Support-Scam: Wenn sich der Support von Microsoft ungefragt meldet

Die als Support-Scam bekannte Betrugsmasche, bei der sich Cyberkriminelle als vermeintliche Support-Mitarbeiter großer IT-Firmen ausgeben und dem Nutzer kostenpflichtige Dienstleistungen unterjubelt, wird immer ausgefeilter. Anwender sollten sich daher über ein mehrstufiges Sicherheitskonzept Gedanken machen.

Seit Jahren gibt es eine bekannte Betrugsmasche, die sich vor allem an ungeübte PC-Benutzer richtet. In betrügerischer Absicht rufen Kriminelle bei Anwendern an und geben sich als Support-Mitarbeiter von Microsoft und anderer großer IT-Unternehmen aus.

Sie behaupten, der Rechner des Nutzers sei von Viren befallen und bieten dann eine Software an, die es ihnen angeblich möglich macht, das Problem zu beseitigen. Im Zuge der Installation der angeblichen Fernwartungssoftware wird allerdings entweder Malware auf den Rechner gespielt, über die die Betrüger auf das Gerät zugreifen und Daten ausspähen können oder der PC gesperrt und erst nach Zahlung eines Lösegeldes wieder freigegeben.

In jüngster Zeit nutzen Cyberkriminelle außerdem nicht nur das Telefon für Kontaktaufnahmen. Sie verwenden auch Techniken wie Phishing und nutzen sogar Zero-Day-Lücken aus. Anwender sollten sich daher über ein mehrstufiges Sicherheitskonzept Gedanken machen.

Tech-Support-Betrüger agieren zunehmend mit Phishing-Techniken und wollen Nutzer mit vermeintlichen Sicherheitswarnungen zum Anruf bei ihren Hotlines bewegen (Bild: Microsoft)Tech-Support-Betrüger agieren zunehmend mit Phishing-Techniken und wollen Nutzer mit vermeintlichen Sicherheitswarnungen zum Anruf bei ihren Hotlines bewegen (Bild: Microsoft)

Support-Mitarbeiter drohen und setzen unter Druck

Meistens drohen die vermeintlichen Support-Mitarbeiter damit, dass der Anwender seine Windows-Lizenz verliert oder sein Rechner Viren im Internet verbreitet und er rechtlich dafür haften muss. Häufig nutzt der Anrufer interne Systemprogramme, um zu zeigen, dass die Windows-Lizenz nicht mehr gültig ist. Hier gilt aber: Wenn Windows der Meinung ist, dass die eigene Lizenz nicht mehr gültig ist, dann zeigt das Betriebssystem das auch an. Es ist kein Zusatztool notwendig, um das zu überprüfen, und Microsoft wird sicherlich keine Kunden anrufen, um Geld für eine Erneuerung der Windows-Lizenz zu erhalten. Mit dem Befehl „slmgr.vbs /dlv“ kann jeder Anwender selbst über das Startmenü prüfen, ob die Lizenz noch gültig.

Die Gültigkeit der eigenen Windows-Lizenz lässt sich schnell und einfach überprüfen (Screenshot: Thomas Joos).Die Gültigkeit der eigenen Windows-Lizenz lässt sich schnell und einfach überprüfen (Screenshot: Thomas Joos).

Auch der Verlust der eigenen Daten, Urlaubsfotos und anderer wichtiger Dateien wird immer wieder gerne als Drohung genommen. Die Betrüger versuchen Anwender zu verunsichern und mit zahlreichen Problemen zu verunsichern.

Dabei ist die Lösung ganz einfach: Den Hörer auflegen! Anwender sollten sich auf keinen Fall auf Diskussionen mit den Betrügern einlassen. Es bleibt also festzuhalten, dass JEDER Anruf von Microsoft, Dell, 1&1 und anderen Unternehmen, die ungefragt zu Hause eingehen, gefälscht sind. KEINES dieser Unternehmen ruft einfach an, um Drohungen und Warnungen auszusprechen.

Microsoft reagiert inzwischen und bietet die Webseite „Betrügerischen technischen Support melden“ an, auf der sich Anwender melden können, die Opfer des Betrugs wurden, oder bei denen der Betrug nur versucht wurde. Microsoft ist aber nicht das einzige Unternehmen, das Kriminelle für gefälschte Support-Anrufe missbrauchen. Auch Dell, 1&1 und andere Unternehmen werden dazu genutzt.

