt. Also generell kein Schadprogramm, solang es nicht von den Falschen bedient wird.) Doch genau das war die Absicht der Anrufer, die mich nun nach der Teamviewer-ID förmlich bettelten, um mir zu helfen meine Rechnerprobleme zu beheben.
Nun, ich war neugierig, was sich Betrüger so alles einfallen lassen. Aber damit war der Punkt erreicht, den zu überschreiten ich jeden eingängig warne. Man lässt ja auch keine Einbrecher freiwillig ins Haus. Also auch nicht in den PC. Anderen Betroffen zufolge, sei es von da an erst richtig losgegangen.
Software wird aufgespielt, Rechner gescannt, Dateien heruntergeladen, „Ihre Microsoft Version ist veraltet, bitte geben sie uns ihre Bankverbindung, …“, und, und und.
Ein wenig zögerte ich alles noch heraus, erzählte, dass meine Sicherheitssoftware eine Installation nicht zulasse. „Firewall, Antivirusprogramm, alles sofort abschalten!“ (Interessante Holzhammer-Methode für für Sicherheitstechniker!)
Die Wendung
Meine Weigerung die Teamviewer-ID und mein Passwort mitzuteilen, brachte die ursprünglich nette Stimme etwas aus der Fassung. Vom Flirt über Schmeicheleien ging es über in Ungeduld und Bevormundung. Sogar bis hin zu der Drohung, dass ich mich strafbar mache. Da eben genau jetzt in diesem Moment mein PC dazu verwendet würde, Kinderpornografische Inhalte zu verbreiten. Und das geschieht nun in meinem Wissen, mit meiner Akzetanz. Also werde man wohl sich polizeilichen Zugang zu meiner Wohnung verschaffen müssen.
Als es der Stimme nun doch zu doof wurde nach über einer Stunde mit der Blonden in der Leitung, um noch weiter nett zu bleiben, änderte sich endlich die Taktik. Man würde mir einen Techniker nach hause schicken. Aber dafür müsse ich Vorklasse leisten. Am besten sofort per Westernunion. Der ‚Hausbesuch‘ sollte mich 150 Euro kosten. Das Geld sollte an Mister Hui Li in China überwiesen werden. Einer Zweigstelle von Microsoft. (Bin ich echt so dämlich am Telefon rübergekommen? Das ist gut, erzähl noch etwas weiter, wir sind fast am Ende! Ist ja auch nicht meine Telefonrechnung.)
Doch wichtig sei, so meinte die nicht mehr so nette Stimme etwas entnervt, ich solle bei der Überweisung als Angabe unbedingt ‚For my Friend‘ angeben. Und das sei wirklich wichtig. Ganz, ganz wichtig. Wegen der Steuern. Und ob ich das wenigsten verstanden hätte. (Schon klar! Jetzt hör schon auf mich mit diesen fadenscheinigen Erklärungsversuchen am Telefon zu halten. Denn dies genügt für meinen Artikel. Und Tschüss!)
Am selben Tag wurde ich noch weitere zwei mal angerufen. Mit der Mahnung, dass das Geld noch nicht eingegangen sei. Höflich, wie ich erzogen wurde, bedankte ich mich für das Telefoninterview. Und setzte die mittlerweile wirklich unfreundliche Stimme darüber in Kenntniss, wo das Interview nachzulesen sei. Nämlich hier.
Neue alte Abzocke
Telefonanrufe dieser Art sind illegal. Noch während des Telefonats suchte ich im Internet nach ähnlichen Vorkommnissen. Bereits 2012 wurde von Heise.de vor eben dieser Masche gewarnt. Während dies im Englischsprachigen Raum eine schon recht bekannte Masche scheint, ist es wohl in Deutschland noch nicht all zu geläufig. Dies mag wohl auch an der Sprachbarriere liegen. Da auch nicht jeder deutsche PC-Besitzer über fließende Englischkenntnisse verfügt. Aber sicher nur eine Frage der Zeit, bis der erste deutschsprachige ‚Techniker‘ anruft. Diese Fakeanrufe von angeblichen Windows-Mittarbeitern sind also nichts weiter als Scam-Anrufe oder Cold Calls. Oder ein bisschen was von beiden.
Scam & Cold Calls
Was versteht man unter Cold Calls?
