Technical Support Scam

Technical Support Scam (auch Tech-Support-Betrug) ist eine Art des telefonischen Betrugs, bei welchem der Betrüger vorgibt, für ein Unternehmen im Computerdienstleistungsbereich zu arbeiten. Ziel der Anrufe sind meist Nutzer von Microsoft Windows (oder seltener auch MacOS), gegenüber welchen der Betrüger oft angibt, entweder für Microsoft zu arbeiten oder für ein Dienstleistungsunternehmen in dessen Auftrag.^[1]

Beispielhaftes Pop-up

Die Kontaktaufnahme geschieht entweder durch einen unverlangten und überraschenden Telefonanruf durch den Betrüger (wobei die Telefonnummer durch Call ID Spoofing verschleiert wird) oder das Opfer wird dazu gebracht, den Betrüger unter einer meist kostenfreien Telefonnummer anzurufen (bspw. durch Anzeigen eines einschüchternden Pop-ups im Webbrowser).^[2][3]

Der Kriminelle versucht in der Regel Fernzugriff auf den Computer des Opfers zu erlangen, wodurch er möglicherweise bereits Zugriff auf sensible Daten des Opfers wie Bankverbindungen, Versicherungsinformationen, Adressdaten und persönliche Dokumente erlangen kann.^[4] Danach versucht der Betrüger das Opfer mittels Tricks dazu zu bringen, einen Geldbetrag für das vermeintliche Lösen von angeblichen Problemen oder für vorgeblich nötige Sicherheitssoftware zu bezahlen.

Fernzugriff

Der Fernzugriff erfolgt in der Regel durch an sich legale Fernwartungssoftware, wie beispielsweise TeamViewer Remote, LogMeIn, AnyDesk, GoToAssist etc.

Software wie TeamViewer unterbindet jedoch inzwischen Versuche, eine Verbindung aus Indien aufbauen zu lassen und warnt potentielle Opfer mit einem großen Warnhinweis über den Tech-Support-Betrug, wodurch die Betrüger das Opfer entweder dazu auffordern, sich zuerst mit den Betrügern zu verbinden, oder eine andere, teilweise manipulierte Software benutzen.^[5] Mittlerweile ist zur Fernsteuerung anderer Geräte eine Registrierung erforderlich. Dem Gegenüber wird bei der Verbindung der Standort angezeigt.^[6]

Tricks

Wenn es schon gelungen ist die Opfer zu täuschen und Fernzugriff auf das System zu erlangen, verwenden die Betrüger oft Tricks, um den Opfern scheinbar zu belegen, dass es reparaturbedürftige Probleme gäbe.

• Der Betrüger könnte vor den Augen des Opfers das standardmäßig unter Windows installierte Programm Event Viewer öffnen, welches eine Auflistung von verschiedenen Ereignissen zeigt, die eigentlich für Systemadministratoren bestimmt sind. Viele der dort gezeigten Einträge sind in der Regel harmlos, aber vor allem die Bezeichnungen „Warnung“ und „Error“, die üblicherweise große Anzahl an Einträgen und die Überzeugungsfähigkeit der Betrüger lassen die Opfer möglicherweise glauben, dass es sich um schwerwiegende Probleme handelt.^[7]
• Der Betrüger könnte Cmd.exe-Tools wie zum Beispiel tree oder dir /s nutzen. Beide listen lediglich große Mengen an Dateien oder Ordnern auf, aber für das Opfer könnte es so wirken, als wenn damit tatsächlich der Computer nach Problemen durchsucht wird. Die Zeit des Auflistens kann der Betrüger nutzen, um eigenen Text verborgen einzugeben, der dem Opfer dann nach dem Durchlaufen einer der Befehle angezeigt wird. Dieser Text könnte beispielsweise ein Hinweis sein, dass angeblich ein Virus oder Malware gefunden wurden oder dass Lizenzen abgelaufen sind und kostenpflichtig erneuert werden müssen.^[8]
• Das Programm syskey könnte missbräuchlich vom Betrüger verwendet werden, um den Computer des Opfers durch ein Passwort zu sperren, das beim Computerstart eingegeben werden muss. Ohne das Passwort hat das Opfer keinen Zugriff mehr auf den eigenen Computer.^[9] syskey wurde von Microsoft aus neuen Versionen von Windows 10 entfernt.^[10]
• Der Befehl netstat könnte genutzt werden, um lokale und fremde IP-Adressen aufzulisten. Der Betrüger würde dem Opfer dann einreden, dass diese zu Hackern gehören, die sich angeblich Zugriff auf den Computer des Opfers verschafft haben.^[11]
• Pop-ups im Webbrowser können den Arbeitsspeicher des Opfer-PCs füllen, indem eine endlose Zahlenreihe generiert wird, was dafür sorgt, dass der Webbrowser des Opfers nicht mehr reagiert.^[12] Dies soll suggerieren, dass der PC durch Microsoft gesperrt wurde. Des Weiteren ist es möglich, dass währenddessen eine Audio-Aufnahme abgespielt wird, die dem Opfer weitere Informationen und Instruktionen vermittelt.^[13]