Technical Support Scam

Technical Support Scam (auch Tech-Support-Betrug) ist eine Art des telefonischen Betrugs, bei welchem der Betrüger vorgibt, für ein Unternehmen im Computerdienstleistungsbereich zu arbeiten. Ziel der Anrufe sind meist Nutzer von Microsoft Windows (oder seltener auch MacOS), gegenüber welchen der Betrüger oft angibt, entweder für Microsoft zu arbeiten oder für ein Dienstleistungsunternehmen in dessen Auftrag.^[1]

Die Kontaktaufnahme geschieht entweder durch einen unverlangten und überraschenden Telefonanruf durch den Betrüger (wobei die Telefonnummer durch Call ID Spoofing verschleiert wird) oder das Opfer wird dazu gebracht, den Betrüger unter einer meist kostenfreien Telefonnummer anzurufen (bspw. durch Anzeigen eines einschüchternden Pop-ups im Webbrowser).^[2][3]

Der Kriminelle versucht in der Regel Fernzugriff auf den Computer des Opfers zu erlangen, wodurch er möglicherweise bereits Zugriff auf sensible Daten des Opfers wie Bankverbindungen, Versicherungsinformationen, Adressdaten und persönliche Dokumente erlangen kann.^[4] Danach versucht der Betrüger das Opfer mittels Tricks dazu zu bringen, einen Geldbetrag für das vermeintliche Lösen von angeblichen Problemen oder für vorgeblich nötige Sicherheitssoftware zu bezahlen.

Fernzugriff[Bearbeiten | Quelltext bearbeiten]

Der Fernzugriff erfolgt in der Regel durch an sich legale Fernwartungssoftware, wie beispielsweise TeamViewer Remote, LogMeIn, AnyDesk, GoToAssist etc.

Software wie TeamViewer unterbindet jedoch inzwischen Versuche, eine Verbindung aus Indien aufbauen zu lassen und warnt potentielle Opfer mit einem großen Warnhinweis über den Tech-Support-Betrug, wodurch die Betrüger das Opfer entweder dazu auffordern, sich zuerst mit den Betrügern zu verbinden, oder eine andere, teilweise manipulierte Software benutzen.^[5] Mittlerweile ist zur Fernsteuerung anderer Geräte eine Registrierung erforderlich. Dem Gegenüber wird bei der Verbindung der Standort angezeigt.^[6]

Tricks[Bearbeiten | Quelltext bearbeiten]

Wenn es schon gelungen ist die Opfer zu täuschen und Fernzugriff auf das System zu erlangen, verwenden die Betrüger oft Tricks, um den Opfern scheinbar zu belegen, dass es reparaturbedürftige Probleme gäbe.

• Der Betrüger könnte vor den Augen des Opfers das standardmäßig unter Windows installierte Programm Event Viewer öffnen, welches eine Auflistung von verschiedenen Ereignissen zeigt, die eigentlich für Systemadministratoren bestimmt sind. Viele der dort gezeigten Einträge sind in der Regel harmlos, aber vor allem die Bezeichnungen „Warnung“ und „Error“, die üblicherweise große Anzahl an Einträgen und die Überzeugungsfähigkeit der Betrüger lassen die Opfer möglicherweise glauben, dass es sich um schwerwiegende Probleme handelt.^[7]
• Der Betrüger könnte Cmd.exe-Tools wie zum Beispiel tree oder dir /s nutzen. Beide listen lediglich große Mengen an Dateien oder Ordnern auf, aber für das Opfer könnte es so wirken, als wenn damit tatsächlich der Computer nach Problemen durchsucht wird. Die Zeit des Auflistens kann der Betrüger nutzen, um eigenen Text verborgen einzugeben, der dem Opfer dann nach dem Durchlaufen einer der Befehle angezeigt wird. Dieser Text könnte beispielsweise ein Hinweis sein, dass angeblich ein Virus oder Malware gefunden wurden oder dass Lizenzen abgelaufen sind und kostenpflichtig erneuert werden müssen.^[8]
• Das Programm syskey könnte missbräuchlich vom Betrüger verwendet werden, um den Computer des Opfers durch ein Passwort zu sperren, das beim Computerstart eingegeben werden muss. Ohne das Passwort hat das Opfer keinen Zugriff mehr auf den eigenen Computer.^[9] syskey wurde von Microsoft aus neuen Versionen von Windows 10 entfernt.^[10]
• Der Befehl netstat könnte genutzt werden, um lokale und fremde IP-Adressen aufzulisten. Der Betrüger würde dem Opfer dann einreden, dass diese zu Hackern gehören, die sich angeblich Zugriff auf den Computer des Opfers verschafft haben.^[11]
• Pop-ups im Webbrowser können den Arbeitsspeicher des Opfer-PCs füllen, indem eine endlose Zahlenreihe generiert wird, was dafür sorgt, dass der Webbrowser des Opfers nicht mehr reagiert.^[12] Dies soll suggerieren, dass der PC durch Microsoft gesperrt wurde. Des Weiteren ist es möglich, dass währenddessen eine Audio-Aufnahme abgespielt wird, die dem Opfer weitere Informationen und Instruktionen vermittelt.^[13]

Einzelnachweise und Ressourcen[Bearbeiten | Quelltext bearbeiten]

1. ↑ Schützen vor betrügerischen Benachrichtigungen, die scheinbar vom technischen Support kommen. Microsoft, abgerufen am 26. Februar 2019. 
2. ↑ I am calling you from Windows: A tech support scammer dials Ars Technica. Abgerufen am 26. Februar 2019. 
3. ↑ How to Identify & Remove Fake Pop - up | Avoid Tech Support Scams. In: Offizieller Norton Support. Symantec, abgerufen am 2. März 2019 (englisch). 
4. ↑ Kurt Sagatz: Internet-Betrüger geben sich als Hotline-Mitarbeiter aus. In: Der Tagesspiegel Online. 7. Mai 2015, ISSN 1865-2263 (tagesspiegel.de [abgerufen am 15. Juni 2018]). 
5. ↑ Jim Browning: TeamViewer strikes back. Abgerufen am 23. Mai 2023 (englisch). 
6. ↑ Jonas Volkert: TeamViewer gibt seinem Kind einen Namen – Remote. In: iX Magazin (heise online). 26. April 2023, abgerufen am 9. August 2023. 
7. ↑ Scamming the scammers – catching the virus call centre scammers red-handed. 21. Februar 2012, abgerufen am 28. August 2019 (englisch). 
8. ↑ K. Allen says: Beware of Microsoft Tech Support Scammers. Abgerufen am 28. August 2019. 
9. ↑ ‘Microsoft Partner’ Claims Fuel Support Scams — Krebs on Security. Abgerufen am 28. August 2019 (amerikanisches Englisch). 
10. ↑ Syskey.exe utility is no longer supported in Windows 10. Abgerufen am 28. August 2019. 
11. ↑ Don't fall for the netstat scam. 1. September 2014, abgerufen am 29. August 2019 (amerikanisches Englisch). 
12. ↑ Davey Winder: Warning: Microsoft Support Scam 'Freezes' Chrome, Edge And Firefox Browsers -- How To Defrost Them. Abgerufen am 6. September 2020 (englisch). 
13. ↑ Microsoft Sicherheitsalarm. 10. März 2018, abgerufen am 6. September 2020.