Warnung vor betrügerischem MS-Support

 Stellen Sie sich folgendes Szenario vor, welches Ihnen hoffentlich niemals passieren sollte: Sie surfen im Internet und plötzlich öffnen sich mehrere Fenster, die sich auch nicht mehr schließen lassen. Und schließlich zeigt der Bildschirm Ihres Computers dieses Bild:

 

Aufgrund von mehreren Anzeigen, wo mir die Geschädigten jeweils einen fast identischen Sachverhalt geschildert haben, kann ich davon ausgehen, dass es bei solch einem Sachverhalt zwar zutreffend ist, dass der Computer von Schadsoftware befallen ist, aber ansonsten sind diese Meldungen das Werk von raffinierten Betrügern.

Woher diese ekelhafte Schadsoftware kommt bzw. wie man sich diese einfangen kann, ist ungewiss. Da unter den Geschädigten, mit denen ich Kontakt hatte, auch eine ältere, alleinstehende Dame gewesen war, die nicht in Verdacht steht, auf schmuddeligen Sex-Sites gesurft zu haben, möchte ich gleich zu Beginn dem allgemein bekannten Vorurteil begegnen, dass so etwas nur Männern mit einem bestimmten Surfverhalten passieren kann.

Wie auf dem Bild zu erkennen ist, haben sich nacheinander mehrere Fenster geöffnet. Ob dabei tatsächlich eine Meldung von Windows Defender gewesen ist, kann ich nicht ausschließen. Mit großer Wahrscheinlichkeit kann ich aber sagen, dass der Text, den sie hier lesen können, von Internet-Gaunern stammt:

„Windows wurde aufgrund fragwürdiger Aktivität blockiert. Sie müssen uns sofort kontaktieren, damit unsere Ingenieure können führen Sie telefonisch durch den Entfernungsprozess. BITTE rufen Sie uns innerhalb der nächsten 5 Minuten an, um um eine vollständige Fehlfunktion Ihres Computers zu vermeiden.“ (Fehler übernommen)

Rufen Sie auf keinen Fall die Support-Nummer 0502-1991-9875 an, denn Sie erhalten dort keinen Kontakt zu einem vertrauenswürdigen Mitarbeiter von Microsoft, sondern zu einem Menschen, der nur ihr „Bestes“ will, nämlich Ihr Geld. Meistens ist es ein Mann, der Ihnen dann Anweisungen gibt, was Sie tun sollen und der dann mit einer Fernwartungssoftware Zugriff auf Ihren Computer bekommt. Sobald dies geschehen ist, kann alles Mögliche passieren.

Die harmloseste Variante ist die, dass der vermeintliche Helfer den Schaden (welchen er ja selbst zu verantworten hatte) behebt und sie dann auffordert, dafür zu bezahlen. In einem Fall wurde eine PDF-Rechnung in Höhe von 280,00 EUR übermittelt, welche auf ein Konto in Litauen (IBAN beginnt mit LT) hätte überwiesen werden sollen. In einem anderen Fall wurde der Geschädigte aufgefordert, mehrere iTunes-Karten (Gutschein-Karten mit einem bestimmten Wert) zu kaufen und danach die Codes telefonisch zu übermitteln.

Die Täterschaft, die Zugriff auf den Computer hatte, konnte aber auch in der Zwischenzeit gewisse Daten oder sogar den kompletten Zugang zum Computer verschlüsseln oder sperren. Zahlt das Opfer nämlich nicht, dann steht der Täterschaft ein weiteres Druckmittel zur Verfügung, indem man wichtige Dateien (zum Beispiel die Urlaubsbilder, etc.) in Geiselhaft nimmt. Was also tun?

Was die Support-Nummer betrifft, so konnte ich diese in keinem einzigen Fall real nachverfolgen. Im Internet wird vor ähnlichen Nummern gewarnt und gemutmaßt, dass die Verbindung zu diesen Telefonnummern nur zustande kommt, weil die Schadsoftware Zugriff auf den Router genommen habe. Ob das stimmt, kann ich nicht sagen, sondern lediglich feststellen, dass bei Anruf solcher angeblicher Support-Nummern sich Mitglieder der Täterschaft melden.

