4Aug

Die "Tech Support" Betrüger namens HTG( so hatten wir Spaß mit ihnen)

Der Anrufer sagte: "Ich rufe Sie vom Windows-Tech-Support an." Die betrügerischen technischen Support-Betrüger machten den Fehler, uns heute anzurufen, und wir spielten mit, um ihre Tricks nur zum Spaß zu lernen. Hier ist was passiert ist.

Für die Uneingeweihten haben wir dieses Thema schon früher behandelt - seit Jahren haben diese Betrüger Leute kaltgestellt, die behaupten, sie seien von Microsoft, versuchen, sie davon zu überzeugen, dass ihr Computer Viren hat, und fragen dann den "Kunden"um sie zu bezahlen, um das Problem zu beheben. Man könnte denken, dass die Regierung diese Art von Dingen stoppen würde. .. aber Jahre später gibt es diese Betrügereien immer noch.

Heute haben wir einen dieser Anrufe erhalten und beschlossen, nur zum Spaß mitzuspielen. Hier ist unsere Geschichte.

"Ich rufe Sie von Windows an"

Das Telefon klingelte, ein unbekannter Anrufer von( 404) 891-5588, eine Vorwahl, die Atlanta, Georgia abdeckt. Die Person am anderen Ende schien mit etwas herumzufummeln und sagte nichts direkt. Im Hintergrund konnte man die geschäftigen Geräusche eines schlecht organisierten Callcenters hören, kaum anders als jemand, der aus einer Bar anruft.

" Hallo? Ich rufe dich vom Windows-Tech-Support an ", begann er mit einem dicken Akzent, den ich kaum verstehen konnte." Unsere Server haben Viren auf Ihrem PC entdeckt. Bist du dir dessen bewusst? ".Dies war das zweite Mal in einer Woche, dass er mich angerufen hatte - das erste Mal, dass ich nicht verstand, was er sagte, also hängte er mich auf, aber dieses Mal war ich vorbereitet." Nein, das wusste ich nicht. Was bedeutet das? "

Er fuhr fort, mir zu sagen, dass mein Computer Viren an seine Server gemeldet hatte, und er brauchte mich, um meine Consumer-Lizenz-ID zu verifizieren, um sicherzustellen, dass es wirklich mein PC mit den Viren ist." Kannst du diese Nummer aufschreiben? ", fragte er, bevor er einen alphanumerischen Code herunterrasselte, damit ich mich notieren konnte.8, 8, 8, D wie Hund, C wie Katze, A wie Apfel, 6, Null. Kann ich das zurücklesen? Ich tat es, 888DCA60, und er bestätigte es.

An diesem Punkt habe ich versucht, eine neu installierte Kopie von Windows in einer virtuellen Maschine zu booten, die ich glücklicherweise bereit hatte.

Als nächstes fragte er mich, ob ich vor meinem Computer sitze, und als ich es war, bat er mich, gleichzeitig die Windows-Taste und die R-Taste zu drücken und dann C, M, D einzugeben und Enter zu drücken. Sobald ich das getan hatte, fragte er, ob ich "assoc" eingeben und die Eingabetaste erneut drücken könnte. Der Wunsch, zu lachen, war fast unerträglich, aber meine Neugier ließ mich festhalten, was für ein Unsinn sie mir erzählen wollten.

Sie sind kein echter Geek, bis Sie Viren mit assoc.exe diagnostizieren können.

" Können Sie bitte die längste Zeile am Ende lesen? "Ich tat es und bemerkte, dass die Zahlen dieselben waren, die sie mich vorher aufschreiben ließen, als ich endlich begann, das Spiel herauszufinden.

Dieser lange Code,{ 888DCA60-FC0A-11CF-8F0F-00C04FD7D062}, ist eigentlich eine CLSID, ein global eindeutiger Bezeichner in der Windows-Registrierung. Er wird verwendet, um Windows den Ort in der Registrierung mitzuteilen, der diese Dateierweiterung verarbeitet. Weil assoc.exe, der Befehl, den sie mich gebeten haben zu tippen, ist tatsächlich verwendet, um anzuzeigen, welche Dateierweiterungen mit welchen Anwendungen verbunden sind, und überhaupt nichts mit Viren zu tun hat. Der Zusatznutzen zum Betrug ist, dass die Erweiterung ZFSendToTarget immer nah am Ende sein wird und Ihrer Großmutter erschreckend aussieht.

" Sehen Sie, das ist der gleiche Code, den wir Sie aufgeschrieben haben. Das bestätigt, dass wir Sie von Windows aus anrufen und Sie einen Virus auf Ihrem Computer haben ".Ahh. .. das wird Spaß machen." Können Sie jetzt Folgendes in das Fenster eingeben?"

Er bat mich, die Ereignisanzeige zu öffnen, indem er eventvwr eintippte und Enter drückte. Zu diesem Zeitpunkt war ich es leid, alles zu überprüfen, was ich auf dem Bildschirm sahzu ihm. Was sehen Sie in der oberen linken Ecke des Bildschirms? Was siehst du in der oberen rechten Ecke? Die schiere Präzision dieses Call-Script war beeindruckend, aber sehr ärgerlich, wenn man weiß, was als nächstes kommt.

Was natürlich das Systemereignisprotokoll nur durch kritische Fehler filtern sollte, und dann fortfahren, mir zu sagen, dass mein Computer eine Menge Fehler zeigt. Er ließ mich die Anzahl der Ereignisse ablesen, bevor er mir wissentlich sagte, dass er das gleiche an seinem Ende sehen würde.

Wussten Sie, dass dies alles Viren sind? Ich habe es wirklich nicht getan.

An dieser Stelle sagte er, dass er mich zu seinem fortgeschritteneren Tech-Support-Typen bringen würde, um das Problem weiter zu untersuchen. Ich erkannte erst später, dass dies Teil ihres Plans war, wie ein echtes Call-Center auszusehen, aber auch theoretisch( und zu Unrecht) zu vermeiden, in Schwierigkeiten zu geraten, weil ich dich betrog.

Sie werden die Kontrolle über meinen PC mit seltsamer russischer Software übernehmen? Sicher!

Der nächste Typ in der Kette - der viel einfacher zu verstehen war - brachte mich dazu, eine URL in meinen bevorzugten Browser einzugeben( ja, er fragte mich, welchen Browser ich bevorzuge), indem er einen kurzen URL-Charakter von tinyurl.com ausdrücktCharakter, und bat mich dann, es ihm zu lesen. Drücken Sie Enter, sagte er, und dann noch einmal mit dem äußerst präzisen Skript. .. " Was sehen Sie jetzt auf dem Bildschirm? "Ich werde aufgefordert, fortzufahren und auf die Schaltfläche" Ausführen "zu klicken. Daraufhin wurde das Skript ein wenig vom Ziel entfernt, da er vergessen hat, mir zu sagen, dass ich in der UAC-Eingabeaufforderung auf Ja klicken soll. Ich glaube, er hat etwas über Continue gesagt, aber ich war gespannt, was als nächstes passieren würde und sprang auf die Waffe. Ja, verbinde dich mit meiner virtuellen Maschine, du Betrüger! ( Nein, das habe ich nicht laut ausgesprochen)

Versuche das nicht zu Hause. Wir sind Profis.

Ich war überrascht zu sehen, dass sie TeamViewer nicht benutzen, wie die meisten Betrüger, von denen ich gelesen habe;Stattdessen benutzten sie ein merkwürdiges Programm namens Ammyy Admin, das anscheinend von einer Firma in Russland stammt. Der gesunde Menschenverstand sollte Ihnen alles sagen, was Sie wissen müssen, aber ein wenig Web-Forschung zeigt, dass es sich nicht um ein Unternehmen handelt, dem Sie mit Ihrem Geld vertrauen sollten. Oder dein Computer. Vermeiden. Ich tat es nicht und sagte ihm den ID-Code, klickte auf Remember and Accept, um ihn in meinen PC zu lassen. Falls Sie sich wundern, wird die IP-Adresse einem Server in den USA zugeordnet.

An diesem Punkt fuhr der Typ fort, einige Dinge zu überdenken und die meisten der gleichen Schritte zu durchlaufen, die der letzte Kerl gerade von mir verlangte. Er erklärt, dass er die Ereignisanzeige überprüfen muss, und hört sich dann beunruhigt an, was er findet. Es gibt eine Menge Viren überall auf meinem Computer, er fährt fort, mir zu erzählen, und alle diese Fehler in der Ereignisanzeige sind sehr schlecht.

Sie ziehen in den näheren

Er muss mich zu jemand anderem übertragen, um zu versuchen, zu sehen, ob sie das Problem diagnostizieren können. Der dritte Typ hat einen anderen Akzent, östlicher. Während der erste Typ fast unverständlich war und der zweite Typ deutlich sprach, war dieser Akzent so unterschiedlich, dass ich sofort den Unterschied bemerkte. Oder war es etwas anderes?

Natürlich war es mehr als nur der Akzent: Dieser Typ war nicht auf dem gleichen Skript. Er klingelte ein Bit mehr kenntnisreich, ein wenig weniger Skript und hatte keine Probleme beim Navigieren des Computers. Da merkte ich, dass er näher dran war - es ist seine Aufgabe, den Deal zu schließen, Sie davon zu überzeugen, dass Ihr Computer infiziert ist und sie es für Sie reparieren können. Das war auch, als es anfing, Spaß zu machen.

Wussten Sie überhaupt, dass der Baumbefehl existiert? Ich wette, die meisten Leute nicht.

Zuerst sagte er mir, dass er einen Scan meines Computers ausführen müsste, um herauszufinden, was vor sich geht. Er hat dies getan, indem er eine Eingabeaufforderung geöffnet und einen Befehl "tree / f" ausgeführt hat. Hast du das jemals getan? Es dauert eine ziemlich lange Zeit. .. weil es jeden einzelnen Ordner und jede Datei auf Ihrem Computer in einem "Baum" -Format auflistet, und natürlich hat es nichts mit einem Virenscan zu tun. Es ist, als würde man dir oder ls an einer Eingabeaufforderung eingeben, es zeigt nur die Liste der Dateien.

Hier wurde er wirklich knifflig. Während der Befehl ausgeführt wurde( eine gute Minute oder so auf meiner VM), tippte er "Sicherheitsverletzung..trojans gefunden. .".Natürlich werden Sie nicht sehen, was er eingegeben hat, weil alles durchläuft und die Shell diese Eingabe hält, bis die Ausgabe beendet ist. Nachdem er die Nachricht eingegeben hat, verwendet er STRG + C, um den Baumbefehl für immer zu stoppen. Und jetzt siehst du seine gefälschte Fehlermeldung. Du musst zugeben, es ist ein bisschen genial.

Dieser Typ hat Trojaner mit dem Baumbefehl gefunden. Er ist ein Zauberer!

" Ohhhh ", sagt er, " Das ist nicht gut. Sicherheitslücken und Trojaner gefunden. Weißt du was ein Trojaner ist? ".Er fährt fort, mir alles darüber zu erzählen, wie Trojaner meinen Computer infiziert haben und dass er sich weiter damit befassen muss, aber das ist definitiv keine gute Sache. Ist mein Computer jemals langsam? Erhalte ich Fehlermeldungen auf Websites?

$ 175, um meinen PC zu säubern?

Er ist sich ziemlich sicher, dass ich davon überzeugt bin, dass ich ihn ziemlich gut geführt habe, hoffe ich. Er geht zum Töten: " Du wirst jemanden brauchen, der deinen PC von all den Viren und Trojanern säubert. Sie können es entweder zu einer örtlichen Reparaturwerkstatt bringen oder wir helfen Ihnen bei der Reinigung. "Ich antworte mit" OK, aber wie viel kostet mich das? "Er fängt an, darüber zu reden, wie es 175 Dollar kosten wird, aber das wird nicht nur meinen Computer reinigen, sondern mir ein Jahr lang Unterstützung geben.

Der Reinigungsprozess dauert 1 bis 2 Stunden. Während dieser Zeit werden Windows Defender installiert und Scans meines gesamten Computers ausgeführt. Außerdem muss sichergestellt werden, dass alles bereinigt und aktualisiert wird. Er wird mich zu einer anderen Person bringen müssen, um mein Geld zu sammeln und natürlich die Reparatur zu machen.

Ich bin ein wenig skeptisch. Er kann es sagen. Was er nicht weiß ist, dass ich lache und versuche, ihn nicht hören zu lassen.

Er macht sich daran, meine Systeminformationen zu öffnen und sich umzusehen, als ich merkte, dass die Jig-Maschine hochgefahren sein könnte - ich meine, es ist eine virtuelle Maschine. Das Systemmodell ist VirtualBox, und der Name des Computers ist WIN81VM10. .. wie kann er nicht bemerken? Irgendwie tut er das nicht, und fährt fort, mir zu sagen, dass mein BIOS wirklich veraltet ist und seit 2006 nicht mehr aktualisiert wurde, völlig ignorierend, dass mein BIOS von "VirtualBox" ist. .. aber langsam beginnen sich die Teile zu verfangen. Er fängt an, mich zu fragen, als ich den Computer bekam, als ich das letzte Mal aktualisiert habe. Er tut sein Bestes, um mich zu verkaufen, aber an diesem Punkt lache ich wie verrückt und versuche, das Telefon abzudecken, damit er es nicht bemerkt.

"Ihr BIOS ist wirklich veraltet, es ist von 2006"

Er bemerkt, dass die virtuelle Maschine nur 1,49 GB RAM hat, sicherlich nicht normal, und nicht wirklich in einem echten Computer möglich. Er versucht immer noch, mir zu sagen, dass es ein Problem mit meinem Computer gibt, aber er rätselt über den RAM, und dann erkennt er, dass wenn ich "nur den PC gekauft habe, es kein BIOS von 2006 hätte.

kann ich"nimm es nicht mehr, also frage ich ihn einfach: "Zahlen die Leute wirklich $ 175 für diesen Betrug?".Er weiß, dass die Uhr hochgefahren ist, und fängt für einen kurzen Moment an, nervös zu lachen, aber er weigert sich, den Charakter zu brechen oder mir mehr Informationen zu geben. Er beginnt zu fragen, warum ich ihn auf der Erde beschuldige, jemanden zu betrügen. Er versucht nur, mir zu helfen, die Viren und Trojaner auf meinem Computer zu entfernen. Komischerweise beginnt er die Definition von "Betrug" aus dem Wörterbuch zu lesen und sagt mir dann, dass ich ein schlechter Lügner bin. Er wusste die ganze Zeit, dass ich ein Computermensch war.

Ich frage ihn, wo er wirklich ist, sagt er Sacramento. Ich weise darauf hin, dass seine Vorwahl aus Atlanta stammt und er sagt, dass er keine Zeit hat, dumme Fragen zu beantworten. Ich frage, ob er wirklich von Microsoft ist, wie er es behauptet hat. Das ist, wenn er darauf hinweist, dass er nie etwas dergleichen gesagt hat. Er hat mich nie nach meiner Kreditkarte gefragt oder versucht, mir das Geld aus der Tasche zu ziehen. Er macht nichts falsch. Wenn es ein Betrug wäre, warum hätte er vorgeschlagen, dass ich es in eine Werkstatt bringe?(Er wiederholt dies mindestens 10 mal. Das kann kein Zufall sein).Und das ist das Spiel, an dem er sich mindestens 15 Minuten lang versucht, ihn dazu zu bringen, etwas über seine Operation zuzugeben.

Sie sehen, der erste Typ ruft an und behauptet, er sei von "Windows" und Sie haben Viren. Dann bringt dich der zweite Mann dazu, dich zu verbinden, und dann sagt dir der dritte, dass es dich Geld kosten wird, und bringt dich zum vierten Mann, von dem wir annehmen, dass er dein Geld nimmt, nichts nützliches mit deinem PC macht, wahrscheinlich Trojaner installiertund dann fühlst du dich wie ein Trottel.

Und das ist die Geschichte davon, wie ich 41 Minuten mit einem Betrüger vergeudet habe.