Ringet op af Microsoft?

Skrevet af Thomas Huulbæk Andersen
http://www.spywarefri.dk/images/nyheder/red-telephone-small.png
  
Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.


Svindelnummeret starter med, at du modtager et opkald fra en person, der repræsenterer sig om Microsoft Windows Certified Engineer. På det utrænede øre kan det lyde som om, at der er tale som en officiel repræsentant fra virksomheden Microsoft og det er nok ikke helt utilsigtet.

For mig begyndte historien, da vi på mit arbejde modtog et support-opkald fra en kunde, der desværre var hoppet i fælden. Hun havde modtaget et opkald fra et dansk nummer - 36967975 - fra en dansktalende person, der præsenterede sig som værende fra Microsoft. De havde opdaget, at der var nogle problemer med hendes computer og som bevis på, at de vitterlig var legitime, kunne de oplyse hendes serienummer til Microsoft Office. Hun gav teknikeren adgang til hendes computer og han installerede noget forskelligt software, der entydigt viste, at den var helt gal med computeren.

Senere blev hun heldigvis mistænkelig, kontaktede os og vi fik undersøgt computeren. Vi fandt ikke decideret malware på computeren.

Det var derefter oplagt at gå i gang med at undersøge, hvad der mere præcist var sket. Det eneste spor vi har, er det danske telefonnummer. Det er ikke offentligt registreret, så det er nok kun en egentlig politianmeldelse, der kan hjælpe os med at finde frem til, hvem der ejer det. Hvis man googler nummeret, kan man se, at andre har fået opkald, de ikke har bedt om. Der er ikke den store tvivl om, at det er et VOIP-nummer, der via internettet stiller videre til et call center - muligvis i Indien.

Det næste logiske skridt er at ringe til nummeret og finde ud af, hvad der foregår.

Det første opkald



Asgers Linux med virtuel Windows XP
Det var Asger Bjerg (Rookie Forumsupporter i vores forum) klar på. Han fik lynhurtigt sat en virtuel maskine op, så der ikke var risiko for, at de falske Microsoft-agenter kom længere end tilladt. Han sørgede også for, at maskinen kom til at se ud som om, at den faktisk blev brugt.

Maskinen blev sat til at logge alt trafik og optage en video af hændelsen.

Derefter ringede han til nummeret og fik fat i en mand fra Windows Service Center, der talte engelsk med indisk accent. Asger forklarede manden, at han tidligere i dag havde talt med banken om problemer med at logge på, havde set dette nummer på nummerviseren og selvfølgelig troede, at det var nogen fra banken, der havde ringet tilbage.

Men han sagde, at det så var banken, der skulle hjælpe mig. Om der var andet han kunne hjælpe med? Jeg sagde så, at min PC kørte langsomt for tiden, men han blev ved at spørge, hvor jeg havde fået nummeret fra...

I denne omgang kunne manden altså ikke rigtigt hjælper Asger, så det kunne tyde på, at de er opmærksomme på denne slags opkald - eller at de har en liste over numre de tidligere har ringet til. Asger ringede, klogt nok, med hemmeligt nummer.

Det andet forsøg


Allerede i andet forsøg lykkedes det dog og Asger var i telefonen i mere end en halv time. Denne gang blev der ringet med taletidskort og ikke hemmeligt nummer.

Jeg ringede dem op, talende på dansk selvfølgelig og undskyldte mig så og ville straks lægge røret på, men han blev ivrig og spurgte, hvorfor jeg havde ringet. Jeg forklarede så, at jeg kunne se nummeret på min telefon som ubesvaret og jo lige ville høre - men det var sikkert bare forkert nummer.

Han forklarede så tålmodigt, at han var en Microsoft Windows Certified Engineer, der havde ringet til mig mange gange, da de havde set, at min computer ville blive ødelagt inden en uge - så det var godt jeg ringede.

Det er sandsynligt, at personerne i call centret er ansat på provision og deres "hjælpsomhed" afhænger derfor sikkert af, om de har haft held til at fange nogen i dag. Asger spurgte, hvordan han kunne løse dette problem og fortalte, at hans computer godt nok var blevet lidt langsom på det sidste.

Han bad mig så gå hen til min PC, hvilket jeg indvilgede i, og han sagde, at jeg skulle trykke på Windows-tasten + R og sige, hvad jeg kunne se. Jeg spillede enormt tumpet og det tog mig derfor lidt tid at forstå hans instrukser.

Jeg skulle så åbne Kør, skrive eventvwr, hvorefter logbogen kom frem. Jeg fumlede så godt jeg kunne og han fik mig til at finde program-loggen. Han forklarede, at hver gang der var et gult advarselstegn eller et rødt kryds, så skulle jeg gange det med 100 for at få det antal virus, man havde på sin PC. Det blev jeg noget bekymret over...


Logbogen i Windows XP
Loggen over forskellige hændelser i Windows vil næsten altid vise forskellige fejl - det er meget sjældent jeg ser en computer, der ikke har registreret fejl af den ene eller anden slags. For det meste er det ikke kritiske fejl - og i hvert fald har det meget lidt med virus at gøre.

Manden i røret kunne naturligvis være behjælpelig med problemerne. Asger skulle blot åbne Kør igen og skrive www.fastsupport.com, logge ind med sit navn ("Peter") og en kode, som medarbejderen oplyste.

Det skal med det samme nævnes, at websitet tilhører Citrix, som er en ganske velrenommeret og legitim virksomhed. Dette website og tilhørende software benyttes til at yde fjernsupport og det foregår igennem deres egne servere. Det vil sige, at internetforbindelsen til Peters PC fx. oprettes således: Indisk svindler -> hemmelig proxy -> Citrix server -> Peter. Det er i hvert fald det mest sandsynlige og derfor ville det være meget svært at finde frem til bagmændene. Det bekræfter logfilerne fra Asger også - alle forbindelser kommer fra Citrixs servere i USA og der kan ikke ses direkte forbindelse til Indien eller lignende.

    

Så skulle jeg acceptere alle programmer, der ville bede om det - det var meget vigtigt - så ville han logge på og vise mig, hvordan vi kunne løse problemet. Det var også vigtigt, at jeg ikke rørte musen, da det ville ødelægge computeren.

Så kom GoToAssist frem på min skærm og han viste mig nu igen de gule trekanter og røde krydser. Derudover viste han mig alle de virus, der var på min PC, ved igen at vælge Kør og skrive inf virus og alle de filer jeg nu så var virus, som var umuligt at slette.

Jeg var selvfølgelig meget benovet over hans viden og forfærdet over det han fandt ud af.


Asger lader firmaet få kontrol
GoToAssist er programmet, der bliver installeret på ofrets computer, så der kan opnås fjernadgang. Igen så er der tale om et helt legitimt program. Kommandoen inf virus viser dig egentlig bare mappen c:\windows\inf, der indeholder installationsoplysninger om drivere til computerens enheder. At kalde filerne for virus må siges at være at strække sandheden lidt vel langt.

Virksomheden kalder sig i dette tilfælde for systemproassist ltd og det eksisterer selvsagt ikke. Den certificerede tekniker ville derefter installere et rense-program, der kunne løse alle problemerne.

Dette program fandt så omkring 32.000 inficerede filer og hvis der ikke blev gjort noget inden for 2 dage, ville min PC simpelthen gå i stykker. Men han kunne hjælpe - jeg fik et tilbud om at købe rense-programmet med licenstid:
2 år for 250 €
5 år for 350 €
livstid for 500 €

  

Teknikeren starter med at køre kommandoen verify. Kommandoen gør ikke noget i sig selv uden ekstra parametre (on / off), så teknikeren får bare at vide, at VERIFY er slået fra. Jeg forstår ikke helt, hvorfor det har den store betydning for dem, at det ikke kontrolleres at filerne bliver skrevet til disken korrekt.

Hvis teknikeren virkelig havde været certificeret supporter fra Microsoft, så havde han nok undret sig over, hvorfor en computer med en relativ ny CPU kun havde 255 MB RAM.

Programmet der installeres er i princippet også legitimt - Advanced WindowsCare 2 Personal fra IObit - der er bare tale om et ældre program, der ikke produceres eller markedsføres mere. Men det er selvfølgelig også helt ligegyldigt; det handler bare om at få vist nogle skræmmende røde tal frem.

Asger fortalte manden, at han kendte en kammerat, som han gerne lige ville høre først.

Så blev der talt indisk i baggrunden (formoder jeg), og jeg blev nu stillet videre til en Senior Microsoft Windows Certified Engineer. Han ville fortælle mig, hvor vigtigt det var for mig at købe softwaren ellers ville de låse min PC. Om jeg var klar over, at de holdt øje med mig… Hver gang der i Windows var sket en fejl og jeg sendte en “Error report” til Microsoft, så havnede det hos dem og de ville så låse min PC - de kunne ikke stå til ansvar for, at en så inficeret PC var forbundet til internettet.

Jeg insisterede på min kammerat - men blev så spurgt, om han måske var en Certified Engineer? Næh, det kunne jeg vel godt forstå. Nu var han så ved at blive lidt mere aggressiv, og så ophørte taletidskortet pludselig.

20 sekunder senere ringede han så til mig, lidt fornærmet. Nu var det næsten død og ødelæggelse, han kunne love, hvis ikke min PC blev renset. Efter overvejelse så troede jeg faktisk det ville være bedre at købe en ny pc for lidt flere penge end de 500 €. Jeg sagde så farvel og tak og ville så lukke PC'en, men han blev ved med at køre med musen så længe han kunne...

Til formålet havde jeg sat en drenget skrivebordsbaggrund på med roadracing motorcykler og poker-ikoner osv. for at få det til at ligne en almindelig PC bruger der ikke er "bange" for det store internet. Imellem det tekniske viste han også interesse for "fast motorbikes", som vi jo så fik lidt løs snak omkring!

Der er nok ikke megen tvivl om, at hvis Asger havde valgt at betale, så var der hverken tale om 14 dages returret eller noget egentligt produkt - kun penge til endnu en samling svindlere på nettet. Og en god risiko for, at VISA-kortet samtidig blev kopieret.

Igen er det på sin plads at minde om, at du aldrig uopfordret skal give ukendte personer adgang til din PC - og så er det helt ligegyldigt, hvem de repræsenterer sig som.

Kommentarer
Skrevet af: Fromsej TeamSpywarefri den 14. Dec 2011 20:57

Husk at have tryklufthornet klar, når så gokhovedet virkelig er koncentreret, to sekunders TUUUUUUUUUUUUUT ind i røret, og forhåbentlig får idioten en varig høreskade!!!
Nej, det er IKKE ondt, det er virtuelt selvforsvar, alternativt skal vi have Dolph på banen “død ved kølle”.

Fromsej TeamSpywarefri's billede
Skrevet af: Rookie Forumsupporter den 14. Dec 2011 23:51

grin grin  nu havde jeg ikke et tudehorn ved hånden, men var på det nærmeste ved at få grineflip nu og da, han nød jo i den grad at bilde mig den ene efter den anden løgn ind.

Rookie Forumsupporter's billede
Skrevet af: Hepta den 15. Dec 2011 09:41

Tak for en god artikel, som er velskrevet og velunderbygget.

Hepta's billede
Skrevet af: ... den 16. Dec 2011 00:29

Flot, flot arbejde. Tommelen op grin

...'s billede
Skrevet af: Ejvindh den 16. Dec 2011 13:34

Jeg SKAL ha’ sådan et trykluftshorn.

Ejvindh's billede
Skrevet af: vaf forumsupporter den 16. Dec 2011 17:28

En af de første ting jeg plejer at gøre, er at gå i Egenskaber for system > fjernskrivebord > fjernforbindelser, og fjerne flueben i: Tillad, at invitationer til fjernsupport sendes fra denne computer
og i: Tillad brugere at oprette fjernforbindelse til denne computer.

Og som back-up er hornet velegnet.

vaf  forumsupporter's billede
Skrevet af: Niss45 den 18. Dec 2011 22:46

Hej En bekendt af mig har netop haft samme oplevelse, og indleverede sin pc til en edb værksted, som fortalte de havde fået 3 pcén ind af samme årsag. Dete er sket alene i Herning, så mon ikke det er sket mange andre steder også. Godt vi har Spywarefri at at hjælpe og advarer om de svindlere.
Så mangler vi bare et rensnings program til at blokerer for dem. :-(
God jul og pas nu på koderne til kortet.

Niss45's billede
Skrevet af: Sigge den 25. Dec 2011 01:11

Haha Klasse kommentar Fromsej grin

Sigge's billede
Skrevet af: own den 28. Dec 2011 17:21

Blev ringet op 22. dec “fra Manchester” af en hurtigsnakkende kvinde.
Foregav at jeg ikke kunne forstå hende og fik en ung mand med fed indisk accent. Forløbet er som ovenfor - blev nysgerrig og fulgte svindlen. Der blev ikke inatslleret noget malware - kørt en almondelig rensning og sletning af loggen. Fik ham “pruttet” ned til 100 euro for livsvarig service og afbrød computeren.
Blev ringet op næste dag og sagde: Danish police - hvorefter jeg ikke siden har hørt fra den flinke mand.

own's billede
Skrevet af: Jacob Skjødt Nielsen den 14. Jan 2012 15:09

Tak for arkitlen.
Jeg vil gøre opmærksom på at de nu (14. januar) også præsenterer sig som Responze Technologies. Sammen telefonnummer 36967975 og samme forløb.

Jacob Skjødt Nielsen's billede
Skrevet af: skribent den 07. Feb 2012 23:30

Meget informativt og underholdende. Jeg er journalist på en regional avis, og én af dagens historier var en samtale med en politikommissær som fortalte, at folk i mit lokalområde anmelder disse “Microsoft”-ansatte. En enkelt af dem havde nået at betale.

skribent's billede
Skrevet af: Smulder den 08. Feb 2012 17:06

Tak for artiklen.
Blev ringet op i dag den 8. feb. af en engelsk talende mand med indisk accent. Han sagde han var fra Microsoft Windows support. Han ringede med hemmeligt nummer, undervejs mistede han telefonforbindelsen. Jeg spillede med langt hen af vejen. Det hele endte med at han skældte mig ud over, at jeg spildte hans tid. oO(som om han ikke også spildte min)

Smulder's billede
Skrevet af: pnt71 den 17. Feb 2012 23:24

Jeg har i dag den 17. feb. oplevet samme forløb. Snakkede med, men gik ikke med på at tænde computeren. Til sidst truede han med bål og brand og med at blokere min computer. Jeg stoppede med at tale med ham - og han lagde på med ordene, at han så blev nødt til at blokere min computer. Han ringede fra hemmeligt nummer, talte udtydeligt engelsk med indisk accent.

pnt71's billede
Skrevet af: Kaiserinden den 27. Jun 2012 10:28

Den 25. juni blev jeg ringet op af en engelsktalende fyr med Indisk accent. Han var supporter hos Microsoft London, som havde modtaget mange fejlmeddelelser fra min computer. Det er en lang historie, som ligner den i artiklen her : http://www.microsoft.com/danmark/sikkerhed/svindlere_udgiver_sig_for_at_vaere_microsoft.htm

Jeg ville have svoret at jeg ALDRIG kunne gå i den fælde, men han talte så længe og påvirkede mig så meget psykisk at jeg gjorde ting jeg ALDRIG burde have gjort. Det endte med et træk på min konto i dag på 917 kr indtil videre.

Han kørte et virustjek med et program han har gemt på min PC og den fandt 199 inficerede filer og en trojansk hest (som han måske har placeret hvem ved) BAgefter blev jeg i tvivl om, om det rent faktisk VAR et virusprogram men jeg kan se det findes på nettet. Det hedder SuperAntiSpyware, free edition.
Jeg forsøgte at slette programmet i går men hele systemet “frøs” og jeg slukkede på kontakten og har ikke tændt den PC igen. Dette er skrevet fra en anden jeg har.

Men det er meldt til politiet, banken er i gang med at gøre indsigelse mod beløbet de er hævet og alle kort er blevet spærret. Jeg venter nu med bævende hjerte på om de kan have nået at lave endnu en transaktion som så blir trukket på mine konti i morgen.  PYHA det er TRÆLS!

vh Anne-Lise

Kaiserinden's billede
Skrevet af: kingelise den 19. Jul 2012 21:37

Hej Anne-Lise!
Mon -  din Bank fik spærret ALT inden ????

Jeg er igang en med “næsten” tilsvarende sag,
- men hvor Firmaet der har “hævet penge” er dette:
Ip Virus Media D.O.O.
og
hvor Svindel-SW er “Live Security Platinum”

Der er ikke andet at gøre end anmelde svindlerne
og få spærret div. Kort


mv
Helle

kingelise's billede
Skrevet af: pial den 21. Jul 2012 20:53

Jeg blev ringet op i dag, og forløbet var som ovenstående, dog ikke indisk, men amerikansk tale ...
Jeg fulgte med, lige indtil jeg skulle logge mig på med navn og så få en kode, her stod jeg af, jeg sagde at jeg ville kontakte mit danske servicecenter på mandag, så jeg formoder ikke de kan nå at gøre noget, men hvorfra kender de nummeret på min pc ?
forbindelse blev cuttet da jeg ikke ville “være med” til fjernsupport

Hvor der det ØV, godt jeg er så skeptisk

pial's billede
Skrevet af: Sander TeamSpywarefri den 04. Sep 2012 14:00

Én af mine bekendte fortalte idag, at hun var blevet ringet op af “Microsoft”, som havde hendes “ID-nummer”. Derfor troede hun, at det var et rigtigt serviceopkald.

“Microsoft” fortalte, at de havde konstateret, at der var mange fejl på hendes pc, og at de derfor tilbød hende et tjek. Endda helt gratis.

“Microsoft” startede med at lægge “TeamViewer” programmet på maskinen, så de kunne “hjælpe hende”.

Efter et hurtigt tjek med et program, som hun ikke nåede at forstå meningen med, viste det sig, at der var rigtig mange fejl mm. på hendes maskine.

Hun blev spurgt, om “hendes licenser stadig var gyldige”. Hun svarede, at maskinen var omkring seks til otte år gammel; så det troede hun ikke.

“Microsoft” fortalte så, at det ville koste hende lidt over 900 kroner at få rettet fejlene.

Det var hun ikke interesseret i, da hun ikke havde små tusinde kroner til det formål lige nu.
Derefter blev der ringet af.

Efter denne samtale har hun “kun” haft tændt for maskinen for at læse i sin E-Boks.
Hun har ikke turdet bruge NetBank, men har istedet hævet penge direkte i sin lokale bankfilial. Og der er heldigvis ikke hævet andre beløb på hendes konto, end dem, hun selv har hentet i filialen.

Jeg har idag aftalt med hende, at jeg renser hendes maskine snarest muligt.

Sander TeamSpywarefri's billede
Skrevet af: MHauge den 12. Mar 2013 18:12

Så fik jeg sandelig også et opkald af denne type - engelsk tale med indisk accent.
Han ringede fra Microsoft Windows support, de kunne se at jeg havde en masse problemer.
Jeg forklarer med det samme at det må være forkert nummer, bliver spurgt om hvorfor det skulle være det - om jeg da ikke har computer?
Jo jeg har en Mac - Ja det ved de da godt.
Hvorfor var det så lige at de skulle ringe til mig - når jeg ikke kører Windows?
Så smed jeg røret på..

MHauge's billede
Skrevet af: Tom-edb den 03. Nov 2014 21:25

En af mine bekendte røg også i fælden. Hun ringede til mig samtidig med hun havde Microsoft svindleren i røret. Hun havde nået at oplyse VISA-kort og give ham adgang til fjernstyring af sin Win-Vista PC. Nu kunne hun ikke arbejde på den eller lukke programmer. Jeg sagde at hun skulle slukke Pc’en ved hovedafbryderen samt ringe til Nets og spærre kortet. Det gik derfor godt og der blev ikke hævet på det.
Men nu starter hendes PC op med en pseudo terminalskærm med valg for reparer, der ikke virker, og autostart af Win-Vista. Der kommer så en pseudo logon vindue uden brugernavn. Hun har aldrig brugt password til den. Så kommer hun ikke længere. Jeg har været i BIOS, der er ingen default for lås / kode. Jeg boot’ed fra Kaspersky RescueDisk 10, og kørt en scanning, fjernet et par trojan, samt kopieret dokumenter og billedfiler til en ekstern disk. Jeg havde så egentlig tænk mig at geninstallere Vista fra hendes Dell-install-disk. Men hun ville gerne have kopier af hendes Outlook emails (en POP3 - YouSee-konto). Hvor ligger de? Jeg har adgang til alle drev fra Kaspersky RD 10’s stifinder. Jeg har også hørt, at Microsoft-svindlerne har lagt en syskey – System Key ind, og at det er den der forhindrer start af Vista. Hvor ligger den, og kan den blot slettes? Jeg vil kunne starte hjælpe værktøjer fra en USB. Håber der er nogle der kan hjælpe. Tom Henriksen Roskilde Computerstue.

Tom-edb's billede
Skrevet af: Fromsej TeamSpywarefri den 03. Nov 2014 22:20

Opret spørgsmålet i vores forum, det er meget mere overskueligt for alle parter.
http://www.spywarefri.dk/forum/

Fromsej TeamSpywarefri's billede
Seneste artikler
Ringet op af Microsoft?

Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.

Digitalisering er en god investering

At skulle bruge penge på DDOS protection og VPN services kan virke som en stor investering, men pengene er godt givet ud.

Hold dig til de store, når du skal spille

Det er blevet utrolig populært, at spille casino-spil online. Det er uden tvivl drømmen om hurtige, og nemme penge, der frister.

Fodboldfeberen raser igen

Det er atter ved at være opstartstid for div. fodboldligaer rundt om i verden. Sæsonstart er altid længeventet for millioner af forventningsfulde fans.

SSL: Hvornår og hvordan?

Et SSL certifikat er en kryptering, der beskytter en hjemmeside mod uønskede gæster. Det er især vigtigt at have en SSL kryptering på sin hjemmeside, hvis man har personlige oplysninger om siden brugere og kunder liggende.

Seneste nyt
Digitalisering er en god investering

At skulle bruge penge på DDOS protection og VPN services kan virke som en stor investering, men pengene er godt givet ud.

Hold dig til de store, når du skal spille

Det er blevet utrolig populært, at spille casino-spil online. Det er uden tvivl drømmen om hurtige, og nemme penge, der frister.

Fodboldfeberen raser igen

Det er atter ved at være opstartstid for div. fodboldligaer rundt om i verden. Sæsonstart er altid længeventet for millioner af forventningsfulde fans.

SSL: Hvornår og hvordan?

Et SSL certifikat er en kryptering, der beskytter en hjemmeside mod uønskede gæster. Det er især vigtigt at have en SSL kryptering på sin hjemmeside, hvis man har personlige oplysninger om siden brugere og kunder liggende.

Mere tid til dig selv

Den moderne tidsalder er efterhånden en overstået æra. Snart må det være den hypermoderne tidsalder, der tager over. Vi er blevet mobile, computere er allemandseje og de fleste af os er så dybt afhængige af computere i vores dagligdag, at de danner grundlag for vores job og karriere.