TECHNIK „Windows wurde aufgrund illegaler Aktivitäten blockiert. Sie sollten Sich umgehend mit uns in Verbindung setzen. Damit unsere Ingenieure dies tun können führen sie telefonisch durch den Entfernungsprozess. Bitte rufen Sie uns innerhalb der nächsten 5 Minuten an um einen kompletten Ausfall ihres Computers zu vermeiden.“

Oh mein Gott. Das klingt ja richtig dramatisch und geht noch weiter. „Ihr Computer ist deaktiviert. Die folgenden Dateien sind gestohlen: Facebook-Login und Kreditkartendaten.“ Wow. 5 Minuten. Das ist nicht lange. Da sollte ich mich wohl ein wenig sputen bevor unser PC explodieren könnte. 

„Windows Defender: Rufen Sie den technischen Support an: 0236-0884-9977 (Deutsch gebührenfrei)“. Und das haben wir natürlich getan. Wenn etwas so dringend ist, darf man so etwas nicht auf die lange Bank schieben. Wir geben Ihnen jetzt hier einmal den Dialog wieder:

Hotline: „Guten Tag. Wie kann ich Ihnen helfen?“, fragte ein junger Mann mit starken Akzent am Telefon. Ein Firmenname wurde nicht genannt.
BEN Kurier: „Hallo. Hier ist soeben eine Seite aufgegangen wo steht, dass ich mich dringend bei Ihnen melden muss da mein PC blockiert wäre.“
Hotline: „Auf welcher Seite waren Sie denn vorher bevor die Meldung kam?“
BEN Kurier: „Ich glaube das war Google oder so….“ Das stimmte natürlich nicht aber schließlich ging es den guten Hotline-Mitarbeiter nichts an auf welcher Seite ich gewesen bin.
Hotline: „Das ist kein Problem. Wir helfen Ihnen jetzt damit ihr Rechner wieder normal läuft und starten den Entfernungsprozess.“
BEN Kurier: „Das ist ja schön, dass Sie mir helfen wollen. Und was kostet mich das?“
Hotline: „Das ist ein kostenfreier Service. Haben Sie eine Tastatur?“ Die Frage ist herrlich oder? Haben wir eine Tastatur? An der Stelle würde mich interessieren, was er gesagt hätte wenn ich ihm erzählt hätte: „Habe ich nicht…“
BEN Kurier: „Ja. ich sitze doch am PC vor der Tastatur.“
Hotline: „Sehe Sie unten links die Taste mit den vier Kästchen?“ Er meinte die Windows Taste.
BEN Kurier: „Ja. Die sehe ich“
Hotline“ Drücken Sie diese Taste und gleichzeitig den Buchstaben R.“ Durch diese Kombination kommt man auf die direkt „Ausführen“ Leiste im Windows.
BEN Kurier: „Habe ich gemacht. Da steht jetzt eine Leiste mit ausführen.“
Hotline: „Tragen sie dort jetzt www.logmein123.com ein.“ Achtung! NICHT nachmachen. Die Seite auf keinen Fall besuchen! Sie landen auf der Seite secure.logmeinrescue.com Aufgebaut ist diese wie eine Online-Fernwartungsseite. Sie laden dann eine Software herunter. In der Regel erkennen ihre Antivirenprogramme die Gefahr und warnen davor. Wir kürzen das jetzt ein wenig ab.
Hotline: „Laden sie jetzt die Software herunter.“
BEN Kurier: „Bei mir steht dort jetzt, dass ich das nicht tun soll.“
Hotline: „Das können Sie ignorieren. Das ist eine sichere Fernwartungssoftware welche für den Zweck programmiert wurde um Trojaner von ihrem PC entfernen zu können. Wir helfen ihnen da jetzt weiter.“
BEN Kurier. „Das ist ja wirklich nett von ihnen.“ Sobald man die Software öffnet, suggeriert die einem, dass es sich um eine sichere Verbindung handelt. Es wird ein Code angezeigt, den man den netten Hotline Mitarbeiter geben soll.
„Hotline: „Bitte geben Sie mir den sechsstelligen Code damit wir ihren PC überprüfen können. Gleich können sie wieder normal arbeiten.“
BEN Kurier: „Ich habe mal eine Frage…..“
Hotline: „Ja bitte?“
BEN Kurier: „Ich habe ja bei Ihnen auf die deutsche Hotline angerufen. Warum wurde ich denn jetzt in die Türkei weitergeleitet?“
„Hotline: „Wie kommen Sie darauf. Sie rufen in Deutschland an. Da entstehen keine Kosten für Sie.“
BEN Kurier: „Ich meine ja nur weil ihre IP sagt, dass sie in der Türkei sind.“ Aufgelegt…..

Und dazu noch einmal. Bitte diesen Versuch nicht nachmachen! Wir haben dafür einen Windows 7 PC aufgesetzt mit einer einmaligen LTE Verbindung. Gleichzeitig haben wir einen Verbindung-Tracker eingesetzt, der aktiv wurde sobald auf unseren PC zugegriffen wurde. Dadurch konnten wir feststellen, dass wir nicht mit einer Hotline in Haltern am See sprachen sondern mit einem Callcenter in der Nähe von Buca (Izmir/Türkei).

Sobald Sie die Software heruntergeladen haben ist es eigentlich bereits vorbei. Am Telefon wird ihnen von geschulten Internetbetrügern suggeriert, dass ein Trojaner von ihrem PC entfernt wurde aber genau das Gegenteil ist passiert. Nach dem Gespräch würden sie sich in Sicherheit wiegen. Proforma müssen sie dem Mitarbeiter einen sechsstelligen Code mitteilen. Das kennen viele von seriösen Fernwartungstools wie TeamViewer usw. Sobald sie dort die Verbindung beenden, hat das Gegenüber keinen Zugriff mehr auf ihren PC. So ist es aber bei der eingesetzten Software nicht. Mit dieser können die dauerhaft auf ihren PC zugreifen und diesen in Ruhe nach Kreditkartenzugängen, Passwörtern usw. untersuchen.

Nicht selten werden die Daten später im Darknet verkauft oder Kreditkartendaten im Internet direkt genutzt. Sollte bei Ihnen am PPC einmal eine solche oder ähnliche Webseite aufploppen, so müssen sie keine Sorge haben. Das einfachste Mittel lautet: „Einfach die Seite wieder schließen und nicht darauf eingehen!“

Die Anfänge solcher Trojaner ist nicht neu. Programme wie NetBus oder SubSeven gab es bereits in den 90er Jahren. Diese hatten seinerzeit eher den Sinn einer „Spaßsoftware.“ Sie konnten damit Rechner in Netzwerken komplett steuern. Humoristische Funktionen, wie die Übernahme der Mausfunktion, das Öffnen von optischen Laufwerken usw. waren integriert. Zusätzlich konnten sie alles mitlesen was andere schrieben, Webseiten öffnen oder auch Warnhinweise aufploppen lassen. Die Steuerung erfolgte über kleine Programme. Ein Master und ein Slave. War es einmal installiert, konnte über die IP die Steuerung übernommen werden.

Heutige Programme verfahren sehr ähnlich. Der große Unterschied liegt darin begründet, dass die Steuerung über das Internet erfolgt. Das war früher nicht der übliche Weg. Zwar waren Netzwerke infiltriert aber dieses eher zu satirischen Zwecken. Der Missbrauch war damals bereits möglich. Und nun?

Sollten Sie tatsächlich einmal den Glauben gaben, dass ihr PC mit Trojanern etc. verseucht ist und ihre Antivirenprogramme versagen vermeintlich, so raten wir im Bedarfsfall den lokalen PC Spezialisten einzuschalten. Diese können bei Ihnen vor Ort stationär den PC überprüfen oder auch aus der Ferne mit Tools wie TeamViewer oder auch AnyDesk. Bei beiden Programmen entscheidet ausschließlich der Anwender, wie lange der Servicetechniker auf den PC zugreifen kann.

Wir haben die Daten zu der vermeintlichen Hotline selbstverständlich an die Polizei in Haltern weitergeleitet.  Ob diese über die lokale Telefonnummer eine Person ausfindig machen kann muss abgewartet werden.