Ein Tipp wäre: Trennen Sie Ihren Computer vom Internet und schalten Sie ihn aus. In zwei mir bekannten Fällen hat dies geholfen, weil man den Computer danach im abgesicherten Modus starten und die Schadsoftware entfernen konnte. Das hängt davon ab, wie „gut“ (aus Tätersicht) die Schadsoftware gewesen ist. Bevor Sie jedoch den Computer „platt machen“, also das Betriebssystem neu installieren, sollten Sie vielleicht zuerst einen Fachmann Ihres Vertrauens zu Rate ziehen, ob dieser den Fehler nicht anderweitig beheben kann. Dass dies geht, weiß ich sicher aus einem der mir bekannten Fälle.

Damit Sie vor dem Worst Case, also dem schlimmsten Fall, der eintreten könnte, gesichert sind, sollten Sie zwei Dinge beachten:
 

1.) Achten Sie darauf, dass Ihr Computer gegen Schadsoftware geschützt ist und dass diese Schutzsoftware immer auf dem aktuellsten Stand ist.

2.) Speichern Sie wichtige Dateien, seien es Korrespondenz oder selbst gemachte Aufnahmen wie die Bilder vom letzten Urlaub zum Beispiel, auf einem externen Medium wie zum Beispiel einer USB-Festplatte. Ganz wichtige Dateien wie gerade die Urlaubsbilder oder die vom jungen Kind oder Enkel, also Dateien, die man als Erinnerung unbedingt behalten möchte, würde ich zudem noch auf eine DVD brennen.

Zum Schluss meiner Ausführungen möchte ich noch folgende logische Schlussfolgerung ziehen: Wenn Ihnen so ein Fall passieren sollte, also dass Sie aufgefordert werden, eine Support-Nummer anzurufen, dann gibt es für Ihren Computer noch Hoffnung.

Anderes wäre es, wenn Ihr Computer von Schadprogrammen befallen wäre, die man in Fachkreisen Ransomware nennt und die im Volksmund als „BKA-Trojaner“ bekannt geworden sind. Hier wird der Zugriff auf das System unterbunden und für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Wie dieses zu zahlen sei, erscheint auf dem Bildschirm. Doch selbst, wenn das Opfer gezahlt hat, kümmert sich die Täterschaft (was die breite Masse betrifft) nicht darum, den Schaden wieder zu beheben.

Werden Firmen davon betroffen, sieht es meistens etwas anders aus, da nur bestimmte Nutzerdaten und/oder Dateien verschlüsselt werden und die Täterschaft hohe Summen erpressen will. Dabei wird Kontakt mit den Firmen aufgenommen und zum Beweis dessen, dass man im Besitz der Schlüssel ist, einzelne Schlüssel übersandt, um eine Verhandlungsbasis zu erlangen. Wenn Sie mehr darüber erfahren wollen, dann empfehle ich folgenden 

Link zum Bundesamt für Sicherheit in der Informationstechnik

Was aber diese Variante der Erpressung betrifft, so legt es die Täterschaft darauf an, mittels Fernsoftware in den Computer zu gelangen. Ich ziehe daraus die Schlussfolgerung, dass im Gegensatz zur gefürchteten Ransomware hier doch noch Hintertüren zum Computer offen sind, die die Fachfrau oder der Fachmann finden kann. Das spiegelt auch meine Erfahrungen wieder, aber ein Hellseher bin ich leider keiner.

Aktuelle Warnung: SMS mit Paketbenachrichtigungslink

 Ich selbst war davon auch schon mehrere Male betroffen, Sie vermutlich auch: Seit Anfang dieses Jahres bekommen Smartphone-Nutzer eine SMS mit einem Link. Der Inhalt der Nachricht war [Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es …] oder so ähnlich (Variationen sind in solchen Fällen üblich).

