Betrug nach englischsprachigem Anruf

Windows-Support aus Norwegen:
Warnung vor neuer Betrugs-Welle

Für Betrüger ist die bevorstehende Veröffentlichung des neuen Windows 10 ein willkommener Anlass, eine alte Betrugs-Masche wieder aufleben zu lassen: es geht um Anrufe angeblicher Microsoft-Techniker. Diese sind dieses Mal besonders dreist und stellen Rechnungen in Höhe von mehreren Hundert Euro für ihre „Leistung“.

Laut der Verbraucherzentrale Rheinland-Pfalz ist eine neue Betrugswelle im Anmarsch. Zahlreiche Geschädigte hätten sich demnach in den letzten Wochen bei den Verbraucherschützern mit der Bitte um Hilfe gemeldet. Auch zahlreiche Personen, die gleich misstrauisch wurden, haben sich bei der Zentrale gemeldet. Der Betrug startet demnach mit dem Anruf einer norwegischen Nummer. Englisch sprechende Personen geben sich als offizielle Mitarbeiter der Firma Microsoft aus und verweisen auf einen „entdeckten Befall mit Schadsoftware“ bei der angerufenen Person. Damit versuchen die Betrüger zunächst, Angst vor einem solchen Befall zu schüren, um dann eine Lösung in Form eines angeblichen Anti-Virenprogramms anzubieten.

Die Schadsoftware holen sich die Opfer dann auf Anweisung

Den Nutzern wird dann empfohlen, eine Fernwartungssoftware zu installieren, damit die angeblichen Microsoft-Mitarbeiter bei der Reinigung des PC helfen können. Damit sichern sich die Betrüger den vollständigen Zugriff auf das System und können anschließend Trojaner installieren und die Systeme ihrer Opfer ausspionieren.

„Die Anrufe kommen von einer norwegischen Nummer“, erklärt Barbara Steinhöfel von der Verbraucherzentrale: „Damit können die Anrufe kaum zurückverfolgt und der Anschlussinhaber ermittelt werden.“ Das erschwert es laut Steinhöfel nun, rechtliche Schritte gegen die Betrüger einzuleiten.

Rechnung für „Systembereinigung“

Die neue Betrugswelle endet aber nicht mit dem Zugriff auf die Daten der Opfer, sondern geht noch weiter. Wer erst einmal auf den Anruf der angeblichen Microsoft-Techniker reingefallen ist, muss damit rechnen, auch noch zur Kasse gebeten zu werden. So soll für den „Telefonsupport“ und der angeblichen Bereinigung des PC gezahlt werden.

Kein Zugang gewähren, misstrauisch sein

Die Verbraucherzentrale schreibt: „Teilweise endet der vermeintliche Service-Einsatz auch mit der Aufforderung, dafür Geld zu zahlen. Die geforderten Beträge variieren und können bis zu mehrere hundert Euro betragen. Die Art und Weise der Bezahlung kann unterschiedlich sein. Die Anrufer sind sehr überzeugend. Durch die Verwendung des bekannten Firmennamens erwecken sie den Eindruck, man habe es tatsächlich mit dem Unternehmen zu tun“, warnt Barbara Steinhöfel. Sie rät, bei ungebetenen Anrufern, die plötzlich Zugang zum heimischen PC verlangen, grundsätzlich misstrauisch zu sein und einfach aufzulegen.  

Quelle: www.winfuture.de

Achtung vor Emails mit „Warnhinweisen“

Eine beliebte „Taktik“ um an Daten, Passwörter, Benutzernamen und andere Informationen zu kommen ist die Warnung, dass Änderungen durchgeführt wurden und deshalb eine Mitgliedschaft neu bestätigt werden muss. Oder dass verdächtige Aktionen auf dem Kundenkonto vorgenommen wurden und deshalb eine Kontrolle der Daten vorgenommen werden soll.

Momentan (April 2010) sind gerade Emails unterwegs, wo es um ungewöhnliche Kontobewegungen auf PayPal geht, dass deshalb das PayPal-Konto beschränkt wurde und das Konto mit allen Daten neu bestätigt werden muss. Dazu ist dann noch ein Link im Email, auf den draufgeklickt werden kann/darf/soll/muss, um diese Bestätigung durchführen zu können.

Machen Sie das nicht.

Fahren Sie mit der Maus über diesen Link, klicken Sie aber nicht darauf. Fast jedes Emailprogramm zeigt in der Statusleiste oder in einem Tool-Tip, wohin dieser Link führt. Meistens ist es ein ganz anderer Link als erwartet. Zum Beispiel nicht „www.paypal.de/kundenkonto“ sondern „www.fremdeseite.com/paypal/kundenkonto“.

Interessant ist für jeden Internetuser auf alle Fälle die Erfahrung, wenn einmal so ein Email kommt mit der Bitte um Bestätigung der Kundendaten – von einer Firma, einer Bank oder einem Dienstleister, wo man definitiv noch nie was bestellt hat oder sicher nicht Kunde ist. Spätestens ab da kennt man diese Methode.

Klicken Sie grundsätzlich NIE auf Links in Emails, wo Sie aufgefordert werden, Benutzerdaten auf Websites zu ändern. Auch wenn es Ihre Hausbank ist oder sonst eine Firma, bei der Sie online einkaufen. Wenn solche Firmen Änderungen oder Bestätigungen von Ihnen brauchen, dann gehen Sie ganz normal über Ihren Internetbrowser auf die Firmenwebsite, loggen Sie sich wie gewohnt in Ihr Kundenkonto ein und bestätigen Sie dort die Änderungen – aber klicken Sie nie auf einen Link in einem Email, um sich in Ihr Kundenkonto einzuloggen.

Sobig-Virus

Informationen

Zur Zeit macht der Virus W32.Sobig.F@mm von sich reden, er ist bereits jetzt einer der sich am schnellsten verbreitenden Email-Viren aller Zeiten.

Wenn Sie ein Email mit einem der folgenden Betreff-Zeilen erhalten, dann dürfte da mit ziemlicher Sicherheit Sobig.F aktiv sein. Löschen Sie das Attachment sofort ohne es zu öffnen.
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Das Attachment ist ein Datei mit der Endung „.pif“ und infiziert den Computer. Der Virus verschickt sich an Namen die er im Adressbuch des neu verseuchten Computers findet. Außerdem verwendet der Virus eine der dort vorgefundenen Adressen als Absender! Das bedeutet, dass der Absender, der Ihnen scheinbar den Virus geschickt hat NICHT der tatsächliche Absender ist!

Der Virus ist mit einem Selbstzerstörungsmechanismus programmiert, der am 10.September aktiv werden soll.

Hier können Sie sich ein kleines Programm herunterladen, das Sobig.F aus ihrem System entfernt.
Sobig-Löschprogramm herunterladen
Infos zum Löschprogramm

Auf http://www.symantec.com/region/de/index.html finden Sie immer die aktuellsten Vireninformationen.

Kostenloses Virenlöschtool

Entfernt die häufigsten aktuellsten Viren

McAfee hat ein kostenloses Such- und Löschprogramm für die momentan am häufigsten verbreiteten Viren zur Verfügung gestellt. Auf der Seite http://www.mcafee.com/us/downloads/free-tools/stinger.aspx können Sie es sich herunterladen.

Stinger wird in unregelmäßigen Abständen ergänzt und erweitert, damit es die am weitesten verbreiteten Schädlinge erkennen und entfernen kann. Hier gibt es Informationen zur Verwendung der Software – in englischer Sprache.

In der Version vom 22.Juni 2011 sind es 2494 Schädlinge.
In der Version vom 10.Mai 2011 sind es 2379 Schädlinge.
In der Version vom 13.April 2011 sind es 2332 Schädlinge.

In der Version vom 22.März 2011 erkannte das Programm 2288 Viren, Trojaner und andere Schädlinge. Eine komplette Auflistung finden Sie ausschließlich in der Software.

Der STINGER erkannte in der Version vom 14.Dezember 2004 folgende Viren:

BackDoor-AQJ BackDoor-CEB BackDoor-CFB
BackDoor-JZ Bat/Mumu.worm Exploit-DcomRpc
Exploit-LSASS IPCScan IRC/Flood.ap
IRC/Flood.bi IRC/Flood.cd NTServiceLoader
PWS-Narod PWS-Sincom.dll W32/Anig.worm
W32/Bagle@MM W32/Blaster.worm (Lovsan) W32/Bugbear@MM
W32/Deborm.worm.gen W32/Doomjuice.worm W32/Dumaru
W32/Elkern.cav W32/Fizzer.gen@MM W32/FunLove
W32/Klez W32/Korgo.worm W32/Lirva
W32/Lovgate W32/Mimail W32/MoFei.worm
W32/Mumu.b.worm W32/MyDoom W32/Nachi.worm
W32/Netsky W32/Nimda W32/Pate
W32/Polybot W32/Sasser.worm W32/SirCam@MM
W32/Sober W32/Sobig W32/SQLSlammer.worm
W32/Swen@MM W32/Yaha@MM W32/Zafi
W32/Zindos.worm

Quelle:
http://www.mikes-pchilfe.de/goto.php?name=news&view=details&id=7

Im Moment ist wieder eine Variante von W32.SOBER.C@mm unterwegs. Habe heute 4 Emails bekommen, mit dem Betreff: „Ermittlungsverfahren eingeleitet“. In der Mail selbst wurde behauptet ich würde illegale Software einsetzen und MP3’s getauscht haben.

Folgende Anhänge wurden von uns als W32.SOBER.C@mm identifiziert:
aktenz47013.scr, remove-smss.exe, DrohMails.bat, RTL-DSDS-anmelde.scr, www.free4share4you.com, Kundendat3542BaB.pif, Zugangsdaten.pif, www.tagespolitik-umfragen.com, Klassenfoto.pif, haha_sehr_witzig.bat

Also vorsichtig sein, keine Mails mit unbekannten Absender öffnen und auf keinen Fall die Anhänge öffnen, die Mail einfach löschen und man hat keine Probleme.

Eine weitere Variante weist darauf hin, dass ein Trojaner namens „lsass.exe“ auf deinem Rechner wüte. Im Anhang befindet sich angeblich Software um diesen zu entfernen. Doch Vorsicht ist hier wieder geboten, das ist ein Hoax Virus, denn wenn man in den Gerätemanager schaut, wird man die Datei Isass.exe sogar finden, dass ist aber eine wichtige Windows Systemdatei die benötigt wird, also auf keinen Fall löschen.

Abhilfe schafft hier ein guter Menschenverstand, der einem sagt, dass man diese Anhänge nicht ausführt oder falls doch ein guter Virenscanner.

Sehr gut ist Norton Anti Virus, Kaspersky Anti Virus (beide ca. 40€) oder als Freeware zu haben: Anti-Vir Personal

Weitere Infos über diesen Wurm:
http://www.heise.de/newsticker/data/dab-22.12.03-002/
http://www.chip.de/news/c_news_11332924.html
http://kopfkrebs.de/W32/Sober.C (sehr gute Infos)

Quelle:
http://www.mikes-pchilfe.de/goto.php?name=news&view=details&id=7

Informationen von Symantec zum Virus:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.html

Bekannte Varianten sind

Betreff: Ihre IP wurde geloggt
Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP nnn.nnn.nnn.nnn erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #yyyyyy
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.

Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission „Internet Downloads“
Rufnummer innerhalb Deutschland (xxxx) xxx – x oder (xxxx) xxx – xxxx
Rufnummer außerhalb Deutschland (xxxxxxx) xxx – x oder (xxxxxxx) xxx – xxxx

Hochachtungsvoll
i.A. PK Mollbach
Datei im Anhang: „aktenzyyyyy.*“ oder „aktenzyyyyy.txt.*“

Betreff: Du hast einen Trojaner drauf!

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner smss.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab’s dir mal mit beigetan. wenn fragen,
meld dich einfach.

Datei im Anhang: „remove-smss.exe“, „remove-lsass.exe“ oder „remove-xxxxx.exe“

Die Virenemails haben – man muss fast schon sagen wie üblich – gefälschte Absender mit minimal vorhandenen Kopfzeilen, sodass der wahre Absender nur schwer ermittelt werden kann.

Die Emails sind unterschiedlich formuliert und haben unterschiedlich benannte Attachments.
Nähere Informationen und den Wortlaut weiterer Varianten erhalten Sie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik in Bonn.

http://www.bsi.bund.de/av/vb/soberc1.htm#Trojanerdrauf

CoolWebSearch

„COOLWEBSEARCH“ Browserumleitung

Eine neue Methode, Besucher auf Websites zu ziehen, ist die Entführung des Browsers. Ein weit verbreiteter Entführer ist CoolWebSearch (CWS). CWS zeigt folgende Symptome:

Weiterleitung auf CoolWebSearch-ähnliche Seiten
Weiterleitung, wenn Sie URLs falsch eintippen
Enorme Verlangsamung vom Internet Explorer beim tippen
Startseite oder Suchseite vom Internet Explorer wurde geändert
In der Trusted Zone des Internet Explorer finden sich Sites, die Sie nicht hinzugefügt haben
Popups in Google und Yahoo

Hier können Sie sich ein kleines Programm herunterladen, das diesen CWS-Entführer aus ihrem System entfernt.
CWS-Löschprogramm herunterladen

Ein weiteres sehr gutes Programm zum Löschen von diesen Plagegeistern ist
Spybot Search & DestoryHier herunterladen.

Spybot sollte sinnvoll mit diesen beiden Programmen ergänzt werden:
Lavasoft AdAwareHier herunterladen.
HiJackThisHier herunterladen.

Spybot, AdAware und HiJackThis finden und löschen (wenn sie regelmäßig aktualisiert werden) als Dreier-Kombination beinahe alles Schädlinge, die irgendwie das Websurfen zu einem nervenaufreibenden Geduldsspiel machen. Spybot und Adaware haben sich auf Würmer und Trojaner spezialisiert, HiJackThis auf die Beseitigung von Website-Entführern (Hijackern). Sollte sich Ihre Startseite im Browser ständig auf eine Ihnen unbekannte Seite verstellen, dann lassen Sie HiJackThis durchlaufen und entfernen Sie die Übeltäter.

Wenn Sie sich beim Hijacker-Entfernen nicht sicher sind, dann können Sie eine Logdatei abspeichern lassen, und diese Logdatei dann auf der Website www.hijackthis.de analysieren lassen. Sie erhalten dann als Ergebnis (etwas runterscrollen) eine Liste mit Löschempfehlungen. Bitte beachten Sie, dass Sie auf eigene Gefahr hin löschen und niemand Ihnen die Verantwortung was Sie löschen abnehmen kann.

Achtung vor kostenlosen Schutzprogrammen

Achtung vor kostenlosen Schutzprogrammen!

„SpywareNo! ist ein mehrfach ausgezeichnetes Spyware-Entfernungs Programm und hilft ihnen alle Arten von Spyware und Adware, einschließlich von Keyloggern, Trojanischen Pferden und Passwortdieben zu bekämpfen. Mit einem neuem und einzigartigem Schutzmodul wird ihr Computer gesäubert. Warten Sie nicht länger und testen Sie es kostenlos“

Ganz ehrlich, wenn Sie solch eine Beschreibung auf einer ansprechend gestalteten Seite lesen – bekommen Sie da nicht spontan Lust der Aufforderung nachzukommen und das Programm kostenlos und unverbindlich zu testen? Doch Vorsicht, amerikanische Sicherheitsunternehmen warnen derzeit davor, unbedacht seriös wirkenden Beschreibungen zu glauben und solche Software zu installieren. Bei der in der Einleitung genannten Beschreibung handelt es sich um das „Anti-Spyware“ Programm „SpywareNo!“ welches laut seiner Webseite sogar noch 15 Dollar im Monat kostet.

Anstatt dem User zu helfen lädt der nur 48 KB große Installer während der Installation bösartige Schädlinge (Malware) aus dem Web und nutzt bisher von Microsoft nicht gepatchte Sicherheitslücken im Internet Explorer und Windows aus um das System zu komprimitieren. Dieses wird hinterher beispielsweise für den Spam-Versand oder D-Dos-Attacken missbraucht. („Zombie-PC“)

Ebenfalls nicht bösartig wirkend und zusätzlich durch gute Rankings bei Suchmaschinen verlocken auch andere Programme wie zum Beispiel „Faster XP“ ahnungslose User zur Installation. Laut Webseite soll FasterXP unter anderem die Festplatte sowie das Internet schneller machen und PopUps blocken. Weiterhin wird bei der Beschreibung und Downloadseite mit einer 100% Viren-, Trojaner- und Spywarefreiheit geworben. Führt der User die Datei aber aus, ist von dieser Freiheit nichts mehr zu spüren und es werden unzählige Viren, Trojaner und Spywaretypen installiert. Wenn Sie demnächst vorhaben ihr System neu zu installieren können Sie dies bei Gelegenheit einmal testen 😉

Die Kombination von seriös aussehendem Design, verlockenden Texten und manchmal auch der Tatsache dass diese Tools vermeintlich Geld kosten, verlocken nach Ansicht von US-Sicherheitsexperten unbedachte User diese zu testen. Die meisten Anwender werden sich beim Besuch von derartigen Websites fragen, was schon groß passieren kann und das „Programm“ gutgläubig herunterladen. Hinterher wird keine Spyware gefunden, der PC trotz Versprechen nicht schneller und der PopUp Blocker funktioniert auch nicht, weshalb das so verlockend Beworbene wieder deinstalliert wird – und in diesem Moment werden „zum Dank“ bereits die nächsten Schädlinge aus dem Netz geladen. Dies geschieht in einer Vielzahl von Fällen unbemerkt und die Computer der ahnungslosen Nutzer werden mit Malware verseucht – aus diesem Grunde und der Tatsache, dass solche Seiten immer häufiger auftauchen, stellen diese Seiten mehr und mehr eine Gefahr dar. Hier zeigen die beiden Beispiele mit ihrem enormen Schadenspotenzial, was ein unbedachter Download verursachen kann – hat man sich erst einmal derartige Schädlinge installiert, hilft hinterher einzig und allein eine saubere Neuinstallation des Systems – auf andere Weise kann man sein System nicht mehr vollständig säubern.

Die verschiedenen Sicherheitsunternehmen versuchen natürlich regelmäßig solche Seiten zu schließen und gegen die Betreiber vorzugehen. Dies gestaltet sich aber schwierig, da entweder in der auf der Webseite versteckten und extra sehr lang gestalteten EULA (End User License Agreement) darauf hingewiesen wird, das z.B. die als „Internet Beschleuniger“ bezeichnete Spyware mitinstalliert wird oder die Firmen ihren Sitz im Ausland, vorwiegend auf kleinen Inseln, haben. Noch dazu reagieren die Webhosting-Provider meist nicht auf die Bitten und schließen solche Seiten erst bei gerichtlichem Nachdruck. Das wirkt aber auch nicht lange, denn in diesem Fall melden die entsprechenden Firmen ihre Domain einfach bei einem anderen Hoster an und binnen weniger Stunden ist die Seite wieder Online.

Die Experten empfehlen bei unbekannten Herstellern und Programmen sich unbedingt vorher, zum Beispiel in Suchmaschinen, über das Beworbene zu erkundigen. So wäre der Nutzer im Falle von „SpywareNo!“ durch Google bei diesem Forum-Thread gelandet und hätte sicher die Finger vom Download gelassen. Einen vollständigen Schutz kann dies aber auch nicht bieten, wie das Beispiel der Faster XP Suchergebnisse beweist.
Übrigens: Auf der “SpywareNo!” Webseite stehen zwar direkt auf der Startseite Preise und zusätzlich im Downloadbereich der Hinweis, dass es sich um eine Trial-Version handelt – kaufen kann man es aber nirgendwo.

Quelle: www.winfuture.de