Fraud Call

Haben Sie schon mal einen Anruf aus "London" von "Windows Online Support" bekommen, die ihnen bei ihrem PC-Problem helfen wollten? So ist es mir heute (02. Aug 2017 13:00-14:00) passiert, als ich im Home-Office meiner Eltern war. Ein "Windows Online Support", der am Ende sogar behauptet von Microsoft zu sein, wollte meinen PC "heilen". Das ist eine Art "TelefonSpam", der leider noch nicht durch NoSpamProxy gefiltert werden kann. Hier ein Protokoll samt Gesprächsaufzeichnung.

Es gibt noch viel mehr Personen, die so einen Call aufgezeichnet haben. Einige gehen sogar weiter und drehen den Spieß um.
https://www.youtube.com/c/JimBrowning/videos
https://www.youtube.com/channel/UC0uJKUXiU5T41Fzawy5H6mw
und andere

Anruf 1: 0044208144039

Ein ungebetener eingehender Anruf von dieser Nummer mit indisch-englisch sprechendem Teilnehmer teilte mir mit, dass mein Computer sich bei ihrem System gemeldet hat und ein ernstes Problem vorliegt, welches umgehend gelöst werden sollte.

Ich habe versucht durch Nachfragen ein Firmenname zu erfahren oder Namen oder anderweitig den Anrufer zur Verzweiflung zu bringen. Dazu habe ich zumindest in den ersten 30 Minuten absichtlich "ungern englisch" gesprochen, was gar nicht einfach war. Es war schon interessant, wie geduldig aber auch hartnäckig der Anrufer damit umgegangen ist. Teilweise mit Rückfragen bei anderen Mitarbeitern, die vielleicht "besser deutsch" könnten.

Letztlich haben Sie versucht mich auf zwei Webseiten zu leiten, über die Sie meinen PC (genauer meine VM) dann fernsteuern wollten. Die URLs der Webseiten gebe ich hier absichtlich nicht als "Text" an, damit Sie nicht mit der MSXFAQ verlinkt sind.

Genau genommen könnte es sogar sein, dass diese Seiten ebenfalls nur "Opfer" sind, denn sie werden nur genutzt, um nach der Eingabe eines Code direkt auf die Seite der Fernwartungshersteller zu springen. Allerdings könnten die Anbieter z.B. über den "Referrer" solche Links erschweren.

In der Fußzeile sehen Sie, dass Sie gerne LogMeInRescue nutzen würden. der zweite Link geht zu Teamviewer.

Nachdem ich bei beiden Links behauptet habe dass ich nicht auf die Seite komme und diese durch das Unternehmen gesperrt wäre, habe ich wohl den Ehrgeiz angestachelt, denn dann kam eine weitere Seite ins Gespräch.

Aber auch dahinter ist gut zu sehen, dass wieder LogMeIn-Support eingebunden ist. Nachdem auch das nicht funktioniert hat, wurde eine dritte Lösung an den Start gebracht.

So langsam kann ich verstehen, warum Firmen diese "Fernwartungsprogramme" blocken und diese durchaus in Verruf geraten sind. Vielleicht wäre mal an der Zeit, dass diese Lösungen eine Verifikation des "Fernsteuernden" einbauen, z.B. wie die grüne Address-Leiste bei Browsern. Wenn der "Steuernde Teilnehmer" seine Identität bewiesen hätte, könnte man vielleicht auf dem Gastgeber so eine Verbindung per Default erzwingen.

Aber auch dann wird das sicher nicht zu lösen sind. Ich habe wenige Minuten nach dem Anruf auf meinem PC das Programm Audacity gestartet und über das Notebook-Mikrofon das "Laut gestellte" DECT-Handset mit aufgezeichnet. Alle gemachten Angaben waren falsch und die Nummern der angeblichem AMEX-Kreditkarte waren frei erfunden.

Hier der überwiegende Teil des ersten Telefonats.

Ich habe am Ende den Anruf einfach durch Auflegen beendet.

2. Anruf 0000000

Sollte es mich überraschen, das die Anrufer einen Fisch an der Angel nicht so einfach aufgeben? Es dauert nicht einmal eine Minute und das Telefon klingelte. Diesmal mit komplett falscher Rufnummer, die nur als "00000000" bestand. Anscheinend gibt es keinerlei "Firewalls" in den Telefonnetzen der Welt. Da es sich um einen "Kabel Deutschland" Telefonanschluss gehandelt hat, überrascht mich das etwas. Bislang bin ich davon ausgegangen, dass das Feature CLIP (Clip no Screening) nicht über Ländergrenzen hinweg möglich ist.

Leider konnte ich den Anruf nicht mitschneiden, da mein PC noch mit dem Export der ersten 35 Minuten beschäftigt war. Also habe ich das Telefone ebenfalls sehr schnell wieder durch Auflegen beendet. Der Anrufer wollte einfach wieder dort weitermachen, wo er aufgehört hatte. Er fragte hartnäckig die Kreditkartendaten ab.

3. Anruf 00000000

Natürlich wurde ich dann noch ein drittes Mal angerufen. Langsam wurde mir das aber zu nervig und ich habe dann genauso gelogen, dass ein Polizist mithören würde, was entweder nicht verstanden oder einfach ignoriert wurde. Selbst der Hinweis, dass das Gespräch aufgezeichnet wurde, scheint keine Alarmglocken zu läuten. Die Täter müssen sich sehr sicher sein, dass Sie entweder nicht lokalisiert und schon gar nicht verfolgt werden.

Interessant sind auch die lauten Geräusche im Hintergrund. Es muss sich ja um eine richtige Gelddruckmaschine handeln. Am Ende habe ich meine Maskerade auch etwas aufgegeben und versucht englisch zu sprechen aber dennoch war die Unterhaltung nicht wirklich hilfreich. Der Teilnehmer erklärt dann etwas länger, dass Sie ein Rufnummer-Routing haben und dass Sie eine Microsoft subsidiary sind und vieles mehr.

Call von 00116512732616

Damit war der Spuk aber noch nicht vorbei. Anscheinend werden die Adressen und Nummern weitergereicht. Gegen 17:16 am 2. Aug erreichte mich ein Anruf mit der Nummer 00116512732616. Anscheinend ein Anrufer aus den USA.

Auch hier wieder ein "indisches Englisch" mit der Bitte über "Windows-R" eine Webadresse anzusurfen. Auch hier die klare Aussage, dass es Microsoft wäre und man eine Wartung auf meinem PC vornehmen müsste. Die Adresse zeigt die Links auf ein WhoisWho verschiedener Fernwartungsprodukte:

Diesmal wollte ich mich aber nicht mehr so lange aufhalten lassen. Nach ca. 8 Minuten habe ich das Gespräch beendet und wurde auch nicht noch mal angerufen. Auch dieses Gespräch habe ich einmal wiedergegeben.

Allerdings habe ich fast den Verdacht, dass der eintönige Sprachstiel schon eher an einen BOT erinnert, also dass jemand per Übersetzungssoftware und automatische Skripte mich dazu bringen will, meinen PC "frei zu geben".

Wenn das so weiter geht, dann sollte ich mal schnell eine virtuelle Maschine bereitstellen, um diese Menschen zu beschäftigen. Ich denke dass Sie aber eh nicht viel mehr machen werden als den PC zu verschlüsseln oder ihn als Botnet-Client zu missbrauchen.

Hinweise zum Audio

Beim Mitschnitt der Audio-Aufnahme per PC-Mikrofon war es nicht zu vermeiden, dass meine Sprache deutlich lauter war als die Freisprechfunktion des DECT-Telefons. Ich habe daher das Soundsignal angehoben, wie man hier bei Vorher/Nachher sehen kann:

Das ganze wurde mit dem "Kompressor-Effekt" von Audacity und folgenden Einstellungen vorgenommen.

Leisere Stellen werden damit lauter und die Aufzeichnung besser verständlich.

Einschätzung

Anscheinend nehmen die Anrufer einfach das Telefonbuch und klappern Anschlüsse ab. Telefonieren ist billig und indisch klingende Callcenter-Agenten, die angeblich aus London anrufen, sind so billig, dass sie auch nach 45 Minuten nicht aufgeben und selbst vorgespielte Sprachbarrieren kein vorschnelles Aufgeben provozieren. In dem Fall sind Sie nun an mich gekommen, der vorgibt noch geistig rege zu sein, aber wie verhalte ich mich in 20-30 Jahren? Und wie verhalten sich andere Personen, die nicht so "gefestigt" in der Materie sind?

Rufnummern sind Schall und Rauch und ich wüsste nicht einmal, wie ich die gesammelten Daten nun an einen Strafverfolger in England übermitteln sollte. Selbst der Ruf nach einer Internet-Polizei hilft nicht, wenn die Angreifer am Ende über Telefon direkt die Kreditkarte erleichtern wollen. Letztlich kann es dann nur das Finanzwesen richtig, die Zahlungsströme verfolgen könnten. Aber auch dann wird ein Strohmann die Zahlungen ausleiten, die Strafe absitzen und die Hintermänner/Hinterfrauen lehnen sich entspannt zurück.

Würde es helfen, wenn Rufnummern "authentisch wären"? Ich denke nicht, da dann auch Weiterleitungen oder gewünschte anonyme Anrufe (Telefonseelsorge etc.) erschwert würden.

Könnten Fernwartungstools (LogMeIn, Teamviewer etc.) hier besser arbeiten? Auch das ist schwer, da Sie alle auch einen "Kostenfreien" Zugang "für privat" anbieten, den ich selbst auch für die Fernwartung bei Freunden und Familienmitgliedern nutze. Und selbst da kann man eine Firma ja nicht zu eine Identitätsprüfung verpflichten.

Das nun wiederholt die Vorwahl 0044 negativ auffällt macht es nicht einfacher. Wenn irgendwann der BREXIT vollzogen ist, wird vermutlich auch die Zusammenarbeit der Ermittlungsbehörden schwieriger werden. Aber deshalb kann man doch nicht von vorneherein englisch sprechende Inder als kriminell abstempeln. Rashid, komm lass uns was essen gehen.

Weitere Link