Kommentar: Phishing und Scamming in Corona Zeiten

Kommentar: Phishing und Scamming in Corona Zeiten

Nachdem ich euch in meinem Beitrag über Bing Places meinen Beruf näherbrachte, möchte ich heute über etwas schreiben, von dem jeder wohl schon gehört hat und je nach dem, wie öffentlich er präsent ist, auch selbst betroffen gewesen ist:

Phishing- und Scamming-Versuche.

Bis 2020 hatte ich im Microsoft Support vielleicht alle vier bis acht Wochen eine Anfrage, in der man nachfragte, ob Microsoft wirklich anruft, um vor Viren zu warnen. Spoiler Alert: Nein, tun sie nicht.

Seit Beginn der Corona-Pandemie und der Ausdünnung der Büro-Abteilungen und Verlagerung ins Home-Office, hat das exponentiell zugenommen. Inzwischen vergeht kaum eine Woche, in der nicht mindestens ein Anrufer oder eine Chatanfrage von ungewöhnlichen Aktivitäten berichtet. Dabei habe ich hauptsächlich zwei verschiedene Methoden ausgemacht, wie Scammer vorgehen.

Phishing oder Scamming bei Privatkunden

Das Scamming bei Privatpersonen läuft meistens telefonisch ab. Dabei gibt der Anrufer vor, von Microsoft zu sein. Man würde über das Internet in der Lage sein, Computer mit Schadsoftware zu lokalisieren und über Daten, die der Virus ins Internet sendet, wäre man an den Namen und Telefonnummer des Angerufenen gekommen.

Das ist auch schon der erste Jedi-Gedanken Trick des Scammers, denn wie sollte man sonst an die Telefonnummer und den Namen gekommen sein? Völlig abwegig, dass eure Daten, die ihr für Bonuskarten oder Gewinnbenachrichtigungen irgendwo eingegeben habt, nicht in eurem Sinne verwendet werden.

Nach diesem Vertrauensvorsprung bietet der vermeintliche Microsoft-Mitarbeiter an, kostenlos den PC zu prüfen und zu scannen.
Hey, kostenlos, warum sollte ich das tolle Angebot nicht wahrnehmen? Sonst muss man überall für jedes bisschen Service was zahlen.
Also erklärt euch der Anrufer sehr höflich und sehr geduldig, wie ihr die Fernwartung auf dem PC aktivieren könnt und er euch um Verbindungsdetails des PCs bittet, um sich zu aufzuschalten.

Moment? Mein PC war doch angeblich schon so löchrig, dass mein Name und Telefonnummer leicht zu finden war, dann muss man sich noch extra verbinden und dem zustimmen? Egal, wird schon seine Richtigkeit haben. Ist der Anrufer auf eurem Rechner, wird er so tun, als würde er sich das System ansehen und nun gibt es zwei verschiedene Varianten, wie es weitergeht.

Variante I: Der „Microsoft-Mitarbeiter“ beendet seine Arbeit und sagt, dass er Schadsoftware gefunden hat, das Entfernen und eine komplette Auffrischung des Systems wären aber leider nicht im kostenlosen Anruf enthalten. Er bedauert es zutiefst, sagt es liegt nicht an ihm, wenn’s nach ihm ginge, wäre es natürlich kostenlos.

Er nennt euch einen Preis, der in einer Höhe ist, der unverdächtig wirkt und den man ohne nachzuhaken verschmerzen kann. Je nachdem, wie gut ihr euch durch den Small Talk nebenbei versteht, wird er euch nach euren Kreditkartendetails fragen, um diese dann über das „Microsoft Abrechnungssystem“ einzugeben und den besprochenen Betrag ein paar Tage später abzubuchen.

Solltet ihr Bedenken haben und der „Support-Agent“ spürt das, wird er natürlich sofort in die Bresche springen und euch sagen, dass die Einwände nachvollziehbar sind. Stattdessen wird er dann anbieten, dass die IBAN und BIC des Girokontos auch ausreichen und da ja dann Sicherheit für beide bestünde.

In der Regel seht ihr dann tatsächlich ein paar Tage später den abgesprochenen Betrag als Abbuchung und kümmert euch nicht weiter drum.
Dadurch, dass der Scammer aber den Betrag abbuchen oder erhalten konnte, hat er die Bestätigung, dass die Bankdaten korrekt und verwendbar sind. Je nach Netzwerk des Scammers werden die Daten weiterverkauft oder aber für einen wesentlich größeren Missbrauch Wochen oder Monate später zurückgehalten.

Variante II: Der „Support-Agent“ spürt eventuell euer Unbehagen früh oder dass es nicht so fluffig vorangeht wie in Variante I, und fährt seine Linie eiskalt.

In dem Moment, wo er Zugriff auf den Rechner hat und so tut als prüfe er etwas, spielt er eine Software auf, die euren kompletten Rechner lockt und euch von euren Daten aussperrt. Er gibt euch gleich zu verstehen, dass ihr eure Daten nur gegen Geld wiederseht.

Da ihr euch natürlich weigert, ein Zahlungsmittel anzugeben, offeriert er euch die Möglichkeit, ihm eine Paysafe Karte in entsprechender Höhe (wesentlich höher als in Variante I) oder auch in Bitcoins zu bezahlen. Grundsätzlich solltet ihr selbstverständlich nicht bezahlen und auch sofort das Gespräch beenden.

Leider haben viele Leute aber kein externes Backup oder eine Cloud, wo sie eventuell die gesperrten Daten gesichert haben. Nicht Wenige lassen sich in Panik darauf ein, und je nachdem, wie gemein der Anrufer ist, gibt er die Daten frei oder nicht. Verlassen kann man sich darauf nicht und es hängt vom Götterkomplex des Scammers an.

Wichtig ist: Egal ob der Anrufer erfolgreich war oder nicht: MELDEN UND ANZEIGEN!

Melden bei Microsoft: Microsoft unterhält gegen dieses ruf- und geschäftsschädigende Betrugsmodell eine Cybersecurity Abteilung, die mit Bundesbehörden international zusammenarbeitet:

Anzeigen bei der Polizei: Viele Polizeikommissariate haben Online-Portale, um Anzeigen zu stellen. Auch wenn das auf den ersten Blick nicht viel bringen mag, schützt es euch auch, wenn im Nachhinein ein Schaden entsteht und eure Versicherung dieses abdeckt:
Polizei – Zentrale Ansprechstellen Cybercrime der Polizeien

Wichtig ist, dass ihr versteht, dass diese Anrufer hochprofessionell arbeiten. Es handelt sich dabei um Banden, die quasi eigene Callcenter betreiben und mittels Social Engineering so effektiv wie möglich arbeiten. Vergesst dabei Anrufer mit indischem Akzent oder ähnlichem. Diese sprechen oft fließend Deutsch um so vertrauenswürdig wie möglich zu wirken:
Das 1×1 der IT-Sicherheit: Social Engineering | News Center Microsoft

 

Firmen-Phishing/Scamming

Eine Nummer größer ist natürlich das Scamming/Phishing, welches auf Firmen abzielt. Auch dabei gibt es natürlich den Klassiker, dass an willkürliche Firmen-Domains Emails gesendet werden, welche unscheinbare Links oder Programme enthalten, nicht selten auch mit einer Absende-Adresse, die sich als Teil der Firma ausgibt.

Für diese Problematik gibt es mittlerweile mit Microsoft 365 Advanced Threat Protection (ATP) einen sehr guten Schutz für Microsoft und Office Business Kunden, bestehend aus verschiedenen Komponenten wie den Defender, Exchange Online Protection und AI-Komponenten:
Grundlegendes zu Schadsoftware & anderen Bedrohungen – Windows security | Microsoft Docs

Viel perfider ist aber etwas, was seit dem Erfolg von Microsoft 365 / Azure / Dynamics 365 als Betrugsmasche genutzt wird.
Da Office 365, jetzt Microsoft 365, und Azure seit Jahren zweistellige prozentuale Nutzerzuwächse haben und damit geworben wird, dass ein Großteil der Fortune 500, also der 500 höchstnotierten Aktienunternehmen, Office nutzen, offeriert dieses ein Risiko durch Anonymität.

Nicht selten versuchen Betrüger, gefälschte Rechnungen in das Unternehmen einzuschleusen. Dabei waren vor fünf oder sechs Jahren diese Rechnungen voller Rechtschreib-, Grammatik- und Designfehler und dadurch leicht zu erkennen. Mittlerweile sind diese aber täuschend echt, begünstigt dadurch, dass Blogs oder Newsseiten gerne mal Originalrechnungen geschwärzt veröffentlichen, um so Lesern diese zu erklären.

Meistens werden diese Rechnungen an allgemeine Emailadressen gesendet wie [email protected], [email protected] oder [email protected] Solche Sammeladressen werden dann von jemandem sortiert, der im Akkord den Eingang aufgeräumt halten soll, einen kurzen Blick riskiert und diese Rechnungen dann intern weiterleitet.

Jetzt kommt die Krux der Geschichte:
Die Buchhaltung selber hat selten selbst Zugriff auf das Administrationsportal von Office/Dynamics/Azure etc. Zum einen aus Angst, dass ein Klick die komplette Produktivität einschränkt, zum anderen, weil der Zugriff auf die Microsoft-Admin Portale über persönliche Einzel-Accounts erfolgt und auch hier nicht selten sich die Buchhaltung eine Sammelemail für den Posteingang unterhält und keinen Zugriff auf die Abrechnungen im Portal haben. Dementsprechend ist das Risiko durchaus plausibel, dass diese Rechnungen weiterverarbeitet werden und erst nachträglich beim Jahresabschluss auffallen.

Informationen zu Office / Dynamics 365 Rechnungen findet ihr hier:
Anzeigen Ihrer Rechnung | Microsoft Docs

Azure Rechnungen:
Grundlegendes zu Ihrer Azure-Rechnung | Microsoft Docs

Microsoft Advertising:
Herunterladen und Drucken einer Rechnungsaufstellung oder Rechnung (microsoft.com)

Hier ist mein Ratschlag: Gebt einem oder zwei Mitarbeitern der Buchhaltung Zugriff auf das Abrechnungsportal eures genutzten Microsoft-Dienstes. Nicht selten haben Rechnungsadministratoren eingeschränkte Zugriffsrechte und können wenig bis gar nichts anrichten. Je nach Service können Benachrichtigungen über eine neu generierte Rechnung oder Zahlungsaktivitäten auch an vom Admin bestimmte Emailadressen gesendet werden.

Dabei empfiehlt es sich eine Email zu benutzen, die nur für diesen Zweck erstellt wurde und nur intern kommuniziert wird. Da Sammelpostfächer zum Beispiel keine eigene Exchange Online Lizenz benötigen, können diese ohne Zusatzkosten erstellt werden und so zur Sicherheit beitragen.

Das Wichtigste aber ist, sich und andere zu sensibilisieren. Hinterfragt, wenn euch etwas seltsam vorkommt. Bitten einen Support-Agenten am Telefon beispielsweise, euch eine Follow-Up Email an die im System hinterlegte Email-Adresse zu senden, ohne diese zu nennen, und legt auf. Erhaltet ihr eine E-Mail, die euch seltsam vorkommt, wie zum Beispiel eine Rechnung oder Warnung über das Konto, geht in euer Microsoft Portal.

Bei legitimen Warnungen sind diese im Portal als Pop-Up oder Hinweis erkennbar. Von dort aus könnt ihr auch kostenlosen Support für Abrechnungsfragen erhalten. Sei es per Chat, Telefon oder E-Mail.
Diese Serviceanfragen sind auch der einzige Grund, warum sich ein Microsoft Mitarbeiter bei euch meldet. Es gibt niemals sogenannte Kalt-Kontakte ohne eure Aufforderung.

Ich bin mittlerweile seit über zehn Jahren im Microsoft Support für verschiedene Dienste und alle oben beschriebenen Fälle beziehungsweise Berichte resultieren aus Kontakten mit betroffenen Anrufern und Supportanfragen.

Ich hoffe, mein Artikel gibt euch etwas Sicherheit und schärft das Bewusstsein für zukünftige verdächtige Situationen.

Artikel im Forum diskutieren (12)

Über den Autor
Daniel Heithorn
  • Daniel Heithorn auf Facebook
  • Daniel Heithorn auf Twitter
Microsoft-Padawan seit MS-DOS 5.0 und Windows 3.1 | Überzeugter Surface, Office 365 und Xbox One X User | Xbox FanFest süchtig | RIP Windows Phone & Microsoft Band 2
Nach oben