Kürzlich hat mich einer meinen Kunden aufgeregt angerufen, er hätte anscheinend Viren auf seinem PC und wurde durch einen angeblichen „Microsoft Mitarbeiter“ telefonisch kontaktiert der Hilfe anbot. Da der falsche Microsoft Mitarbeiter bereits per Fernwartung zugriff hatte, bat ich meinem Kunden als erstes sofort den PC neu zu starten und das Telefonat mit dem Betrüger zu beenden. Kurz erklärte ich meinem Kunden das Microsoft nie anruft und das es eine bekannt Betrugsmasche sei.

Nachdem Neustart schauten wir uns gemeinsam den PC an um auszuschliessen das der Betrüger nichts installiert oder manipuliert hat. Als erstes gingen wir gemeinsam die Schritte durch, welche mein Kunde mit dem Betrüger zusammen ausführte. Wie bereits erwähnt gab sich der Betrüger als Microsoft Mitarbeiter aus und sagte meinem Kunden das er ein Virus auf dem PC habe und er solle die Tastenkombination „Windows“ + „R“ drücken um verschiedene Befehle auszuführen. In der „Ausführen“ Konsole konnten wir dann anschauen was beim Betrugsversuch ausgeführt wurde:

Ausführen

Der erste Befehl war „eventvwr“, das ist die Windows Ereignisanzeige, gekonnt hat der Betrüger zum „Administrative Ereignisse“ gewechselt, dort werden nur Fehler und Warnung angezeigt, dass macht natürlich viel mehr Eindruck da relativ viel rot und gelb ist.

Als zweiten Befehl wurde „cmd“ gestartet, also die Eingabeaufforderung bzw. Windows Konsole, dort konnte mir mein Kunde leider nicht genau sagen was gemacht wurde, es war irgendeine Abfrage welches eine ID anzeigte, der Betrüger sagte dann das dies der Beweis sei das er wirklich ein Microsoft Mitarbeiter ist. Ich vermute mal das die UUID mit dem Befehl „wmic csproduct get „UUID“ angezeigt wurde.

Als dritten Befehl wurde die Webseite „www.windows360help.webnode.com“ aufgerufen, dort bittet der Betrüger das Fernwartungs-Tool „Supremo.exe“ herunter zu laden, das ist ein legitimes Fernwartungs-Programm wie z.B das etwas bekanntere Teamviewer. Somit hatte der Betrüger zugriff auf dem PC meines Kunden.

Der vierte Befehl war „inf trojan horse“, dieser Befehl macht nichts anderes als den Windows INF Ordner im Explorer zu öffnen. Mann könnte auch als Befehl „inf Sie haben Viren auf Ihrem PC“ ausführen mit dem gleichem Resultat. Der Betrüger sagte dann quasi „Sehen Sie, das sind alles Viren die Sie da sehen“.

Der letzte Befehl war „certmgr.msc“, das ist der Windows Zertifikatsmanager, eigentlich nichts besonders, der Betrüger meinte aber das ein Zertifikat fehlt und er ohne dieses Zertifikat nicht helfen kann. Der Betrüger bat meinem Kunden eine Google-Play Karte zu kaufen, am besten in einem nahegelegenen Einkaufszentrum wie Coop oder Migros, soweit ist es zum Glück nicht gekommen, da mich der Kunde genau in diesem Moment kontaktiert hat, wir konnten dann wie bereits beschrieben den Betrugsversuch beenden. Das Ziel war den Kunden vom PC wegzulocken, damit der Betrüger in aller Ruhe den PC manipulieren kann.

Am Schluss haben wir nochmals den PC gründlich analysiert um eine Manipulation auszuschliessen. Am besten wäre es den PC komplett neu aufzusetzen um eine Manipulation hundertprozentig auszuschliessen.

Wie bereits mehrfach erwähnt: Microsoft ruft Sie nie an!

Falls Sie auch mal Opfer eines solchen Betrugs wurden, helfen wir Ihnen gerne bei der Analyse und Bereinigung Ihres PC’s. Kontaktieren Sie uns auf https://df-informatik.ch/kontakt oder lassen Sie es uns wissen.