Als unerwünschte telefonische Werbung, auch Cold Calls, Kaltanrufe oder Kaltakquise, gelten sogenannte Initiativ-Anrufe durch Unternehmen gegenüber Privatpersonen. (Wikipedia)
Was ist denn eigentlich Scam?
Im Englischen wird gelegentlich der Begriff Scam (deutsch Betrug, Beschiss, Masche) als Synonym für den Vorschussbetrug verwendet, obwohl er eigentlich eine umfassendere Bedeutung im Sinne des (Internet-)Betruges besitzt. Er hat sich in der Folge als Anglizismus für Vorschussbetrug auch im deutschen Sprachraum verbreitet. (Wikipedia)
Betrug vorbeugen
In speziell diesem Fall kann man nur raten, sofort wieder aufzulegen. Wenn man nicht, wie ich sich das antun und hier darüber informieren möchte, wäre es reine Zeitverschwendung sich das Gequatsche der angeblichen Technicker auch nur eine Minute anzuhören.
Und nach wie vor gilt: Eine gute Sicherheitssoftware, regelmäßige Programmupdates und etwas Umsichtigkeit beim Surfen im Internet begrenzt die Chancen wirklich Opfer eines Hackerangriffs zu werden.
Hallo Gerade eben selbst erlebt. Gleiche Masche. 3 verschiedene Tel. Nr. Anrufe.
Habe dann einfach aufgelegt nachdem sie mich nach meinem Browser fragten.
Heute erst erlebt. Mit einer Deutschen Handynummer. Während er mir die Sachen gesagt hat habe ich den Tread hier gefunden. Vielen Dank.
07.08.2021 – Die Masche funktioniert wahrscheinlich immernoch zu gut.
Hab mich gerade mit Steve Anderson von MS aus Waschington (Telefonnummer 0575747431) anleiten lassen.
Er gab mir zu verstehen, das die vielen Warnungen in der Ereignisanzeige vom MS Teamviewer kämen. Er hat mich dann weitergeleitet auf die „Teamviewer“-Website
http://www.teamviewer.com. Sieht erstmal harmlos aus. Man soll den Teamviewer herunterladen und installieren, so seine Anweisung. Tun sie das besser nicht! Ich hab die Setupdatei nur heruntergeladen. Mein Virenscanner hat auch nicht gemeldet, daß da was verdächtig wäre. Eben ein Trojaner!
James Watson von Microsoft möchte über Windows und R, dass man Befehle eingibt.
Jetzt ging es bei mir auch los, in den letzten Wochen riefen sie immer 1-2 mal an. Heute schon das dritte mal.
Leider kann ich die Anrufe nicht blocken, da immer wieder eine neue (zufällig generierte?) Nummer angezeigt wird.
Ein paar mal hab ich die Jungs ein bisschen veräppelt, aber das wurde schnell dröge. Sie sprechen ziemlich schlecht Englisch, so dass die Verständigung zäh ist. Frage mich nun was ich tun muss, damit das endlich aufhört, nervig ist das schon.
Moin allerseits,
wir bekommen des öfteren diese Anrufe. Wenn ich Zeit habe, lasse ich sie mir alles erklären. Und dann frage ich zwischendurch, woher sie denn anrufen. Aus Washington State. Ah, wie ist denn das Wetter da. Sehr gut, Sonne scheint.
Dann erkläre ich ihnen, dass sie gerade lügen, da es (9 Stunden Zeitdifferenz) bei ihnen stockfinster sei. Wenn ich dann noch lache, werden sie ausfällig.
Einmal hatte ich keine Zeit oder Lust und legte einfach auf. Es klingelte kurz darauf wieder mit einer verdächtigen Nummer. Ich meldetet mich mit „Police“. Dann wurde sofort aufgehängt.
Oder ich frage, welcher meiner drei PCs denn das Problem verursacht. Dann sagen sie, dass sie mir die „Security ID“ meines Rechners nennen können, ich solle eben mit dem cmd Kommando assoc starten. Sehr mühsam wird dann der 32-stellige Schlüssel buchstabiert. Ich erkläre am Ende, dass der Rechner, an dem ich gerade sitze, eine andere Nummer zeigt. Es müsse sich also um einen der anderen beiden handeln. Naja, da merkte er wohl, dass ich ihn veräppel und er legte auf.