Offenbar wird die derzeitige Pandemie ausgenützt, wo viele Geschäfte geschlossen sind und die Verbraucher auf den Online-Handel angewiesen sind. Aber was steckt dahinter? Ist es gefährlich, wenn man so eine SMS bekommt? Wie soll man sich verhalten?

Das Landeskriminalamt des Landes Niedersachsen, welches in Sachen Cybercrime eine hervorragende Präventionsseite hat und diese immer wieder aktualisiert, klärt darüber sachkundig und kompetent auf. Wer will, kann sich deshalb aus erster Hand informieren, weshalb ich den Link am Ende des Beitrags posten werde. Da der Beitrag ausführlich geschrieben ist und zum Verständnis etwas Hintergrundwissen notwendig ist, fasse ich die Erkenntnisse in Kurzform wie folgt zusammen:

Sicher scheint zu sein, dass eine Software nachgeladen wird, wenn man auf den Link klickt. Was diese Schad-Software anrichtet, ist unterschiedlich. Sicherlich kann sich das erfahrungsgemäß von Tag zu Tag ändern, denn Cyberkriminelle kommen immer wieder auf neue Ideen.

Ein relativ harmloser Schaden ist der, dass die Schad-Software dafür sorgt, dass über den Tag verteilt mehrere hunderte SMS von verschiedenen Rufnummern zugestellt werden. Einfach alle löschen, dann ist alles gut, auch wenn die SMS-Flut ärgerlich ist.

Nicht jede Schad-Software ist gleich, es gibt harmlosere als auch gefährlichere Malware. Anscheinend ist mit dieser Masche auch schon vorgekommen, dass anschließend die Fernsteuerung und Ausspähung des Smartphones beobachtet werden konnte. Heimtückisch daran ist, dass die Infektion vom Benutzer nicht bemerkt wird. Auch die Teilnahme an einem Botnetz (Zusammenschluss verschiedener Computer als auch mobiler Geräte mit Internetzugang) ist denkbar.

Auch eine Übernahme von Accounts sei möglich. Das BKA spricht von Google-Accounts, indem die Zwei-Faktor-Authentifizierung (Passwort, welches nur auf einem bestimmten Gerät funktioniert oder die Bestätigung dieses Gerätes verlangt) de facto ausschaltet. Wie es zum Beispiel mit eBay- oder PayPal-Accounts aussieht, ist nicht bekannt, jedoch aus meiner Sicht logisch, dass auch diese dadurch gefährdet sind.

Entwarnung für iPhone-Nutzer: Die Schadsoftware hat es auf Android-Geräte (also Smartphones) abgesehen. Diese kann nicht auf Apple iPhones installiert werden.

Einigermaßen auf der sicheren Seite können Sie sein, wenn Sie in den Einstellungen ihres Smartphones die Installation unbekannter Apps verboten haben. Überprüfen Sie jedoch unbedingt, ob diese Einstellung so noch stimmt oder nicht. 

Was tun, wenn Sie den Verdacht haben, dass Ihr Smartphone bereits infiziert sein könnte? Die Antwort ein einerseits einfach und dennoch umfangreich: Überprüfen Sie, ob in jüngster Zeit neue Apps installiert wurden. Das ist der einfache Teil der Antwort. Wie Sie das machen können (der umfangreichere Teil der Antwort), erklärt sehr ausführlich die Website des LKA Niedersachsen. Deshalb hier der Link:

 

Link zur Website LKA Niedersachen, Prävention mit Anleitung zur Hilfe

Aktuelle Warnung: Dubiose Meldungen, die Schrecken verbreiten

Es ist beileibe kein neues Phänomen, aber es scheint aktuell wieder vermehrt aufzutreten: Man sitzt am Computer und will eine Website aufrufen. Vielleicht, weil man bei Google oder bei sonst einer anderen Suchmaschine diese Website aufgeführt war, dass dort über ein bestimmtes Thema berichtet werden würde. Kaum hat man auf den Link geklickt und es scheint so, als ob sich die Website öffnen würde, da erscheint plötzlich ein kleines Fenster im Vordergrund (sogenanntes Popup-Fenster) und es wird eine erschreckende Meldung offenbart:

„System-Warnung: Windows-System ist beschädigt. Dadurch werden Ihre gesamten Systemdaten gelöscht.“

„Windows wurde aufgrund verdächtiger Aktivitäten blockiert. Bitte aufhören und den PC nicht schließen.“

Unter solchen oder ähnlichen Meldungen, die zur Unterstützung der Glaubwürdigkeit im Stil der Websites von Mircosoft aufgemacht sind und auch deren Logos enthalten, ist meistens dann eine Telefonnummer aufgeführt, wo Sie Hilfe erwarten können. Diese Nummer sollten Sie jedoch nie anrufen, denn dahinter verstecken Sie in der Regel Betrüger. Lassen Sie sich auch nicht davon täuschen, dass es sich um eine Festnetznummer handelt, denn es gibt genügend Möglichkeiten, auch Festnetznummern anonym für betrügerische Zwecke zu nutzen.

Was vor allem Menschen erschreckt und verunsichert, die im Umgang mit dem Internet nicht so geübt sind, das ist neben der Meldung die Tatsache, dass der Computer augenscheinlich nicht mehr reagiert, also tatsächlich blockiert zu sein scheint. Oftmals ist es jedoch nur der Browser (also das Programm, mit welchem Sie im Internet surfen), der nicht mehr reagiert, weil die Website so programmiert wurde, dass sie auf eine Eingabe wartet. Wer den Computer einfach abschaltet, wenn nichts mehr geht, und dann wieder hochfährt, der wird feststellen, dass alles noch in Ordnung ist.

Den Tätern geht es in erster Linie darum, dass der in Schrecken geratene User zum Telefon greift und anruft. Und wenn er das tut, dann wird ihm geholfen, was natürlich nicht kostenlos ist. Gerade aber die Leute, die darauf reinfallen, erkennen gar nicht, dass sie Opfer von Betrügern geworden sind und zahlen den Betrag dann freiwillig, denn die Täterschaft ist nicht nur freundlich, sondern auch kompetent und wird den Schaden alsbald repariert haben. Dass es erstens um gar keinen Schaden gehandelt hat und dass zweitens dieser scheinbare Schaden ausgerechnet vom Verursacher wieder repariert wird, bekommt der ahnungslose Internet-Benutzer gar nicht mit.

Meistens werden ‚nur‘ Beträge im zweistelligen Bereich verlangt, um die Geschädigten nicht misstrauisch zu machen ´Sie können aber danach nicht sicher sein, dass es das gewesen war. Denn die scheinbare Reparatur des Computers konnte nur über Fernwartung erfolgen und dazu musste der Geschädigte die Täterschaft in den Computer hinein lassen. Die Täterschaft kann dort Spionageprogramme installieren oder auch schlichtweg Daten klauen (kopieren), ohne dass sie es merken.

Das ist in etwa so, als wenn Sie zuhause bequem vor dem Fernseher sitzen und es klingelt. Draußen stehen ein Mann und eine Frau, die ihnen vertrauenswürdig erklären, dass in Ihrem Haus oder in Ihrer Wohnung etwas nicht in Ordnung sei. Sie sollen solange vor der Haustür warten und die beiden gehen allein in die Wohnung, um die Störung zu beseitigen. Nach 15 Minuten kommen sie wieder raus, kassieren 64,99 EUR und sind bald darauf wieder weg. Ich denke, dass Sie das gewiss nicht tun würden und deshalb sollten Sie das auch nicht auf ihrem Computer zulassen.

