Am Samstag kurz vor 09:00 Uhr klingelte das Festnetztelefon. Eine Dame von Microsoft Manchester stellte sich in asiatischem Englisch vor. Oh, wenn die mich am Samstag kurz nach dem Frühstück anrufen, dann muss es wohl wichtig sein.
Ich fasse unser halbstündiges Gespräch mal zusammen:
In ihren Server-Logs fällt mein Computer immer wieder auf. Und zwar immer dann wenn ich online gehe, E-Mails lese, Filme schaue oder Online-Games spiele. Mein Computer sei „98% corrupted“. Meine Frage, um welchen Computer es sich denn handle, konterte sie mit der Gegenfrage, wieviele ich denn hätte. Ich sagte „a hand full“. Ich solle meinen Computer bitte mal anschalten, dann könnte sie mir eine Secure-ID durchgeben, die ich dann auf meinem PC suchen und überprüfen kann. Diese ID ist so speziell, dass nur Microsoft-Leute sie kennen. Ich sagte, dass ich überhaupt nichts in meinen Computer tippen werde, ich die ID aber gern erst einmal auf Papier notiere: Sie gab mir eine 32-stellige ID durch.
Dann führte sie mich durch System:
- Über Win+R und Cmd lotste sie mich in die Windows-Eingabeaufforderung. Hier fühlte ich mich noch halbwegs wohl, obwohl ich das schwarze DOS-Fenster lange nicht mehr gesehen hatte.
- Ich solle mal bitte „assoc“ eingeben. Den Befehl kannte ich nicht, aber ich googelte den parallel und befand ihn für unkritisch. Eine lange Übersicht von Dateityp-Zuordnungen wurde gelistet. Ich sollte ganz zum Ende scrollen und da bitte mal die Nummer überprüfen. Krass. Das war genau diese Secure-ID, die sie mir gerade durchgegeben hatte. Wow.
- Sie führte mich zurück zur DOS-Box, wo ich „eventvwr“ eingeben sollte. Ich landete in der Windows Ereignisanzeige und dort warteten tausende Warnungen auf mich. Auch von Samstagmorgen. Das seien alles Meldungen, die darauf hindeuten, dass mein PC von anderen Rechnern fremdgesteuert würde. Ich sollte mal versuchen eine Meldung zu löschen, das ging aber nicht. Ein weiteres Indiz dafür, dass ich nicht mehr Herr meines Computers sei. Sie wolle das mit mir zusammen nun lösen.
- Wieder zurück zur DOS-Box, ich sollte „netstat“ eingeben. Machte ich auch, nachdem ich den Befehl kurz gegengecheckte hat. Eine Liste von 6 unbekannten IP-Adressen erschien, das seien vermutlich Hacker aus Indien, China die meinen PC „remote“ steuern. Sie riet mir dringend, das Problem zu beheben, um weiteren Schaden oder gar einen Totalverlust meines Computers zu vermeiden. Oh, ein Totalverlust, käme mir in der Tat etwas ungelegen.
- Dann sollte ich TeamViewer installieren. Eine Software die ich durchaus kenne, gar nicht unüblich, wenn ein IT-Support aus der Ferne, etwas am Rechner machen muss. Das wurde mir dann aber zu heiß, ich sagte, ich hätte jetzt keine Zeit dafür. Dann erhöhte sie den Druck und drängte mich immer mehr. Ich sagte, ich muss das erst einmal verifizieren und wir könnten 14:00 noch einmal telefonieren. „But Sir … was gäbe es zu verifizieren, ihr Computer ist einem erheblichen Risiko ausgesetzt“. Und 14:00 sei ihr „office“ schon „closed“. Gut dann halt Montag schlug ich vor. „But Sir … you cannot wait until Monday…“)
Hier beende ich mal die Abschrift.
Wenn ich das jetzt rückwirkend so niederschreibe, schreit das schon zum Himmel, aber ich muss gestehen, ich war kurz davor, in die Falle zu tappen. Die war so professionell, sprach so gut Englisch, ihre Systemchecks und Schlussfolgerungen machten Sinn in dem Moment. Im Hintergrund konnte ich sogar Call-Center-Geräusche hören.
Was hat mich zweifeln lassen?
- Warum rufen die am Samstag kurz vor neun an?
- Wieso ruft jemand aus England mit der Vorwahl 0032 an?
- Und warum überhaupt aus England, warum nicht aus Deutschland?
- Wie kriegen sie meine Festnetznummer mit der Secure ID zusammen?
- Wieso wiederholte sie bestimmte Sätze immer wieder und überhaupt … ich spiele gar keine Online-Games!
Und wie ging die Geschichte nun aus?
Ich beendete das Gespräch mit dem Verweis auf 14:00 Uhr, das würde mir Zeit verschaffen, ein paar Recherchen anzustellen. Ich startete meinen Arbeitsrechner und führte die selben Checks aus. Der trug die selbe Secure-ID in sich (vermutlich trifft das auf alle Windows-Rechner zu 😉
Der Rechner hatte auch tausende Meldungen in der Ereignis-Anzeige und hielt Verbindungen zu anderen IP-Adressen aufrecht. Damit konnte das Problem ja nicht so gravierend sein, denn der Computer wird schließlich von unserer IT-Abteilung gut abgeschottet.
Dann googelte ich ein wenig und traf auf den aktuellen Artikel vom Tagesspiegel https://www.tagesspiegel.de/wirtschaft/betrug-mit-angeblichem-support-nimmt-wieder-zu-vorsicht-wenn-microsoft-anruft/27081542.html und auf diesen Blogbeitrag hier aus 2017 https://blog.thul.org/misc/imho/funstuff/angeblicher-anruf-von-microsoft
Ok, Entwarnung. Ich bin wohl fast auf einen „Scam“ reingefallen.
Wenn die sich in englisch durchs Berliner Telefonbuch telefonieren werden sie vermutlich nicht weit kommen. Oder, sie würden es nicht tun, wenn es sich nicht lohnen würde….
Also passt auch Nachbarn! Holzaugen und Hühneraugen … seid wachsam. Der Beschiss lauert überall
Schönen Sonntag
T.
T.ipping-Point 
Gegen social engineering ist wohl kein Kraut mit Sicherheit gewachsen.
Nee, leider nicht. Was mich etwas beunruhigt ist, dass ich ja selber in der IT unterwegs bin und da super-sensibilisiert bin. Trotzdem hätten sie es fast geschafft 😉
Das Ding ist schon besonders perfide gestrickt.
Danke sehr für die Warnung. Ich habe tatsächlich noch nie davon gehört, dass sog. Microsoftmitarbeiter per Telefon mit Nutzern Kontakt aufnehmen. Womöglich wäre ich über einen solchen Anruf umso überraschter gewesen. Ich bin daher froh hier davon zu lesen und bin damit gewarnt.
Gerne 😉 ich hatte auch immer geglaubt, dass passiere nur „den anderen“.
Ein derart zuvorkommender Support, der sich freiwillig die Mühe macht, dich telefonisch auf potenzielle Probleme oder Gefahren aufmerksam zu machen … da bist du noch nicht skeptisch geworden? 😉
Stimmt, dass an sich ist ja schon ein Widerspruch … 😉
Aber ich glaube nun mal an das Gute im Menschen
Uns müsste die Dame erst mal erklären, wie sie an unsere Daten kommt.. wir haben Linux Rechner 🙂 Aber ich will nicht behaupten, dass ich sofort geschaltet hätte. Allerdings lese ich von solchen Anrufen jetzt öfter.
Ja, die Fragen habe ich mir auch gestellt und wir werden im Job da auch drauf trainiert aufzupassen, und dann ist das immer alles ganz logisch und passiert nur den anderen…
Bis es dann mal klingelt.
Ist aber alles gut gegangen
Warte mal …. es klingelt 😉
Ich hatte 2021 zwei oder drei solcher „Microsoft“-Anrufe und würge sie sofort ab, denn als reiner Nutzer (habe vor 40 Jahren Elektronik studiert, aber im Detail von der heutigen Technik keine Ahnung) bist du hilflos ausgeliefert, wenn du dich auch nur ein bisschen darauf einlässt. Ich muss mich auf die normalen MS-Sicherheitsroutinen verlassen, auch wenn mir bei solchen Sonder-Hilfe-Anrufen mulmig ist, denn der Rechner könnte ja doch im Sterben liegen oder schon von Gangstern besetzt sein.
Am Ende hilft nur: die wirklich ganz lebenswichtigen Sachen off-line und auf Papier extra lagern.
Etwas mulmig war mir da auch, aber letztlich haben die sich über 3-4 Indikatoren dann doch enttarnt und ich habe den Braten dann noch gerochen, bevor er mir in die Röhre kam 😉
Auweia, was machst du denn da? Die hatte ich letztes Jahr mehrmals. Der „support“ ist auch so höflig, dass er dich auch auf Dauerschleife für Tage wieder anruft … Mein Lieblingsargument war „are you stupid?“.
Glück gehabt!
Danke Belana Hemine, einmal hat es so ein Nummer noch am selben Tag probiert, seit dem nicht wieder. Ja die Dame war schon echt hartnäckig. Vielleicht sollte ich sie mal zurückrufen? Ich bin ja jetzt im Vorteil 😉
😉 ich bin mal auf so ein Firefox Pop Up reingefallen, wo man bei Amazon nen 500 Euro Gutschein gewinnen kann u hab das auch nicht gecheckt. Am Ende wollte der gute Mann Zeitungsabos verkaufen. Hab so lange gefragt, ob es denn jetzt gratis wäre, bis er aufgelegt hat. Mach dir nen Spaß draus!
mach ich, war eine tolle Erfahrung 😉