Wow, Jahre später und immer noch die selbe Masche, heftiger indischer Akzent. Dieses Mal bei mir – Hamburg, Germany. Er nannte sich „Sam Gunther“ und – spooky – nannte mir zum Datenabgleich meinen Vor- und Nachnamen sowie meine über 12 Jahre alte, nicht mehr gültige Hamburger Adresse vor Hochzeit/Umzug. Er sein vom „Microsoft Technical Department“. Nachfragen meinerseits musste er immer (gut hörbar) mit seinem Supervisor klären, da meine Fragen offensichtlich nicht im Standardprotokoll hinterlegt waren – peinlich, peinlich . . . Für einen Rückruf bot er mir eine „Nummer des MS-Headquaters in den USA“ an: +1 6149577191. Ohgottogottogott, was für ein Rip-off . . .
PS: Noch mal vielen, vielen Dank, Baby Duda, dass Du die Info ins Netz gestellt hast – wichtig und richtig!
Heyho,
hatte eben den gleichen Adnruf und mir war grundsätzlich sofort klar was es werden soll…
Nach ein wenig hinhalte Taktik („ich habe eine Tastatur ohne Windowstaste“ „nein, das ist kein Eingabefeld neben dem Windowslogo… oh ich habe Windows 7“) habe ich mich dazu überreden lassen, die cmd zu öffnen und nach kurzer Erklärpause ,mein Anrufer wusste nicht was die „Eingabeaufforderung“ ist, dass es ein schwarzes Fenster ist habe ich auch irgendwann assoc aufgerufen.
Als er mir dann die Nummer vorgelesen hat, habe ich einen „Fehler“ festgestellt, also ne andere Nummer. Dann ist er die Nummer noch 3 mal mit mir durch gegangen, Ziffer für Ziffer.
Als ich erneut sagte dass ich da etwas anderes stehen habe und ihn fragte, ob er vielleicht die Nummer von einem anderen PC habe hat er das Gespräch schnell beendet.
Naja, 18 Minuten weniger, die er andere Leute übers Ohr hauen kann
Hallo Andre, richtig so, jede Minute, die die ohne Erfolg vergeuden, sind gewonnene Zeit!
SUPER, immer nur davon gelesen, endlich mal live erlebt:
Gerade rief ein Support Scammer – angeblich von Microsoft – an und wollte mir helfen, meinen angeblich virenbefallenen Computer wieder zu „reinigen“. Vom Akzent her kam der Anruf aus Indien.
Über das Command-Window und den Befehl „assoc“ ließ er mich den Parameter
.ZFSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
anzeigen (der bei allen Windows-Installationen identisch ist) und erklärte mir, das sei die ID, mit der sie meinen Rechner bei Microsoft in der Liste der befallenen Rechner gespeichert hätten. Guter Trick … sehr beeindruckend, wenn man den Hintergrund nicht kennt.
Ich hab das Spiel mitgespielt, bis er mich dazu bringen wollte, eine Fernsteuerungssoftware zu starten, da war natürlich Schluss. Dann hab ich ihn noch eine Weile mit der Frage beschäftigt, wieso bei einem Anruf angeblich aus Washington eine Bonner Nummer aus Deutschland auf meinem Display steht …
Irgendwann hab ich dann gesagt „You are not from Microsoft and I am a Data Protection Officer. I knew you were lying to me the whole time.“
Da war er sauer.
Diese Masche ist immer noch aktuell. Anruf aus einem großen Call Center (den Hintergurndgeräuschen nach zu urteilen) . Sobald ich auf die ersten Fragen der nur schlecht englisch sprechenden Gesprächspartnerin eingegangen war, wurde ich an eine besser sprechende „Technikerin“ übergeben. Ich war mir von Anfang an sicher, dass dieses ein Betrug werden sollte. Ich sollte in dem „cmd Fenster“ http://www.tiny.cc/windows123 eingeben und mit der Return Taste abschicken. Das war mir dann aber doch zu heiß. Anstatt die Buchstabencodes bei „cmd“ einzugeben gab ich sie bei Google ein, fand dort aber nicht viel. Ich sagte der „Technikerin“ , dass ich den Verdacht habe, hier solle ein Trojaner installiert werden. Daraufhinblieb die sie ganz cool und meinte sie würde mir als Sicherheitsbeweis meinen Installationsschlüssel vorlesen, die ich mit der Registry vergleichen könne. Diesen Code gab ich bei Google ein und las der „Technikerin“ die englischsprachigen Warnungen vor Betrügern, die diese Masche verwenden vor. Die „Technikerin“ blieb weiterhin ganz cool und verwies darauf, dass ich ja viele Fehlermeldungen unter „eventvwr“ sehen könne.
Irgendwann habe ich mich freundlich von der „Technikerin“ verabschiedet und sie hat mir noch in freundlichem Tonfall empfohlen anstatt zu Frühstücken Gift einzunehmen um schön zu sterben.
Naja – mit mir hat sie ja auch Zeit verloren-
Viele Grüße
Christian
Hallo zusammen, hatte eben genau diesen Anruf 2x von verschiedenen „Microsoft-Mitarbeitern“- Also diese Masche ist hoch aktuell.
Hatte die letzten Tage auch 3x solche Anrufe. Die Nr. lautete: 08562 31547.
Habe die Dame, mit meinem „schlechten Englisch“, auch eine Weile hingehalten und mich blöd gestellt.
Als Sie mich dann endlich nach meinem Computer fragte habe ich Ihr zu verstehen gegeben, dass ich nur einen Laptop habe. Danach wurde das Gespräch von „Microsoft“ sofort beendet, hatte noch nicht mal Gelegenheit mich für die Warnung der Schadsoftware auf meinem Rechner zu bedanken.
;-) ;-) ;-)
Heute exakt dasselbe Erlebnis. Die anrufende Nummer war 0034 9529 28891. Zwei Männer behaupteten, von Microsoft London anzurufen, weil mein Laptop von Hackern übernommen worden sei, um Spam zu verbreiten. Sie verlangten von mir,- unter Nennung der Zeichenkombination 00c04fd7d062 als Legitimationsbeweis- ich solle mein Laptop nach ihren Anweisungen überprüfen. Nach ca. 20 Minuten habe ich das Gespräch abgebrochen, war aber doch leicht verunsichert. Rücksprache mit einem Bekannten und kurze Recherche im Net haben gezeigt, dass es der wie auch immer geartete Versuch eines unverschämten Betruges war.
Hallo BabyDuda,
ja, sie sind (wieder) unterwegs mit dieser Masche.
Vielen Dank für Deinen ausführlichen und wirklich guten Bericht, der sich in Vielem mit meinem „Erlebnis“ am
01. April (ich dachte erst es wäre ein Aprilscherz) deckt. Ich schicke voraus, dass meine IT- und Englischkenntnisse bestenfalls „oberflächlich“ sind.
Bei mir rief zunächst eine Frau mit Akzent belastetem Englisch an und erklärte:
– sie sei vom Windows Technical Service aus den USA (Nummer im Display: 03150218207 ?)
– mein Computer sei von einen indischen Hacker gehackt worden und bereite nun Probleme im Netz.
Ich folgte ihr dann mit ungutem Gefühl und der Tastenkombination Windows-Taste + R (Ausführen-Fenster öffnet sich) und der Eingabe „cmd“. Nachdem „OK“ öffnete sich dann das schwarze Eingabefenster mit meiner User C:\Users\xyz>. An dieser Stelle wurde es mir dann zu mulmig und ich brach das Gespräch ab. Aber 5 Sekunden später klingelte mein Telefon erneut und diesmal eine männliche Stimme mit besserem aber nicht akzentfreiem Englisch (Nummer im Display nun: 0856231547 ?). Nun ich folgte ihm (mit noch schlechterem Gefühl) und er lotste mich auf eine englischsprachige Seite von TeamViewer und ich lud dann eine englischsprachige Software-Variante vom TeamViewer herrunter und installierte sie auch. Es öffnete sich dann das TeamViewer-Fenster mit dem Menüpunkt „Fernsteuerung zulassen“ (englischer Begriff ist mir nicht mehr gegenwärtig), einer mir zugewiesen 10-stelligen ID und einem für mich generiertem 6-stelligen Passwort (auf der linken Seite). Rechts war dann unter der Überschrift „Computer fernsteuern“ (englischer Begriff ist mir nicht mehr gegenwärtig) das Eingabefeld für die Partner-ID. Der Anrufer gab mir dann seine ID (1295708037) und ich sollte diese Eintragen und über den Button „Verbinden“ die Verbindung/die Fernsteuerung herstellen. Dies tat ich dann aber nicht und brach unter Bitten bis Beleidigen des Anrufers das Gespräch ab.
Gruß Jürgen
(ein full-time-Rentner)
Vorsicht! Freundliche, englischsprechende Damen meldete sich heute unter der Nr. 023532207 mit der Vorgehensweise wie oben beschrieben.
Werde sie beim nächsten Anruf auflaufen lassen!
Schon interessant – heute hatte ich den Inder aus London / Bottrop am Apparat – hab mir einen Spaß draus gemacht… – von wegen CLSID und Ereignisse deuten auf Bedrohung hin.
Sollte meine Bankdaten, Zugangsdaten etc. preisgeben – per Teamviewer… von wegen – soweit ging es dann doch nicht ;)
Das Gespräch direkt beendet und die Internetverbindung direkt gekappt – wollen uns ja nicht bescheißen lassen.
Hatte heute ebenfalls anrufen von diesen euten und sind nach der selben Masche vorgegangen.
Die Rufnummer waren +4911111111111, +4922730771, +493553948887 und etliche unbekannte Anrufe. Der Mann am telefon musste 3 mal einen anderen Mitarbeiter rufen um mich zu überzeugen. Also sehr penetrant. Als diese meine IP nicht nennen konnten und mich nur auf die besagte CLSID hingewiesen haben, war mir alles klar. Ich wußte dass diese CLSID überall gleich ist.
Also passt bitte auf, zur Zeit rufen die Unternehmen an. Das lustige war, dass diese mich über eine Rufnummer angerufen haben, die seit Jahren nicht in Nutzung ist, die ich aber noch besitze.
Also Hut ab. Alles was hier steht, ist die Vorgehensweise, die ich heute selber mitbekommen habe
Interessant: Die maskierte Nummer 0207433006 ruft an. Microsoft in London würde meinen PC als Spamschleuder identifizirt haben. Der müsse nun abgeschaltet werden.
London? Mit Vorwahl Bottrop?
Auf der Seite der Anrufer musste erst eine Dame herbeitgeholt werden die Englisch spricht.
Der westafkrikanische Einschlag war nicht zu überhören. Nun, Menschen aus Nigeria sind in London häufiger aus in Bottrop. In Nigeria überhaupt. Oder wo sonst. Ansonsten sind mit Menschen in Westafrika (wie z.B. meine Frau)
eher sysmpathisch.
Also: Microsoft ruft grundsätzlich nicht an. Woher sollten die meine Telefonnummer haben.
Und was ist eine Windows-ID? Hätte ich schon was davon gehört.
Die Dame war sehr bemüht, mit eine CLSID vorzulesen. (Über diese bin ich dann auch in diesem Blog gelandet.)
Ich habe ihr versprochen, das zu prüfen und zurück zu rufen.
Damit war sie einverstanden, denn da wäre erst vielleicht kräftig kassiert worden, wenn in Bottop keiner
den Hörer angenommen hätte. Stichwort Ping-Anruf.
Abwehr:
Es ist verboten, die Trillerpfeife zu benutzen. Es gilt da Körperverletzung.
Ein Kollege hat das getan und die osteuropäische Dame hat wohl eine Gehörschaden eritten.
Das ist sicherlich nicht gewollt gewesen. Der ‚Chef‘ hat den Kollegen dann am Telefon bedroht.
Für was? Ein Impressum hat er nicht hinterlassen.
So habe ich mir angewöhnt mit einem leisten Pfiff mit meiner Apito aus Tropenholz (Samba-Pfeife aus Brasilien)
anzudeuten, wohin die Reise gehen könnte.
Eingentlich ist es ziemlich einfach, Betrügereien am Telefon zu erkennen.
Leute wie BabyDuda sind da sehr hilfreich, und mein Dank gilt auch Ihr.
Hallo und vielen Dank für die Zeilen.
Das beschreibt ziemlich genau meine Erfahrungen. Erst neulich hatte ich wieder einen neuen Anruf. Als ich sagte, er solle es doch lassen, da ich Bescheid weiß, worauf das Telefonat hinausführt und ich all das bereits vor längerem veröffentlicht habe – da wurde er doch mit seinem bisschen Englich auch noch ausfällig.
Ich empfehle jeden sofort anzudrohen, das Gespräch mitzuschneiden und schnellstmöglichst zu beenden, damit kein erneuter Anruf erfolgt.