Installieren Sie auch keine Software auf Ihrem Computer, die Sie nicht kennen. Gerne wird ein Popup-Fenster mit der schrecklichen Meldung „Ihr Computer ist virenverseucht“, gezeigt, um Schreck zu verbreiten. Meistens gibt es dort noch einen Button, wo Sie klicken und kostenlos ein Programm herunter laden können, welches die Viren bekämpft. Um den Geschädigten keine Zeit zum Nachdenken zu geben, erscheint dort eine Zahl, die anzeigen soll, in wie viel Sekunden die ersten Systemdateien gelöscht werden. Es beginnt ein Countdown, also die Zahl wird immer kleiner, so wie bei einer Zeitbombe. Wenn Sie nicht die Nerven dazu haben, abzuwarten, dass bei ‚0‘ nichts passiert, dann schließen Sie einfach ihren Browser oder schalten den Computer einfach ab.

Wie bereits erwähnt: Diese Masche ist beileibe nicht neu, aber sie scheint aktuell wieder verbreitet zu sein. Oft trifft es ältere Menschen, die mit dem Internet noch nicht so vertraut sind und die deshalb den Anweisungen bedingungslos folgen. 

Deshalb mein Ratschlag zum Schluss: Wenn Sie im Verwandten- und Bekanntenkreis ältere Menschen kennen, die im Internet surfen, dann sprechen Sie auch einmal über die Themen oder geben einfach meinen Blog bekannt, damit diese sich selbst informieren können. 

Besser vorher einmal zu viel warnen, bevor Schaden eingetreten ist, wobei ich nicht nur vom materiellen Schaden spreche: Vor lauter Schrecken traut sich der Opa nicht mehr ins Web und das muss nicht sein.

Vorsicht vor neuem Erpressungstrojaner

Nicht nur das BSI (Bundesamt für Sicherheit in der Informationstechnik), sondern auch zahlreiche einschlägige Medien warnen dieser Tage eindringlich vor dem Erpressungstrojaner GermanWiper. Eigentlich ist die Bezeichnung „Erpressungstrojaner“ falsch, denn die Schadsoftware löscht Daten, bevor sie die Erpressung ankündigt. Daher warnt das BSI davor, im Schadensfall zu bezahlen.

Bei bisher aufgetauchten Erpressungstrojanern ging man davon aus, dass die Daten nur verschlüsselt werden und deshalb wiederhergestellt werden können (nach Zahlung eines Lösegeldes). Dies scheint nicht der Fall zu sein. Doch wie kann man sich davor schützen?

Geschädigt sind häufig Firmen, die E-Mails mit Bewerbungen enthalten. Dem vermeintlichen Bewerbungsschreiben ist ein Archiv (Zip-Datei) angehängt, wo als Dokument Lebenslauf anscheinend eine WORD-Datei oder eine PDF-Datei angehängt ist. Wer sie öffnet, der hat verloren, da nicht die entsprechende Software gestartet wird, sondern eine Verbindung zu einem Server hergestellt wird, wo dann die entsprechende Schadsoftware herunter geladen und installiert wird.

Wie kann man sich davor schützen: Als erstes sei erwähnt, dass die Täterschaft sich den Umstand zunutze macht, dass WINDOWS die Dateiendungen (‚*.pdf’ oder ‚*.docx’) nicht anzeigt, wenn man dies nicht eigens einstellt. Nach den uns vorliegenden Informationen könnte man den Schädling erkennen, da er als Dateiendung ‚*.exe’ hat. So heißt zum Beispiel das Dokument „Lebenslauf Claudia Mustermann.pdf.exe“, aber da die eigentliche Dateiendung (exe) nicht angezeigt wird, hält man es für ein harmloses PDF-Dokument.

Ganz sicher wäre man, wenn man die Anhänge solcher E-Mail auf einen Computer verschiebt, zum Beispiel mit einem USB-Stick, der nicht mit dem Internet verbunden ist. Vor allem Firmen sollten dies beachten, bevor alle Daten gelöscht sind. In diesem Zusammenhang erübrigt es sich, auf die Wichtigkeit von regelmäßigen Datensicherung hinzuweisen.