 

Der falsche Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines unseriösen technischen Supports an (Bild: Malwarebytes).Ein falscher Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines unseriösen technischen Supports an (Bild: Malwarebytes).

Ransomware, Phishing und Trojaner – So werden PC-Benutzer betrogen

Auch gefälschte Webseiten werden dazu genutzt, um ein Problem mit dem PC vorzutäuschen. Mal erscheint ein Bluescreen, mal der Hinweis, dass sich auf dem PC zahlreiche Viren befänden, die nur durch den Klick auf die gefälschte Seite entfernt werden können. Auf den Seiten sind häufig offizielle Logos von Microsoft oder anderen größeren Unternehmen zu finden. Natürlich sind alle Informationen auf der Seite falsch, unabhängig davon, wie professionell die Seite aussieht. Häufig versuchen die Anrufer den Anwender auf bestimmte Internetseiten zu leiten, auf denen gezeigt wird, wie viele Viren sich auf dem Rechner befinden und wie sich der PC bereinigen lässt. Es spielt keine Rolle, ob Anwender von alleine auf diese Seite wechseln oder vermeintliche Support-Mitarbeiter von Microsoft dazu auffordern. In jedem Fall sind diese Seiten gefälscht.

Auch vermeintliche, aber gefälschte Hotlines zu Microsoft werden über diese Seiten verteilt. Auf den verschiedenen Wegen wollen die Betrüger eine Fernwartungssoftware auf dem PC installieren, die Daten auslesen kann und häufig weitere Trojaner installiert. Dabei werden häufig ganz normale Programme wie TeamViewer und Co missbraucht, um sich direkten Zugang zu den PCs von Anwendern zu verschaffen. Dadurch wird zum Teil auch Ransomware auf dem PC des Opfers installiert, sodass der Nutzer erst dann wieder auf seinen PC zugreifen kann, wenn eine bestimmte Geldsumme überwiesen wurde. In vielen Fällen nutzen die Kriminellen den Fernwartungszugang auch dazu, auf Online-Bankkonten zuzugreifen und Geld zu überweisen.

Die Angreifer versuchen teilweise mit Bordmitteln wie „Syskey“ Teile der Registry mit einem Kennwort zu verschlüsseln, damit der Anwender keinen Zugriff mehr auf den PC erhält. Bei dem Vorgang werden Teile des Betriebssystems verschlüsselt, sodass der Zugriff auf Windows nur durch Eingabe eines Kennwortes möglich ist. Es werden bei diesem Vorgang also nicht Dateien verschlüsselt, sondern der Zugang zu Windows selbst.

Angreifer aus dem Internet, die sich als Support-Mitarbeiter ausgeben, verschlüsseln den Zugriff auf Windows mit dem systemeigenen Tool „syskey“ (Screenshot: Thomas Joos).Angreifer aus dem Internet, die sich als Support-Mitarbeiter ausgeben, verschlüsseln den Zugriff auf Windows mit dem systemeigenen Tool „syskey“ (Screenshot: Thomas Joos).

Alle diese Angriffe haben nur ein Ziel: Die Benutzer sollen Anmeldedaten, Bankdaten oder Kreditkartennummern übermitteln, welche die Cyberkriminellen missbrauchen. Wird der PC gesperrt, soll der Anwender sogar selbst Geld bezahlen. Hier stellt sich also die Frage, wie PC-Anwender reagieren sollen, oder welche Tipps geübte Anwender ihren Freunden und Bekannten geben sollten, um Angriffe durch vermeintliche Support-Mitarbeiter zu vermeiden.

Beendete Systemdienste sind kein Problem

Häufig versuchen die Betrüger den Anwender dazu zu bewegen, auf dem eigenen Rechner mit Systemprogrammen zu überprüfen. Dabei wird häufig das Tool „Systemkonfiguration“ von Windows verwendet, das im Startmenü mit „msconfig.exe“ gestartet wird. Hier will der vermeintliche Support-Mitarbeiter zeigen, dass Windows bereits zahlreiche Systemdienste beendet hat, was darauf hinweisen soll, dass der Rechner Probleme hat. Auch darauf sollten Anwender nicht eingehen. Es ist normal, dass Windows nicht benötigte Systemdienste beendet.

