Support Scam – was Chiptuning mit Microsoft zu tun hat

Dass Betrüger das Internet für sich entdeckt haben, ist sicherlich keine Neuigkeit mehr. Ebenso wenig wie der Fakt, dass sie sich immer wieder neue Maschen ausdenken, um ihre Opfer in die Falle zu locken. Heute möchte ich von einem Fall berichten, den einer unserer Kollegen aus unserem Support-Team erlebt hat.

Wie alles begann

Als Besitzer eines Fahrzeugs eines großen Automobilkonzerns begab er sich auf die Internetsuche nach Möglichkeiten, die Leistung der „Familienkutsche“ etwas zu steigern. Das Zauberwort heißt hier „Chiptuning“, also das Aufspielen einer neuen Steuerungssoftware des Fahrzeugs mit verbesserten Leistungsdaten. Da dies jedoch sowohl beim Hersteller als auch bei (lizenzierten) Drittanbietern unter Umständen mit hohen Kosten verbunden ist, neigt manch einer zur nicht immer sorgenfreien Alternativsuche, wie dieses Beispiel zeigen wird.

Während unser Kollege also, um sich einen Überblick über das Angebot und Preisniveau zu verschaffen, eine Suchmaschine seines Vertrauens mit den entsprechenden Begriffen „fütterte“, gab diese ihm nun nicht nur offizielle Seiten des Herstellers oder von seriösen Anbietern aus, sondern auch Ergebnisse, die einfach nur den offenbar kostenfreien Download der Software über Downloadportale wie in diesem Fall „upload.to“ anbieten. Von Natur aus neugierig, aber auch mit der nötigen Vorsicht, rief er also aus einer geschützten Umgebung heraus diesen Link auf und gelangte auch zum entsprechenden Download-Angebot, das sich, wie so viele, durch eingeblendete Werbung finanziert. Kriminelle haben die verschiedenen Werbeplattformen, die es dafür gibt, schon längst als Verbreitungsvektor für sich entdeckt. So auch in diesem Falle. Nicht bei jedem Aufruf, aber doch vereinzelt, stellte sich die Einblendung nicht wie erwartet als Banner oder zu schließende Überblendung dar, sondern imitierte einen sogenannten „Bluescreen of Death“ (BSOD), also eine Systemfehlermeldung.

BSOD

Wirklich ein Systemcrash?

Dass es sich hierbei lediglich um ein Browserfenster bzw. –tab handelt, wird dem durchschnittlichen Anwender ob des Schrecks nicht zwingend und sofort klar. Auch, dass bei „normalen“ BSODs keine Telefonnummer für einen Rückruf angezeigt werden wird. Überhaupt lohnt sich (wie so oft) ein genaues Betrachten des angezeigten Inhalts. Abgeschnittene, teils unverständliche Sätze sollten jedenfalls nicht unbedingt viel Glaubwürdigkeit erzeugen. Doch just in diesem Moment, als wir schon anfangen, über diesen „netten Versuch“ zu schmunzeln, wird die Sache unangenehm: Ein Nachrichtenfenster blendet auf und in erneut nicht ganz fehlerfreiem Deutsch wird dem Anwender noch einmal klargemacht, dass er doch unbedingt besagte Telefonnummer zu wählen hätte. Zusätzlich verhindert diese Überblendung jegliches weitere Arbeiten, da sie immer im Vordergrund ist und sich auch zunächst nicht schließen lässt, egal ob man auf „OK“ oder das „X“ klickt.

MSGBOX

Sonderkommando für Hartnäckige

Nun kennen wir uns Anwender ja – dass ein Klick nichts bewirkt, heißt ja nicht, dass man es nicht wieder und wieder probiert. Und siehe da: Nach ungefähr 5-maligem Schließversuch passiert tatsächlich etwas und ein neues Browserfenster öffnet sich:

SUPPORTPAGE

Hier wird einem noch einmal ausführlicher erklärt, dass unbedingt eine Telefonnummer zu wählen sei, um Kontakt zu Microsoft-Spezialisten aufzunehmen. Nun weiß in Wirklichkeit Microsoft ungefähr genauso viel von ihrem angeblichen Problem, wie die Betrüger hinter dieser Masche wissen, dass Viren Malware sind und eine getrennte Erwähnung ungefähr genauso „sinnvoll“ ist, wie von Pferden und Haflingern zu sprechen. Zumal bei genauerem Hinschauen (na, wer erkennt hier ein Muster?) ein paar Ungereimtheiten auffallen. Plötzlich nämlich hat sich zwar die Sprachqualität des Textes verbessert, aber dafür auch die anzurufende Telefonnummer. So ist im gefälschten „BSOD“ Fenster noch von einer Rufnummer in Bornheim im schönen Rheinland die Rede und jetzt auf der neuen Seite soll man plötzlich 90km nördlich in Essen anrufen. Warum? Sitzt dort am anderen Ende das speziell geschulte Team zur Beantwortung von „hartnäckigen Vielklickern“?

Wie gut, dass in der Messagebox, die mittlerweile auch hier aufpoppt, wenigstens die gleiche Nummer zu finden ist. Wie ungut, dass diese mich nicht mehr den Inhalt der dahinterliegenden Webseite lesen lässt und sogar die Möglichkeit verhindert, mit dem „Supporter Matt“ zu chatten. Dieser war übrigens bei all unseren Versuchen offline und wird mit Sicherheit auch nicht existieren…

SUPPORTPAGE_msgbox

Vorsicht Falle!

Sollte man jedoch eine dieser Nummern anrufen, so ist die folgende Masche nicht neu. Ein Gegenüber, dass sich als Microsoft-Experte ausgibt, wird Ihnen ein schönes Märchen erzählen, dass Microsoft festgestellt hätte, dass Ihr Rechner möglicherweise infiziert sei, das aber nicht wirklich zu 100% klar sei und so oder so, Sie als Anwender sich bitte ein Tool herunterladen und ausführen sollten, damit sich der Techniker mit Ihrem Rechner verbinden und Ihr System „bereinigen“ kann.

Das ist natürlich Quatsch und in Wirklichkeit haben Sie gerade dem Einbrecher bereitwillig die Türen geöffnet und Kaffee und Gebäck gereicht.

Fazit

Zuerst gilt festzuhalten: Microsoft hat (zumindest noch) natürlich nichts mit Chiptuning oder gar irgendetwas mit dieser Masche zu tun! Ebenso wenig haben die Betrüger in diesem Falle mit Professionalität zu tun.

Aber was soll das dann alles? Nun, leider ist es so, dass eben nicht jeder Anwender zwischen legitimen und illegalen Angeboten und Suchtreffern bei Google, Bing & Co. unterscheiden kann und gleiches gilt natürlich auch für (Warn-)Hinweise am Bildschirm. Ein wenig gesundes Misstrauen und ein paar Sekunden zum Lesen helfen oft schon, mögliche Betrugsversuche zu entdecken. Warum wir hier über solch einen „billigen“ Versuch schreiben? Weil auch dieser leider erfolgreich sein und dazu beitragen wird, weitere Entwicklungen und Verbesserungen der Sprachqualität zu bezahlen – das wollen wir so gut wie möglich verhindern!

Außerdem sehen wir hier bereits eine Weiterentwicklung einer schon bekannten Betrugsmasche – den sogenannten „Phone Support Scams“, bei denen Sie angerufen werden – wieder angeblich von Microsoft – und im Endeffekt das Gleiche behauptet wird, wie in unserem Fall am Bildschirm dargestellt.

Grundsätzlich können Sie folgendes beachten:

  1. Benutzen Sie immer ein gesundes Maß an Misstrauen im Internet
  2. Nehmen Sie sich die Zeit, Bildschirminhalte und Informationen in Ruhe zu lesen, bis Sie sie verstanden haben
  3. Sollte Ihnen das Verständnis schwerfallen, fragen Sie Bekannte um Hilfe
  4. Versuchen Sie keinesfalls das Problem einfach „wegzuklicken“, wenn Sie sich nicht sicher sind
  5. Verwenden Sie eine gute Schutzsoftware, die gefährliche und betrügerische Webseiten blockieren kann
  6. Vertrauen Sie keinem Techniker der Ihnen erzählen will: „Um SOFTWARE XY zu installieren, müssen Sie aber erst Ihren Virenscanner deaktivieren oder deinstallieren!“

Zu guter Letzt möchte ich mich noch bei meinem Kollegen Danny Baumann bedanken, dass er uns auf diesen Fall aufmerksam gemacht hat und wünsche ihm „Allzeit gute Fahrt!“.

Autor , ESET