https://www.faz.net/-gy9-8d0qn

Betrugsmethode per Telefon : Wenn Microsoft anruft: Sofort auflegen!

Dürfte fast jeder auf seinem Rechner finden: Fehlermeldungen in der Ereignisanzeige Bild: Spehr

Eine Abzockmethode ist zurück: Betrüger geben sich als Microsoft-Mitarbeiter aus und locken ihre Opfer per Anruf in eine Falle. Das kann teuer werden. FAZ.NET hat einen Fall dokumentiert.

          Martin Schmitt schläft noch, als der Anruf von Microsoft kommt. Jedenfalls stellt sich die englischsprechende Frau als Mitarbeiterin des amerikanischen Unternehmens vor. Sie weist Schmitt, dessen Name hier geändert wurde, eindringlich darauf hin, dass sein Rechner verseucht sei. „Microsoft“ habe nicht nur einen Identitätsklau festgestellt, der Computer sei auch Teil eines Botnetzes, von dem sogenannte DDos-Attacken ausgingen. Er solle seinen Rechner starten, die Windows- und R-Taste drücken und „eventvwr“ eingeben, dann könne er das Problem sehen. In der „Ereignisanzeige“ erscheint eine Liste mit Hunderten Warnmeldungen mit einem roten Ausrufezeichen davor. Schmitt ist geschockt.

          Auch sei ein Windows-Zertifikat abgelaufen, was ihm die Frau aus Kalifornien mit asiatischem Akzent vermeintlich beweisen konnte. Ein Mann aus dem technischen Support übernimmt das Gespräch und installiert erst einmal eine Fernwartungssoftware namens „Ammyy Admin“. Schmitt müsse ein neues Windows-Zertifikat kaufen, das koste 120 Euro, die er per Kreditkarte überweisen könne. Da Martin Schmitt keine Kreditkarte hat, führt ihn der Anrufer zur Website von Western Union, einem amerikanischen Dienst für Bargeldüberweisungen. Dort überweist er an einen ihn unbekannten Empfänger die geforderten 120 Euro. Später stellt sich heraus, dass sogar 305 Euro von seinem Konto abgebucht werden sollten. Die Transaktionsnummer und ein amtlicher Lichtbildausweis genügen, um die Summe in bar abzuheben. Das ist ein übliches Verfahren, um sich Überweisungen, die über Western Union laufen, weltweit auszahlen zu lassen.

          Nach etwa einer Stunde beendet Martin Schmitt das Gespräch.

          Wohin das Geld fließen sollte, weiß nur die Western Union - und der Kriminelle

          Einige Fakten dieses Betrugsfalles sind erklärbar. So ist Martin Schmitts Rechner nicht der einzige, der etliche Fehlermeldungen mit einem rot hinterlegten Ausrufezeichen anzeigt, wenn in der Ereignisanzeige unter „Windows-Protokolle“ der Reiter „System“ geöffnet wird. Wir haben das auf verschiedenen Computern ausprobiert, zudem findet man im Netz etliche Screenshots. In Schmitts Fall ist vermutlich ein Update von Windows 10 im November verantwortlich, das zu dieser Vielzahl von Fehlern geführt hat. Allerdings funktionierte diese Methode auch schon vor Windows 8, denn die ersten Betrugsversuche sind aus dem Jahr 2011 dokumentiert. Die Masche wird häufig als „support scam“ bezeichnet, etwas allgemeiner spricht man von „social hacking“.

          Weniger erklärbar ist hingegen der Vorgang beim Überweisen des Geldes. Empfänger war „WUIB“, also Western Union, im Verwendungszweck stand „Sofort“. Wie das Unternehmen gegenüber FAZ.NET bestätigte, wurde die Transaktion tatsächlich mit dem Online-Verfahren des Drittanbieters „Sofort GmbH“ ausgeführt, der etwa auch Überweisungen bei Ticketbuchungen der Lufthansa durchführt. Dazu hätte Schmitt zunächst das Land und die BIC, dann das Login und die Pin seines Online-Banking-Portals und schließlich die Tan eingeben müssen. Doch Schmitt sagt, er habe definitiv nicht seine Zugangsdaten des Online-Bankings eingegeben, obwohl eine mobile Tan auf sein Smartphone gesendet wurde.

          Das Online-Zahlungssystem ist weit verbreitet. Unternehmen bieten es neben Zahlungsmöglichkeiten wie Kreditkarte, Einzugsermächtigung oder Paypal an. Da nach der Transaktion mit einer Sofortüberweisung der Anbieter eine Zahlungsbestätigung erhält, können die Bestellungen, Tickets oder Downloads unverzüglich versendet werden. Das Verfahren steht immer mal wieder in der Kritik, weil der Nutzer die Zugangsdaten seines Online-Bankings an einen Drittanbieter übermittelt. Während der Transaktion tritt der Nutzer nämlich nur indirekt mit seiner Bank in Kontakt. Sowohl die Legitimation als auch die Bestätigung der Zahlung laufen über die Sofort GmbH.

          Western Union, die dieses Verfahren der Sofort-Überweisung nutzt, taucht häufiger in Zusammenhang mit diesen und ähnlichen Betrugsmethoden auf. Es bietet sich für Kriminelle geradezu an, Transaktionen bei Western Union zu nutzen, weil das Geld zum einen bar abgehoben werden kann. Und zum anderen nehmen es offensichtlich die Angestellten in bestimmten Ländern nicht so ernst mit der Kontrolle des „Lichtbildausweises“. Die Transaktionsnummer genügt, um das Geld zu bekommen. Der Täter bleibt somit anonym, wenn er die Überweisung unter falschem Namen empfängt.

          Banking-Trojaner installiert?

          Wie konnten die Kriminellen an diese Informationen kommen? Sollten sie es mit einer Schadsoftware geschafft haben, gibt es im Wesentlichen zwei Methoden: Bei Eingabe der Zugangsdaten werden diese etwa von einem Keylogger mitgelesen. Dieser registriert alle Eingaben über die Tastatur, sodass er zu gegebener Zeit auch Passwörter und ähnliches aufnehmen kann. Diese Methode ist sehr unwahrscheinlich, da Martin Schmitt die Zugangsdaten während des Telefonats nicht eingegeben hat und der Trojaner erst nach dem Beginn des Gesprächs auf den Computer geschmuggelt werden konnte.

          Die zweite Methode: Die Daten sind auf dem Rechner gespeichert und werden dort abgegriffen. Laut Aussage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) könnte diese etwa in „Passwortspeichern der Browser, in E-Mail-Clients oder in Online-Banking-Programmen“ gespeichert sein. Wie ein Experte der System Security Group des Cispa in Saarbrücken bestätigte, seien diese einsehbar, indem sich etwa „Banking-Trojaner in den Browser einklinken und können so sämtliche Webinterhalte, egal ob gesendet oder empfangen, mitlesen“. Dies sei selbst bei verschlüsselter HTTPS-Kommunikation möglich. Zudem biete jeder Trojaner Möglichkeiten, „beliebig weitere Dateien auf dem System (wie zum Beispiel Passwortlisten) auszulesen. Es wurden außerdem bereits spezialisierte Banking-Trojaner beobachtet, die selbst gesicherte Passwort-Datenbanken auslesen können.“

          Windows zur Sicherheit neu installieren

          Martin Schmitt hat dennoch Glück. Nachdem er nach dem verhängnisvollen Telefonat unverzüglich bei seiner Bank anruft, kann diese die Überweisung gerade noch zurücknehmen. Danach meldet er den Vorfall der Polizei, um Strafanzeige gegen unbekannt zu stellen. Der Beamte kennt die Masche der Betrüger, erste Fälle gab es wohl schon vor ein paar Jahren. Momentan gibt es eine neue Angriffswelle. Die Verbraucherzentrale Rheinland-Pfalz warnte erst vorherige Woche per Mail vor der Betrugsmasche. Ganz so glimpflich kam Schmitt nun doch nicht davon. Als er seinen Computer wieder anschaltete, verlangt dieser noch vor Windows-Start ein Passwort, das natürlich nicht er, sondern nur die Kriminellen kennen und wofür sie vermutlich noch einmal Geld haben wollen. Anlass genug für Schmitt, seinen Rechner „neu aufzusetzen“, also die Festplatte neu zu formatieren und Windows 10 noch einmal zu installieren.

          Ist das ausreichend? Wir haben auch hier mit den Fachleuten vom Cispa, dem BSI und zudem mit einem Virenanalysten von Kaspersky gesprochen. Zwei Szenarien sind theoretisch vorstellbar: Erstens könnte sich ein Trojaner „unterhalb“ des Betriebssystems einnisten wie etwa auf der physischen Festplatte, dem Mainboard, der Firmware des CD-Laufwerks oder im Bios. Solche eine Schadsoftware ist eher selten, würde allerdings eine Neuinstallation des Betriebssystems überleben. Zweitens könnte sich ein Virus auf der Datenfestplatte einnisten und Programme infizieren, die dort etwa in einem Download-Ordner liegen und bei abermaligem Start nach der Bereinigung wieder aktiv werden könnten. Das ist wahrscheinlicher, kann aber einfach überprüft werden, indem man die Datenfestplatte mit mindestens einem Anti-Viren-Programm untersucht. Zudem kann man eine abermalige Infizierung verhindern, indem man keine Dateien aus diesen Ordnern abermals ausführt.

          All das bleibt einem erspart, wenn man sofort auflegt, sollte jemand von „Microsoft“ aus Kalifornien anrufen. Das echte Unternehmen aus Redmond warnt übrigens selbst seit längerem vor dieser Betrugsmasche.

          Weitere Themen

          Das Darknet - Ort der Kriminalität? Video-Seite öffnen

          Erklärvideo : Das Darknet - Ort der Kriminalität?

          Die internationalen Polizeibehörden haben ein Pädophilen-Netzwerk zerschlagen, das im Darknet operierte. Diesen dunklen Bereich des Internets nutzen Menschen, die verborgen unterwegs sein wollen. Dazu gehören neben Schwerkriminellen auch Whistleblower und Regimekritiker, die Zensur umgehen wollen.

          Warum die Vereinigten Staaten keinen ICE haben Video-Seite öffnen

          Geisterbahn : Warum die Vereinigten Staaten keinen ICE haben

          2008 stimmten die Kalifornier in einem Referendum für eine Hochgeschwindigkeits-Bahnstrecke zwischen Los Angeles und San Francisco, passiert ist bis heute wenig. Weil die Baukosten explodiert sind, strich der neue Gouverneur unlängst die Mittel für das Projekt zusammen. Nun wird es womöglich nie kommen.

          Topmeldungen

          TV-Kritik: „Maybrit Illner“ : Argumente aus der Wagenburg

          Eine Zerstörung der Rechtspopulisten zeichnet sich durch den Ibiza-Skandal nicht ab. Wahrscheinlich wird es dabei bleiben – so die Erwartung der Gäste von Maybrit Illner. Aber auf einen Denkzettel bei der EU-Wahl hoffen einige schon.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.