Beendete Systemdienste stellen kein Problem für Windows dar, sondern sind vollkommen normal (Screenshot: Thomas Joos).Beendete Systemdienste stellen kein Problem für Windows dar, sondern sind vollkommen normal (Screenshot: Thomas Joos).

 

Auf keinen Fall sollten Nutzer von den Cyberkriminellen empfohlenen Anwendungen über das Internet installieren. Dazu zählt auch Fernwartungssoftware. In jedem Fall bietet es sich an, einen Freund, Bekannten oder in einer Facebook-Gruppe zu fragen, ob jemand bei einem Problem helfen kann. Ein Anruf bei örtlichen PC-Läden und IT-Dienstleistern kann ebenfalls oft helfen.

Außerdem sollten Anwender niemals auf irgendwelche Links klicken, die durch einen vermeintlichen Virenscanner auf einer Webseite angeboten werden. Die Seite sollte sofort geschlossen werden. Idealerweise sollten auch gleich die temporären Internetdateien des jeweiligen Browsers gelöscht werden.

So sollten Anwender reagieren, wenn vermeintliche Microsoft-Mitarbeiter anrufen

Rufen vermeintliche Support-Mitarbeiter ungefragt an, sollten Anwender sofort auflegen und keinerlei Daten über sich preisgeben. Kein Microsoft-Mitarbeiter nimmt von sich auf Kontakt zu einem Kunden auf, um irgendwelche Daten zu erhalten oder eine Software auf dem PC zu installieren. Nur wenn Anwender selbst bei Microsoft eine Support-Anfrage gestellt haben, erfolgt eine Kontaktaufnahme.

Das gilt natürlich auch dann, wenn vermeintliche Support-Mitarbeiter anderer Unternehmen anrufen. Wurde der Kontakt nicht direkt durch den Anwender initiiert, sollte mit vermeintlichen Mitarbeitern von Microsoft, Dell, 1&1 und anderen nicht diskutiert, sondern einfach aufgelegt werden. Das gilt vor allem dann, wenn der Anrufer auf irgendwelchen Wegen Zugriff auf den PC des Anwenders nehmen will. So etwas wird niemals durch ein seriöses Unternehmen stattfinden.

Microsoft hat die Maschen der Anrufer untersucht und stellt dazu folgendes fest:

  • Microsoft führt unter keinen Umständen unaufgeforderte Telefonanrufe durch, in denen das Unternehmen anbietet, ein schadhaftes Gerät zu reparieren. Selbst auf offizielle Support-Anfragen erfolgen Hilfestellungen fast ausschließlich per E-Mail.
  • Microsoft schickt unaufgefordert weder E-Mails, noch fordert das Unternehmen per Telefonanruf persönliche oder finanzielle Daten an.
  • Gibt sich der Anrufer als Mitarbeiter der Microsoft-Lotterie aus, dann stimmt dies nicht: Es gibt keine Microsoft-Lotterie.
  • Microsoft fragt niemals nach Kreditkarteninformationen, um die Echtheit von Office oder Windows zu verifizieren.
  • Microsoft kontaktiert Nutzer nicht ungefragt, um über neue Sicherheits-Updates zu informieren. Kontakt zum Microsoft-Support erfolgt ausschließlich auf Initiative der Nutzer, niemals umgekehrt.

Weitere Vorsichtsmaßnahmen

Der Schutz vor Schadsoftware, die vermeintliche Support-Mitarbeiter auf dem PC des Opfers installieren, sollte wie bei Unternehmen auch bei Privat-Anwendern mehrstufig ausfallen.

  • regelmäßig Backups durchführen
  • Moderne Anti-Malware-Software verwenden
  • Spezielle Removal-Software einsetzen

Die skizzierten Beispiele der vermeintlichen Support-Mitarbeiter zeigen, dass die Angriffstaktiken durch die Cyberkriminellen ständig angepasst und optimiert werden. Außerdem nimmt die Anzahl der Angriffe zu. Das IT-Sicherheitsunternehmen Malwarebytes hat im ersten Quartal 2017 beispielsweise eine Zunahme von Malware von durchschnittlich 167 Prozent in den USA festgestellt. In einigen Staaten betrug der Anstieg sogar mehr als 500 Prozent. Der Threat Report von Malwarebytes macht also schnell klar, dass Anwender auf das Wachstum von Angriffen reagieren sollten.

Auch hierzulande nimmt die Bedrohung durch Cyberattacken zu. In einer Untersuchung fand Malwarebytes beispielsweise heraus, dass 21 Prozent von deutschen KMUs, die von Ransomware befallen waren, die Geschäftstätigkeit zeitweise einstellen mussten. 14 Prozent beklagten Umsatzeinbußen.

Regelmäßig Backups durchführen

Ein wirksamer Schutz vor dem Verlust von Daten ist das Erstellen von regelmäßigen Backups. Somit kann man nach dem Befall durch Malware, den zuvor gesicherten Zustand schnell wieder herstellen. Eine Entschlüsselung ist in diesem Fall nicht notwendig. Dabei gehen allerdings alle Änderungen seit der letzten Datensicherung verloren.

Neben kostenpflichtigen Programmen können Anwender hierfür auch frei verfügbare Tools wie Clonezilla verwenden. Es ist eine der bekanntesten Lösungen für das Klonen von kompletten Festplatten. Mit dem Tool lassen sich zuvor gesicherte PCs mit Betriebssystem und Daten relativ einfach und schnell wiederherstellen. Clonezilla ist auch Bestandteil der ebenfalls kostenlosen Ultimate Boot CD, die noch weitere Werkzeuge enthält.

Mit Software lassen sich Angreifer entdecken und beheben

Moderne Virenscanner, wie Malwarebytes 3, stellen den Virenschutz der nächsten Generation für PCs dar. Solche Virenscanner erkennen auch Zero-Day-Angreifer und Ransomware.

Es stehen aber auch kostenlose Tools zur Verfügung, mit denen verschlüsselte Dateien wieder entschlüsselt werden können. Das Decryptor-Tool für Petya kann zum Beispiel alle verschlüsselten Dateien wiederherstellen, die durch ältere Versionen der Ransomware Petya verschlüsselt worden sind.

Als universelles Reinigungstool eignet sich AdwCleaner . Es kann ohne Installation direkt ausgeführt werden. Daher kann es auch als mobiles Tool auf einem USB-Stick verwendet werden. Die Bedienung ist auch für ungeübte Anwender leicht: Zunächst wird das Tool heruntergeladen und gestartet. Durch einen Klick auf die Schaltfläche „I Agree“ oder „Ich stimme zu“, startet die eigentliche Oberfläche. Mit einem Klick auf die Schaltfläche „Suchlauf“ beginnt der Assistent mit der Suche. Anwender sollten alle Schädlinge, die das Tool findet, auf allen Registerkarten löschen lassen. Scannen Anwender danach den Rechner noch einmal, können sie sicherzustellen, dass sich keine Schadsoftware mehr auf dem Rechner befindet.

Tools wie Adwcleaner von Microsoft können mit einem schnellen Scan überprüfen, ob auf dem PC Probleme vorliegen (Screenshot: Thomas Joos).Tools wie Adwcleaner können mit einem schnellen Scan überprüfen, ob auf dem PC Probleme vorliegen (Screenshot: Thomas Joos).

Fazit

Rufen vermeintliche Support-Mitarbeiter großer Formen ungefragt zu Hause an, sollten Anwender sofort auflegen, um Diskussionen aus dem Weg zu gehen, die in der Folge zu Aktionen führen können, die den PC mit Schadsoftware infizieren.

Die Anzahl von Cyberattacken nimmt stetig zu. Daher sollten Anwender sich Gedanken über eine mehrstufige Sicherheitsstrategie machen. Dazu zählt auch, regelmäßige Backups durchzuführen, eine leistungsfähige Anti-Malware-Lösung einzusetzen und sogenannte Cleaning-Tools bereitzuhalten.

Themenseiten: MIcrosoft, Malware, Malwarebytes, Malwarebytes Cybersecurity, Microsoft, Microsoft-Support, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: