Neptelefoontjes van zogezegd Microsoft
David Jacoby, een van de Kaspersky experts, was de neptelefoontjes van "Microsoft Security Support" helemaal zat. Hij speelde dus het spelletje mee en probeerde zo de nep support-oplichters te ontmaskeren. Een grappig verhaal, maar met een serieuze boodschap!
Opmerking: Dit is in naam van Jacoby David geschreven!
Ik ben er vrij zeker van dat de meesten van jullie over de recente telefoon zwendel, die op dit moment in de omloop is, gehoord hebben. Ze hebben een heleboel mensen in landen als Duitsland, Zweden, het Verenigd Koninkrijk en waarschijnlijk nog veel meer, opgebeld. De zwendel is vrij simpel, ze doen alsof ze van de afdeling Microsoft zijn, die aanwijzingen heeft gevonden waarbij uw computer is geïnfecteerd met malware. Zij zijn bereid om te controleren of dit het geval is. Als het slachtoffer het eens is, zullen ze vragen om bepaalde acties uit te voeren en het typen van bepaalde commando's, die zal tonen dat uw computer 'geïnfecteerd' is.
Ik wil alleen vermelden dat er geen afdeling van Microsoft is, en ze jou nooit zouden opbellen. Dus als je ooit een oproep krijgt van Microsoft dat er enkele aanwijzingen zijn dat uw computer kapot is of geïnfecteerd - gelieve op te hangen!
Nou, ze belden me een paar keer, en uiteindelijk kreeg ik er genoeg van en begon ik het spel mee te spelen. Tegelijkertijd had ik mijn virtuele machines draaien en was het een kwestie van opnemen van alles wat ze deden. Het doel was om uit te vinden wie ze waren en precies wat de zwendel was. Gelukkig kon ik informatie, zoals hun interne IP-adressen, de
PayPal-rekeningen die ze gebruikten, en de nummers die zij gebeld hadden in handen krijgen.
Laten we doen alsof we een tijdje geleden een oproep gekregen hebt, en je speelt mee (met het hele idee), dat je computer geïnfecteerd is. Hun volgende stap is proberen om u te overtuigen dat uw computer geïnfecteerd is. Dit gebeurt in meerdere stappen. Hieronder vindt u de onderstaande stappen, inclusief screenshot.
1. Men zal u uitleggen dat uw computer aan het werken is met zeer lage resultaten, omdat de infectie alles aan het aantasten is. Dat is helemaal niet waar! Want het beeld in feite laat zien dat uw computer alleen zeer weinig middelen gebruikt op dit moment.
2. Daarna zal men vragen om de Event Manager te openen om te proberen om fouten, waarschuwingen en andere informatie te vinden die kan gebruikt worden om u te laten denken dat uw computer geïnfecteerd is. De Event Manger toont wel foutmeldingen, maar niet direct gerelateerd aan een infectie. Bijna alle computers hebben fouten in de logbestanden, vooral als de computer niet in de laatste tijd opnieuw geïnstalleerd is en omdat er een hoop programma's draaien.
3. Op dit moment zijn ze je echt onder druk aan het zetten dat je computer geïnfecteerd is, en wat er moet gedaan worden om te bevestigen dat het zo is. Zij zullen dan proberen om uw computer te koppelen aan een uniek nummer, een nummer dat ze bellen met de Consumer License ID, bekend als de CLSID. Maar de CLSID is eigenlijk een Klasse-id. Op de foto hieronder kun je zien welk programma of CLSID gekoppeld is met een specifieke extensie. Zij zullen dan vragen om de opdracht "ASSOC" in een DOS-prompt uit te voeren, en dan vragen of de consument 'Licentie-ID' gelijk aan '888DCA60-FC0A-11CF8F0F-00C04FD7D062' is. Dat is eigenlijk de CLSID voor de 'ZFSendToTarget' bestand-extensie.
4. Op dit punt hebben ze je niet alleen geprobeerd om u te overtuigen dat de computer geïnfecteerd is, maar ook dat de computer die ze zien in hun systeem, eigenlijk uw computer is. Zij zullen u nu nog een DOS-opdracht laten uitvoeren om nog eens "te controleren" of het zo is. Zij beweren dat als de 'output' van het Verify-commando "uit" is, dat uw computer licentie niet is geverifieerd. Deze opdracht heeft absoluut niets te maken met uw licentie, het betekent alleen dat je de controle uit of aan kan zetten van het systeem dat controleert of de gegevens correct op de schijf geschreven worden.
Op dit punt was de vrouw, waarmee ik aan het bellen was, aan het schreeuwen in mijn oor 'OH MY GOD!, ze was super boos dat mijn licentie niet was geverifieerd. volgens haar betekende dit dat er geen security patches geïnstalleerd kon worden. Ze stelde toen dat er een technicus toegang tot mijn computer nodig had om al die problemen op te lossen.
Natuurlijk, een technicus mag dit doen om het op te lossen - Ik was alleen alles aan het draaien een een lege virtuele machine :).
5. Zij maken gebruik van een Remote Administration Software, AMMYY genoemd. Ik had nog nooit gehoord van deze software voor dit incident. Het lijkt vrij eenvoudig. Vanaf een unieke ID konden ze verbinding maken met mijn computer en ermee werken. Ik kon ook alles zien wat ze deden. Een operator met het ID "10878203" was aangesloten op mijn computer, en hieronder bevindt zich de machtigingen die hij/zij vraagt.
6. Op dit punt was de beheerder aangesloten op mijn computer en was in staat alles te gebruiken. Hij opende de Certification Manger en selecteerde een oude certificaat. Ik had nog steeds de vrouw aan de telefoon, en ze legde uit dat de operator nu had ontdekt dat mijn computer niet was bijgewerkt sinds 2011 omdat deze certificaat ongeldig was.
7. Nu begon het echt verdacht te worden, ze vertelde dat de enige oplossing hiervoor is om het systeem te activeren en het installeren van beveiligingssoftware, die mij zal beschermen tegen virussen, malware, Trojaanse paarden, hackers en meer. Ze vroeg me aan de telefoon of dit is wat ik wilde doen. Ze zei dat dit alleen $250 USD zou kosten.
8.De operator installeerde vervolgens een programma genaamd: 'G2AX_customer_downloader_win32_x86.exe' van de website www.fastsupport.com.
Toen dit gedaan was, kwam een chat pop-up tevoorschijn. Het was een persoon met de naam "David Stone" die me vertelde dat mijn computer niet meer in gevaar was.
9. Ze vertelde me dat sinds ik ingestemd had om mijn software up-te daten, nu een formulier moest invullen en $250 moest betalen. Vervolgens opende een PayPal-formulier. Ik was in staat om verschillende PayPal-rekeningen te verzamelen, onder meer: [email protected] en [email protected]
10. Omdat ik wist dat dit een zwendel was, wilde ik zien of ik wat meer informatie over deze mensen kon krijgen. Dus heb ik verschillende keren geprobeerd om valse VISA en MasterCard kaarten in te voeren en ik zei ook dat ik geen toegang heb om dingen te kopen op het internet met mijn kaart. Ze raakte behoorlijk gefrustreerd met mij op dit punt.
Dan vraag ik hen om naar een website te gaan, welke ik doe alsof het de website van een vriend is, die zijn kaart informatie op de website heeft staan. De website is eigenlijk maar een tekstbestand met een statische tekst: “Hi, please connect from a different IP since your behind a proxy”.
11. We hebben meerde malen vanaf mijn computer geprobeerd, met behulp van verschillende browsers, maar toen vroeg ik hen om hun site na te gaan, en tot mijn verbazing deden ze daadwerkelijk wat ik vroegen. Ik was op zoek in mijn logbestand en zodra ze verbonden waren, kreeg ik hun IP-adres :)
101.xxx.xxx.197 - - [01/Aug/2012:13:44:31 +0200] "GET //.txt HTTP/1.1" 200 413 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
12. Op dit punt heb ik een paar keer de verbinding verbroken met de telefoon toen we aan het praten waren, want ik wilde zien vanaf welke nummers ze belde. Ik was in staat om de volgende nummers te verzamelen:
00441865589771, 008028, 002127773456 en ook een verborgen nummer.
Na het verzamelen van alle informatie, heb ik inmiddels contact opgenomen met alle geschikte mensen, zoals het security-team bij PayPal, de verschillende wetshandhavingsinstanties met de hoop dat we deze mensen kunnen stoppen. Ze stelen veel geld van onschuldige mensen. Ik weet dat die mensen zijn gewaarschuwd over deze oplichting, maar mijn conclusie is dat ze nog steeds mensen bellen omdat ze nog steeds geld verdienen.
De software die ze gebruikten was niet kwaadaardig op welke wijze dan ook, wat betekent dat geen beveiligingssoftware kan worden gedetecteerd van dit soort oplichtingen. Dit is een van de belangrijkste redenen voor dit artikel en andere - we moeten de mensen blijven informeren zodat de cybercriminelen gedwongen worden om te stoppen.
Bron: https://www.securelist.com/en/blog/208193750/Trying_to_unmask_the_fake_Microsoft_support_scammers
Gerelateerde nieuwsberichten
23/10/2022 Microsoft lekte gegevens van klanten door fout in server
05/06/2018 Microsoft neemt GitHub over
29/05/2017 Microsoft-diensten moeilijk bereikbaar via Firefox
Er zijn 27 reacties op 'Neptelefoontjes van zogezegd microsoft'
Edit Ariën: naam op verzoek verwijderd
-0 
Goed om te weten.
Sowieso dat Microsoft mijn telefoonnummer heeft... FCKGW....
Overigens is de mens zijn naam ook nog is verkeerd geschreven, en dat 'in zijn naam'...
Het origineel
-0
Ga de fouten oplossen
Ik heb de bron ook in het bericht vermeld, en wat fouten eruit gehaald.
Ze zijn vooral bedreven in het verkopen van bullshit; net zoals je een blauwe pet op zet, bij de mensen aanbelt en zegt dat je een flik bent.
Je bent niet veel met een veiligheidsdeur als je zelf alle bandieten binnen laat.
-0
-0
Vervelend is trouwens dat ze bij ons de laatste dagen meerdere malen gebeld hebben. Als ik gewoon opneem wordt er niet gereageerd. Hoe kan ik voorkomen dat we gebeld worden ??
-0
Goedemorgen/-middag/-avond, politie <jouw provincie>. Zegt u het maar.
-0
Maar dat was dan met een 00213 nummer.. De eerste keer had ik opgepakt, maar toen dacht ik al dat er iets niet klopte & de volgende keren heb ik ze gewoon laten bellen..
-0
Een beetje afhankelijk van je toestel. Er zijn toestellen waarop je bepaalde nummers kan blokkeren. Maar dit is bij een vast toestel of zeg maar een mobiel voor binnen huis niet het geval.
Ik neem op het vast toestel sowieso niet op als het een verdacht nummer is. Geven ze na een tijdje toch sowieso op.
Op mijn smartphone neem ik altijd op, omdat ik die ook zakelijk gebruik, je weet maar nooit. Mooie daarvan is, zoals ik hierboven al zei: nummer blokkering.
Ik heb nl. gehoord dat die vreemde maffia soms zelfs instaat is via je telefoonlijn meer over jou te weten te komen, zolang je maar voldoende lang aan de lijn blijft. Of het effectief waar is, weet ik niet. Maar beter voorkomen dan genezen, toch?
Hij zei dat ik een beveiligings risico liep en dat we dit samen moesten oplossen. Ik zei eerst te willen weten of hij wel echt van Microsoft was. Hierop kreeg ik een vaag antwoord en hij vroeg of hij met meneer [mijn achternaam] sprak. Misschien dacht hij mij hiermee te kunnen overtuigen?
Ik gaf aan dat ik mijn telefoonnummer nooit heb ingevuld bij aanschaf/installeren van mijn laptop, dus dat hij nooit aan mijn nummer had kunnen komen.
Ook zei ik dat ik er op internet over had gelezen en dat dit absolute onzin is. Hij bleef volhouden met "no no you don't understand"..
Ik heb maar opgehangen. Wat een onzin dit! Schandalig..
-0
o nee, ik snap het al.. Draai geen windows systeem. :)
-0
-0
Hahaha, ik kan er niks aan doen, maar ik vind het toch wel een soort van grappig.
Krijg nou wat, ze kunnen m'n muis bewegen!
Henk, laat de virusscanner sowieso een uitgebreide virusscan uitvoeren.
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
hhahahahahahaha Firefox/14.0.1
Als dat echt microsoft was dan zouden ze wel IE geruiken nie firefox
-0
Mensen moeten anno 2012 maar eerst eens logisch denken voordat ze dit soort informatie prijs geven. Ze hebben mij ook 2x gebeld op mijn zakelijk nummer (eigen zaak), en gaven aan dat ik 2 nog niet bekende virussen had.
Eerste antwoord van mij was:
Hoe weten jullie dan dat ik deze nu heb, aangezien hij nog niet bekend en zichtbaar is? Zijn jullie misschien zonder toestemming op mijn netwerk geweest?
2 minuten later namen ze vriendelijk afscheid.
Tweede antwoord van mij:
Hoe kan dat nu? Ik draai op 2 Linux en 1 Mac werkstation. Windows machines hebben we niet.
Ze zeiden dat er een foutje in de administratie was.
Lachen om een beetje te spelen met zulke mensen haha. Dit was overigens alweer 3 maanden geleden, tot op heden geen van dit soort telefoontjes meer gehad.
-0
-0
-0
-0
Ben nog geen 5 minuten geleden gebeld door een vrouw die zich voordeed als MS.
Ik vraag nog of ze MS heeft, nog een keer mijn naam herhalen. Ik zeg: Ah Microsoft. Sorry only linux.
Toen was het klik.
-0
Als ze weer bellen speel ik het lekker mee, en laat ze lekker lang aan de lijn hangen :P
-0
http://www.microsoft.com/security/online-privacy/avoid-phone-scams.aspx
-0
http://www.nieuwsblad.be/article/detail.aspx?articleid=dmf20131128_00861153
"Politie en Microsoft waarschuwen voor telefonische oplichting"
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu