RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Search in posts
Search in pages

Microsoft Support Betrugsmasche

Die Masche mit dem Microsoft Support läuft nun gefühlt eine Ewigkeit. Immer wieder warnen wir vor diesem Betrug. Seit mehreren Monaten scheint die Masche wieder verstärkt und leicht abgewandelt weiterzulaufen.

Da diese Masche nahezu täglich seit mehreren Jahren im Umlauf ist, haben wir dazu bereits vor Jahren einen dauerhaften Beitrag geschaffen. Die Täter entwickeln Ihre Vorgehensweise weiter und nutzen verschiedene Möglichkeiten, um mit den potentiellen Opfern in Kontakt zu treten. Zu Beginn waren es noch schlichte Anrufe. Die Täter, in der Regel im Callcenter in Indien sitzend, kontaktieren massenhaft Haushalte per Telefon. Dabei sprechen sie lange Zeit nur Englisch (mit indischem Akzent). Trotz der Sprachbarrieren bei vielen Angerufenen, schaffen es die Täter, sich Zugang zu den Computern zu verschaffen. Es wird ein Problem mit dem Windows-Rechner der angerufenen Person behauptet. Angeblich hätte man Schadsoftware festgestellt, die nun dringend beseitigt werden müsste. Auch das Onlinebanking sei in Gefahr. Für die „Hilfe“ des angeblichen Supportes werden die Opfer aufgefordert, eine besondere Software zu installieren. Hier wird jedoch keine Schadsoftware installiert. Die Täter greifen auf seriöse Programme (sogenannte Remote-Software wie Teamviewer, Anydesk oder Windows Remotehilfe) zurück, bei denen keine Antivirensoftware anschlägt. In späteren Varianten entwickelten die Täter sogar eine Fehlermeldung, die dem Bluescreen ähnelte.
Haben die Täter einmal Zugriff auf den Rechner, können Sie u.a. vorhandene Antivirensoftware deaktivieren, Schadsoftware installieren oder das Onlinebanking manipulieren. Letzteres kann u.a. auch beim später geforderten Bezahlprozess für die Dienstleistung passieren.

Zwischenzeitlich haben die Täter sogar einen deutschen Support. Einen kleinen Mitschnitt haben wir hier:

Nun (2024) haben die Täter die die Masche etwas verändert:

Hier berichten die Geschädigten von verschiedenen Aktionen. Mittels eines Popup-Screens, der entweder im laufenden Betrieb (z.B. beim Arbeiten, Surfen im Netz z.B. mit dem Browser Google Chrome) erscheint oder direkt nach dem Starten des Rechners kommt, werden die potentiellen Opfer über eine Gefahr auf dem System hingewiesen. Vereinzelt soll es sogar zu lauten Alarmgeräuschen oder Computer-Sprachansagen aus den Lautsprechern gekommen sein. Auch der Einsatz von KI (z.B. für Sprachausgaben) ist denkbar.

Das nachfolgende Foto zeigt die Sperrung des Chrome-Browsers. Der Nutzer, so die Aussage, konnte nichts mehr beenden und ausführen.

Die Meldung behauptet einen angeblichen „Microsoft Windows Firewall Alert !“ Es wurde eine „Bedrohung erkannt : Trojanische Spyware (Error Code: 2V7HGTVB)„.

Gefälschte Popups sollen echten Supportbedarf von Microsoft vorgaukeln.
Gefälschte Popups sollen echten Supportbedarf von Microsoft vorgaukeln. (Bild anonymisiert durch LKA Niedersachsen)

Weitere Fenster sagen:

„Sie sollten uns sofort kontaktieren, damit unsere Techniker Sie telefonisch durch den Entfernungsprozess führen können. Ihr Computer ist deaktiviert. Support anrufen: 038305….“

Gefälschte Sperrbildschirme (Rufnummer durch LKA NIedersachsen anonymisiert)
Gefälschte Sperrbildschirme (Rufnummer durch LKA NIedersachsen anonymisiert)

Auf dem Monitor wird die Möglichkeit zur telefonischen Kontaktaufnahme zu „Windows Sicherheit“ angeboten. Wer die Rufnummer (deutsche Rufnummer, variiert regelmäßig) wählt, landet im betrügerischen Callcenter. Hier verschaffen sich die Täter wie bisher mittels Fernwartung Zugriff, den die Opfer gestatten. U.a. wird dabei auch eine Gefahr für das Onlinebanking behauptet, die dann der Support regeln will. Dabei erfolgen dann u.a. missbräuchliche Überweisungen.

Was kann zeitgleich oder im Vorfeld noch passieren oder ist bereits passiert?
Wie die Täter die Betrugsmasche aufbauen, ist unterschiedlich. So kann es im Vorfeld auch zu weiteren gefälschten Anrufen kommen, die dann zum „Mircosoft Support“ führen. Es können gefälschte Anrufe im Namen von Amazon sein, die eine angeblich missbräuchliche Bestellung behaupten. Auch Anrufe falscher Polizeibeamter sind hier denkbar. Es wird dann beispielsweise ein gehackter Computer als Begründung vorgeschoben.

Ich muss Geld bezahlen oder Prepaid-Karten (z.B. für Xbox) kaufen

Die Täter sind geschickt beim Umgang mit den dargestellten Warnmeldungen und Zugriffen mittels Fernwartungstool. Dabei kann ein Opfer schnell den Überblick verlieren. In der Regel erfolgt eine Aufforderung zur Bezahlung. So kann das Onlinebanking manipuliert werden oder beim Bezahlvorgang für die „Dienstleistung“ der Betrag verändert werden.
Ebenso kommt es immer wieder dazu, dass die Täter zum Kauf von Guthabenkarten (z.B. für Xbox) auffordern und später die Eingabe/Ansage der dort aufgedruckten Codes als alternative Zahlung verlangen. Vereinzelt haben wir bereits die Meldung bekommen, dass die Täter sogar behaupten, die Codes seien ungültig und man müsse neue Karten erwerben und diese neuen Codes übermitteln.

Auf keinen Fall sollten Sie das Onlinebanking starten/ausführen und eine Zahlung tätigen. Kaufen Sie auch keine Guthabencode und übermitteln Sie diese nicht!

 

Wie werde ich das wieder los?

Da uns hier diverse verschiedene Versionen gemeldet wurden, können wir keine konkreten Vorgehensweisen für ein Beseitigen der gefälschten Meldung nennen.

Im Falle eine Popup-Fenster im Browser könnte hier bereits helfen, den Browser auf die gewohnte Weise zu schließen. Sollte dies nicht möglich sein, so nutzen Sie den Windows Task-Manager über die Tastenkombination „Strg-Alt-Ent“ (alle drei Tasten zeitgleich drücken). Dort sehen Sie dann eine Übersicht über die laufenden Prozesse. Suchen Sie den Prozess zum betroffenen Browser und und beenden Sie dort den Browser (Rechtsklick auf die jeweilige App und „Task beenden“ wählen). Im Anschluss sollte der Browser dadurch geschlossen werden und Sie können Ihn erneut starten. Installieren Sie für die genutzten Browser zusätzliche Popup-Blocker, um ggf. zukünftige Popups zu verhindern. Diese werden als sogenannte Plug-Ins in den jeweiligen Browsern von verschiedenen Herstellern angeboten. (Hinweis: Einige Webseitenbetreiber sind jedoch nicht über diese Blocker erfreut, da dadurch Werbeeinnahmen durch aufpoppende Fenster fehlen. Es kann somit zu einer Einschränkung auf solchen Seiten kommen.)

Falls der Windows-Rechner bereits beim Start einen Sperrbildschirm zeigt, könnte dies ggf. durch Nuztung des abgesicherten Modus behoben werden. Vermutlich wurde etwas in eine Startdatei eingefügt, die noch vor vielen anderen automatisierten Starts innerhalb des Windows-Starts durchgeführt wird. Dieses sollte man versuchen, zu identifizieren und deaktivieren. Hinweise zum abgesicherten Modus finden Sie hier: https://support.microsoft.com/de-de/windows/windows-starteinstellungen-1af6ec8c-4d4a-4b23-adb7-e76eef0b847f

Je nach Betriebsystemvariante könnte es sein, dass der abgesicherte Modus anders aufgerufen und angezeigt wird. Ggf. müssen Sie hier eine Internetsuche für Ihren Fall bemühen.

Weiterhin können Sie zwecks Dokumentation für eine spätere Anzeigenerstattung versuchen, einen Screenshot zu erstellen. Falls dieses nicht möglich sein sollte, da der Computer ggf. gesperrt ist, nutzen Sie einfach Ihr Smartphone für ein Foto. Notieren Sie ggf. auch, welche Webseiten Sie zuvor aufgerufen haben, die dann zu dem Popup/Sperrbildschirm geführt haben.

Ein zusätzliches Bereinigen des Browsercaches könnte ggf. weitere Störungen oder das Wiederkehren der Störung ebenfalls beseitigen.

 

Ich bin auf die Masche hereingefallen. Was soll ich noch tun?

Sollten Sie bereits durch die betrügerischer Weise zu Schaden gekommen sein, so erstatten Sie Anzeige bei Ihrer örtlichen Polizei. Kontaktieren Sie auch Ihre örtliche Bank, falls es zu einer Zahlung/einem Zugriff auf das Onlinebanking gegeben hat. Bringen Sie, soweit vorhanden, Fotos/Screenshots mit. Lassen Sie eine aktuelle Antivirensoftware vollständig laufen. Dokumentieren Sie ggf. einen Fund von Schadsoftware. Ändern Sie vorsorglich gespeicherte Zugangsdaten (z.B. im Browser hinterlegt). Leider kann nicht gesagt werden, welche Daten ggf. von den Tätern kopiert wurden und später missbräuchlich verwendet werden.
Zudem stellt die Polizei Niedersachsen (Polizei Göttingen) ein Auswertetool bereit, welches u.a. diverse Remotetools auswertet. So können ggf. für das Ermittlungsverfahren wichtige Daten gewonnen werden. Sie finden die zugehörige Webseite hier: https://www.zik-nds.de/microsoftsupporttool/

Scroll to top