Sehr geiler Bericht von einem Golem Redakteur, lesen und lachen (oder weinen):
Wieder einmal wollen mir Abzocker am Telefon weismachen, dass mein Windows-Rechner gehackt ist und sie ihn reparieren müssen. Jetzt lasse ich sie mal machen. Ein Erlebnisbericht.
Die gesamte vergangene Woche haben mich Anrufer mit teils ellenlangen Nummern genervt. Einmal war es eine 0800er-Nummer, die ich geistesabwesend doch annahm. Prompt erklang eine Stimme mit deutlichem Akzent: Er sei ein Mitarbeiter Microsofts. Die Sicherheit meines Computers sei ernsthaft gefährdet. Seit mehreren Jahren treiben solche Abzocker ihr Unwesen, telefonieren weltweit Telefonlisten ab.
Die Masche ist immer die gleiche: Am Telefon meldet sich ein angeblicher Mitarbeiter von Microsoft und warnt, dass der Rechner kompromittiert sei. Er verlangt Zugriff auf den Computer per Fernwartungssoftware und will ihn reparieren. Wer sich auf die vermeintliche Hilfe einlässt, muss nicht nur einem Fremden Zugriff auf seinen Computer gewähren, sondern damit rechnen, dass die vermeintliche Sicherheitssoftware Trojaner und sonstige Schadsoftware enthält, wie zahlreiche Berichte im Internet belegen.
Offenbar lohnt sich die Masche der Scammer trotzdem immer noch. Ich habe einen von ihnen in meinen Honigtopf gelockt - und dabei lustige Dinge erlebt. Was ich dabei gelernt habe: Google hat mich gehackt, der Befehl "tree" scannt meinen Computer, und mit "color c" kann man Leute in Panik versetzen.
Am Samstag bin ich unaufmerksam
Schon vor einem Jahr hatte ich mit einem solchen Betrüger das zweifelhafte Vergnügen. Eigentlich hatte ich gehofft, mein damaliger Streich, den Anrufer auf ein Linux-System loszulassen, würde reichen, um meine Telefonnummer auf eine schwarze Liste zu setzen. Doch der neue ist wieder ahnungslos. Er möchte sich mit meiner eindeutigen Windows-ID-Nummer verifizieren. Genervt frage ich ihn, wie das denn sein könne, auf meinem Rechner laufe doch Linux. Nach einem kurzen "Oh" wird das Gespräch abrupt beendet.
Offenbar geben die Betrüger aber nicht so leicht auf, oder der eine Telefonist weiß nicht, was der andere tut. Denn an den nächsten Tagen wiederholten sich die Anrufe mit jeweils wechselnden, aber ellenlangen Telefonnummern. Ich lasse immer das Telefon klingeln. Am Mittwoch, am Donnerstag und am Freitag. Doch am Samstag bin ich unaufmerksam. Diesmal erscheint eine nur fünfstellige Telefonnummer auf dem Display meines Telefons. Ich hebe geistesabwesend ab. Da ist er wieder, der freundliche, bestimmte und besorgte vorgebliche Microsoft-Mitarbeiter. Mein Rechner sei kompromittiert. Hacker aus Malaysia hätten von mir unbemerkt Schadsoftware installiert. Er wolle mir seine Hilfe anbieten.
Ich treffe eine schnelle Entscheidung. Eigentlich bin ich gerade dabei, Bärlauchpesto für das abendliche Spargelessen zu machen. Mir fällt aber ein, dass ich gerade ein frisches Windows 7 in einer virtuellen Maschine aufgesetzt habe. Die virtuelle Maschine ist im internen Netzwerk von Virtualbox per NAT isoliert. Es ist keine Software installiert, es liegen keine persönlichen Daten darin. Also könnte ich den Abzocker sich dort austoben lassen. Mal sehen, was passiert. "Oh nein", sage ich besorgt. "Was soll ich denn jetzt tun?"
Ab in meinen Honigtopf!
Ich starte die virtuelle Maschine und gebe mich am Telefon möglichst besorgt - ein williges Opfer. Mein Gegenüber liest bereits eine Nummer vor, mit der er sich verifizieren will. Ich muss ihn bremsen, Windows will noch Updates installieren. Mein Rechner sei nicht besonders schnell, beschwichtige ich ihn und hoffe, er merkt später nicht, dass mein Windows in einer virtuellen Maschine läuft.
Ich folge seinen Anweisungen, öffne ein Kommandozeilenfenster und gebe den Befehl assoc ein. Der listet eigentlich sämtliche bei Windows registrierten Dateiendungen auf. Ich soll auf die vorletzte Zeile der Ausgabe achten. Dort steht die ClassID (CLSID) der Verknüpfung ZIP-komprimierter Ordner im Kontextmenü Senden an. Sie ist bei allen Windows-Versionen identisch. Der Anrufer behauptet das Gegenteil: Es sei die eindeutige Identifikationsnummer meiner Windows-Installation, die Microsoft kenne. Ich verzichte diesmal darauf nachzufragen, woher Microsoft meine Telefonnummer haben soll. Bisher hat diese wiederholte Nachfrage den Anrufer jedes Mal abgeschreckt.
Mit meinem Windows stimmt was nicht
Jetzt soll ich die Ereignisanzeige öffnen. Mein Anrufer will mir zeigen, dass mein System gefährdet ist. Dort protokolliert Windows sämtliche Systemfehler. In meinem virtuellen Windows sind das tatsächlich ziemlich viele. Das liegt unter anderem daran, dass der identische Rechnername der vorangegangenen Installation noch irgendwo im virtuellen Netzwerk herumgeistert. Außerdem fehlen noch etliche Aktualisierungen.
Die einzelnen Fehlermeldungen interessieren meinen Anrufer aber nicht, ich soll nur die Gesamtzahl der Meldungen mitteilen. Das seien aber ziemlich viele, sagt er besorgt. Das deute auf einen Hackerangriff hin. Die Fehler müssten unbedingt schnell behoben werden. Ich höre ihn im Hintergrund mit einem Kollegen sprechen.
Jetzt soll ich eine von Microsoft zertifizierte Software installieren, damit sich mein vermeintlicher Helfer auf meinem Rechner umgucken kann. Es handelt sich um die legitime Fernwartungssoftware Supremo, die kostenlos genutzt werden kann. Ich befolge die akribisch und geduldig beschriebenen Schritte zum Download und zum Starten der Software. Jetzt übergibt der Anrufer an einen Experten, der deutlich akzentfreieres Englisch spricht. Mich erstaunt aber, dass beide offenbar keine Probleme damit haben, im Zweifel die deutsche Übersetzung des Betriebssystems zu nennen. Offenbar haben sie auch eine deutschsprachige Windows-Version vor sich.
Zugriff per Fernwartungssoftware
Jetzt verschafft sich der zweite Experte mit meiner Erlaubnis über die Fernwartungssoftware Zugriff auf meinen virtuellen Rechner. Er stellt sich als Harry vor. Harry zeigt mir noch mal in der Ereignisanzeige das umfangreiche Fehlerprotokoll und erklärt mir wieder, dass mein Rechner vermutlich von Hackern angegriffen wurde. Da ich ja aus Deutschland stamme, ruft der fürsorgliche Betrüger den Google-Übersetzer auf und tippt dort seine Schritte auf Englisch ein, die ich - ins Deutsche übersetzt - mitlesen darf. Und auch abfilmen, denke ich mir.
Er wolle mir jetzt zeigen, dass auch meine E-Mail-Adresse kompromittiert sei, sagt Harry. Ich bin gespannt. Er ruft den Markup Validation Service des World Wide Web Consortiums (W3C) im Browser auf. Der dient eigentlich dazu, HTML-Code auf Webseiten zu prüfen und nicht E-Mail-Adressen.
Ich gebe auf Harrys Anweisung meine E-Mail-Adresse ein. Es handelt sich um eine GMX-Adresse, die ich als Spam-Köder verwende. Statt meiner E-Mail-Adresse prüft die W3C-Webseite jetzt aber die Webseite von GMX und spuckt dabei allerhand Fehler aus. Meine E-Mail-Adresse sei auch gehackt, sagt Harry aufgeregt und scrollt zum Beweis durch die lange Fehlerliste. Zwanzig Minuten telefonieren wir schon, denke ich, verdammt, ich muss noch Spargel und Kartoffeln aufsetzen und mein Pesto machen.
Doch was Harry mir jetzt mitteilt, macht mich wieder aufmerksam. Er will mein Computer scannen.
Hütchenspiele im Terminal
Oha! Will Harry jetzt irgendeine dubiose Software auf meinem Rechner installieren? Nee. Stattdessen öffnet er ein zweites Terminalfenster, hangelt sich zum Stammverzeichnis hinunter und gibt seinen Scan-Befehl ein: tree. Tree? Ist das sein Ernst? Der Befehl listet doch nur sämtliche Dateien und Ordner auf, denke ich mir. Harry redet weiter ohne Unterlass auf mich ein. Der Scan werde zeigen, dass auch mein Computer gehackt sei, sagt er.
Plötzlich ändert sich die Schriftfarbe im Terminalfenster von Weiß zu Rot und die Zeile "Your Computer has been hacked - check your certificate" erscheint. Harry ist wieder aufgeregt. Mir fällt auf, dass im Terminal ein Fehler ausgegeben wurde und der Befehl color c zu sehen ist. Harry hat offenbar per Copy and Paste eine kleine und schlecht programmierte Batch-Datei eingegeben und ausgeführt, wie ich beim nachträglichen Betrachten des Videos sehe. Die spuckt die von ihm verfasste Warnung aus, mein Computer sei gehackt, und ändert die Schriftfarbe in warnendes Rot.
Deutsche Hacker auf meinem Rechner
Die Hacker seien vermutlich gerade auf meinem Rechner aktiv, sagte Harry und gibt als Beweis den Befehl netstat ein. Der listet aktive Netzwerkverbindungen auf. Hier sind es die Server von Google. Kein Wunder, die Webseite ist im Browser ja geöffnet. Es seien sogar deutsche Hacker, sagt mir Harry. Sie seien wohl aus Berlin, folgert er noch aus dem Namen des Servers.
Ob ich wisse, was ein Zertifikat sei und was seine bisherigen Untersuchungen bedeuteten, will Harry wissen. Ich gebe weiterhin den unbedarften Computerbenutzer. Deutsche Hacker hätten mein legitimes Microsoft-Zertifikat durch ihr eigenes ersetzt und damit meinen Rechner übernommen. Jetzt werde mein Computer von den Hackern für ihre illegalen Zwecke missbraucht, erklärt und tippt Harry.
Falsche Zertifikate
Als Beweis ruft Harry jetzt die Zertifikatsverwaltung von Windows auf. Dort klickt er unter Vertrauenswürdige Stammzertifikate auf den Eintrag Microsoft Authenticode(tm) Root Authority. Im Fenster teilt mir Windows mit, dass dieses Zertifikat abgelaufen sei. Tatsächlich ist das der Fall, wie mir Microsofts Supportseiten mitteilen. Das Zertifikat wurde ursprünglich für Windows XP und Windows Server 2003 ausgestellt und ist aus Kompatibilitätsgründen auch noch in Windows 7 enthalten. Es stellt sicher, dass Code und E-Mails, die damals damit signiert wurden, auch unter späteren Windows-Versionen als legitim angesehen werden.
Alles ist kaputt!
Jetzt kommt Harry zum Punkt: Das Zertifikat sei der Grund für die Probleme auf meinem Computer. Ich müsse es erneuern. Das könne ich durch eine erneute Registrierung meiner Windows-Installation erledigen. Außerdem brauche ich neue Software. Als Beweis zeigt Harry mir noch die Liste beendeter Dienste in der Systemkonfiguration. Dass diese Dienste normalerweise nur einmalig gestartet und dann beendet werden, sagt mir Harry nicht. Und ich brauche noch eine Firewall. Harry verschweigt mir, dass Windows eine hat. Ich frage nicht nach. Ah, und es muss noch unbedingt ein Anti-Hacking-Gerät installiert werden, rät mir Harry. Und er bietet mir Hilfe und Support rund um die Uhr an. Das wird vermutlich teuer, denke ich.
Hilfe zum Vorzugspreis
Allein das neue Zertifikat koste normalerweise über 1.000 Euro, sagt mir Harry. Er könne mir aber in Microsofts Namen einen Rabatt anbieten. Das Gesamtpaket im Jahresabonnement koste schlappe 160 Euro. Lebenslanger Support koste mich aber nur 325 Euro. Das gelte für mein gesamtes Leben, betont Harry, nicht für die Lebensdauer meines Rechners. Und Windows 10 gebe es obendrein noch gratis. Wow, denke ich. Schnäppchen!
Inzwischen telefoniere ich schon fast eine Dreiviertelstunde mit Harry. Verdammt, mein Pesto. Aber Harry fesselt mich ein weiteres Mal ans Telefon. Wie ich bezahlen wolle, online oder offline, fragt er. Zahlen will ich zwar nichts, will aber trotzdem das Spiel mit Harry noch ein wenig weiterspielen. Ich hoffe, noch einen Blick auf die Software zu bekommen, die Harry anbietet. Offline, sage ich vorsichtshalber.
Offline-Zahlung möglich
Ah, sagt Harry. Ob ich Western Union kenne? Ich gebe auf Harrys Anweisung eine falsche Adresse in ein Suchfeld auf der Webseite des weltweiten Zahlungsanbieters ein und bekomme eine Liste nahegelegener Filialen. Ich soll dort die Überweisung tätigen. Jetzt gibt mir Harry noch ein paar Tipps, um weitere Kosten zu sparen. Es gebe drei Länder, in die Überweisungen an Microsoft getätigt werden können: die USA, China und Indien. Eine Überweisung in die USA koste 160 Euro, nach China 40 und nach Indien nur 25 Euro. Ich entscheide mich natürlich für die günstigste Variante.
Normalerweise koste ein geschäftlicher Transfer deutlich mehr, deshalb solle die Überweisung direkt an einen zertifizierten Mitarbeiter gehen, sagt Harry und schreibt mir einen Namen in eine inzwischen geöffnete Textdatei auf meinem Rechner. Und ich solle deshalb tunlichst vermeiden, im Western-Union-Büro den Namen Microsoft zu erwähnen. Ich solle gleich losgehen und die Überweisung tätigen, rät Harry. Den Rechner könne ich laufenlassen und bei meiner Rückkehr einfach in die geöffnete Textdatei den Satz "Ich bin wieder da" eintippen. Jetzt will ich das Ganze beenden. Mein Pesto wartet. Inzwischen sind anderthalb Stunden vergangen.
Harrys Rache
Auf das, was jetzt passiert, bin ich nicht gefasst. Ich erkläre Harry, dass ich seine Abzocke kenne und keinesfalls auf seine Masche reinfallen werde. Außerdem gebe ich mich als IT-Journalist zu erkennen, während ich beginne, die offenen Fenster auf dem Rechner zu schließen.
Harry wird jetzt wütend. Er droht damit, dafür zu sorgen, dass meine Windows-Installation ungültig wird. Bevor ich die Fernwartung kappen kann, öffnet Harry noch schnell ein Fenster und gibt ein Passwort für den Systemstart ein. Ich sei jetzt aus meinem System ausgesperrt, keift Harry noch ins Telefon, bevor ich auflege und die Fernwartungssoftware schließe. Zu spät. Harry hat mich im letzten Moment doch noch überrumpelt.
Ich setze meine virtuelle Maschine auf den Ursprungszustand zurück. Und ärgere mich im Nachhinein, dass ich nicht doch beobachtet habe, was Harry noch so alles auf meinem Rechner anstellt, während ich angeblich zu Western Union tigere. Aber früher oder später wird ja sicher wieder jemand anrufen, der mir mit meinem kaputten Windows helfen will.
Quelle: golem.de
Wieder einmal wollen mir Abzocker am Telefon weismachen, dass mein Windows-Rechner gehackt ist und sie ihn reparieren müssen. Jetzt lasse ich sie mal machen. Ein Erlebnisbericht.
Die gesamte vergangene Woche haben mich Anrufer mit teils ellenlangen Nummern genervt. Einmal war es eine 0800er-Nummer, die ich geistesabwesend doch annahm. Prompt erklang eine Stimme mit deutlichem Akzent: Er sei ein Mitarbeiter Microsofts. Die Sicherheit meines Computers sei ernsthaft gefährdet. Seit mehreren Jahren treiben solche Abzocker ihr Unwesen, telefonieren weltweit Telefonlisten ab.
Die Masche ist immer die gleiche: Am Telefon meldet sich ein angeblicher Mitarbeiter von Microsoft und warnt, dass der Rechner kompromittiert sei. Er verlangt Zugriff auf den Computer per Fernwartungssoftware und will ihn reparieren. Wer sich auf die vermeintliche Hilfe einlässt, muss nicht nur einem Fremden Zugriff auf seinen Computer gewähren, sondern damit rechnen, dass die vermeintliche Sicherheitssoftware Trojaner und sonstige Schadsoftware enthält, wie zahlreiche Berichte im Internet belegen.
Offenbar lohnt sich die Masche der Scammer trotzdem immer noch. Ich habe einen von ihnen in meinen Honigtopf gelockt - und dabei lustige Dinge erlebt. Was ich dabei gelernt habe: Google hat mich gehackt, der Befehl "tree" scannt meinen Computer, und mit "color c" kann man Leute in Panik versetzen.
Am Samstag bin ich unaufmerksam
Schon vor einem Jahr hatte ich mit einem solchen Betrüger das zweifelhafte Vergnügen. Eigentlich hatte ich gehofft, mein damaliger Streich, den Anrufer auf ein Linux-System loszulassen, würde reichen, um meine Telefonnummer auf eine schwarze Liste zu setzen. Doch der neue ist wieder ahnungslos. Er möchte sich mit meiner eindeutigen Windows-ID-Nummer verifizieren. Genervt frage ich ihn, wie das denn sein könne, auf meinem Rechner laufe doch Linux. Nach einem kurzen "Oh" wird das Gespräch abrupt beendet.
Offenbar geben die Betrüger aber nicht so leicht auf, oder der eine Telefonist weiß nicht, was der andere tut. Denn an den nächsten Tagen wiederholten sich die Anrufe mit jeweils wechselnden, aber ellenlangen Telefonnummern. Ich lasse immer das Telefon klingeln. Am Mittwoch, am Donnerstag und am Freitag. Doch am Samstag bin ich unaufmerksam. Diesmal erscheint eine nur fünfstellige Telefonnummer auf dem Display meines Telefons. Ich hebe geistesabwesend ab. Da ist er wieder, der freundliche, bestimmte und besorgte vorgebliche Microsoft-Mitarbeiter. Mein Rechner sei kompromittiert. Hacker aus Malaysia hätten von mir unbemerkt Schadsoftware installiert. Er wolle mir seine Hilfe anbieten.
Ich treffe eine schnelle Entscheidung. Eigentlich bin ich gerade dabei, Bärlauchpesto für das abendliche Spargelessen zu machen. Mir fällt aber ein, dass ich gerade ein frisches Windows 7 in einer virtuellen Maschine aufgesetzt habe. Die virtuelle Maschine ist im internen Netzwerk von Virtualbox per NAT isoliert. Es ist keine Software installiert, es liegen keine persönlichen Daten darin. Also könnte ich den Abzocker sich dort austoben lassen. Mal sehen, was passiert. "Oh nein", sage ich besorgt. "Was soll ich denn jetzt tun?"
Ab in meinen Honigtopf!
Ich starte die virtuelle Maschine und gebe mich am Telefon möglichst besorgt - ein williges Opfer. Mein Gegenüber liest bereits eine Nummer vor, mit der er sich verifizieren will. Ich muss ihn bremsen, Windows will noch Updates installieren. Mein Rechner sei nicht besonders schnell, beschwichtige ich ihn und hoffe, er merkt später nicht, dass mein Windows in einer virtuellen Maschine läuft.
Ich folge seinen Anweisungen, öffne ein Kommandozeilenfenster und gebe den Befehl assoc ein. Der listet eigentlich sämtliche bei Windows registrierten Dateiendungen auf. Ich soll auf die vorletzte Zeile der Ausgabe achten. Dort steht die ClassID (CLSID) der Verknüpfung ZIP-komprimierter Ordner im Kontextmenü Senden an. Sie ist bei allen Windows-Versionen identisch. Der Anrufer behauptet das Gegenteil: Es sei die eindeutige Identifikationsnummer meiner Windows-Installation, die Microsoft kenne. Ich verzichte diesmal darauf nachzufragen, woher Microsoft meine Telefonnummer haben soll. Bisher hat diese wiederholte Nachfrage den Anrufer jedes Mal abgeschreckt.
Mit meinem Windows stimmt was nicht
Jetzt soll ich die Ereignisanzeige öffnen. Mein Anrufer will mir zeigen, dass mein System gefährdet ist. Dort protokolliert Windows sämtliche Systemfehler. In meinem virtuellen Windows sind das tatsächlich ziemlich viele. Das liegt unter anderem daran, dass der identische Rechnername der vorangegangenen Installation noch irgendwo im virtuellen Netzwerk herumgeistert. Außerdem fehlen noch etliche Aktualisierungen.
Die einzelnen Fehlermeldungen interessieren meinen Anrufer aber nicht, ich soll nur die Gesamtzahl der Meldungen mitteilen. Das seien aber ziemlich viele, sagt er besorgt. Das deute auf einen Hackerangriff hin. Die Fehler müssten unbedingt schnell behoben werden. Ich höre ihn im Hintergrund mit einem Kollegen sprechen.
Jetzt soll ich eine von Microsoft zertifizierte Software installieren, damit sich mein vermeintlicher Helfer auf meinem Rechner umgucken kann. Es handelt sich um die legitime Fernwartungssoftware Supremo, die kostenlos genutzt werden kann. Ich befolge die akribisch und geduldig beschriebenen Schritte zum Download und zum Starten der Software. Jetzt übergibt der Anrufer an einen Experten, der deutlich akzentfreieres Englisch spricht. Mich erstaunt aber, dass beide offenbar keine Probleme damit haben, im Zweifel die deutsche Übersetzung des Betriebssystems zu nennen. Offenbar haben sie auch eine deutschsprachige Windows-Version vor sich.
Zugriff per Fernwartungssoftware
Jetzt verschafft sich der zweite Experte mit meiner Erlaubnis über die Fernwartungssoftware Zugriff auf meinen virtuellen Rechner. Er stellt sich als Harry vor. Harry zeigt mir noch mal in der Ereignisanzeige das umfangreiche Fehlerprotokoll und erklärt mir wieder, dass mein Rechner vermutlich von Hackern angegriffen wurde. Da ich ja aus Deutschland stamme, ruft der fürsorgliche Betrüger den Google-Übersetzer auf und tippt dort seine Schritte auf Englisch ein, die ich - ins Deutsche übersetzt - mitlesen darf. Und auch abfilmen, denke ich mir.
Er wolle mir jetzt zeigen, dass auch meine E-Mail-Adresse kompromittiert sei, sagt Harry. Ich bin gespannt. Er ruft den Markup Validation Service des World Wide Web Consortiums (W3C) im Browser auf. Der dient eigentlich dazu, HTML-Code auf Webseiten zu prüfen und nicht E-Mail-Adressen.
Ich gebe auf Harrys Anweisung meine E-Mail-Adresse ein. Es handelt sich um eine GMX-Adresse, die ich als Spam-Köder verwende. Statt meiner E-Mail-Adresse prüft die W3C-Webseite jetzt aber die Webseite von GMX und spuckt dabei allerhand Fehler aus. Meine E-Mail-Adresse sei auch gehackt, sagt Harry aufgeregt und scrollt zum Beweis durch die lange Fehlerliste. Zwanzig Minuten telefonieren wir schon, denke ich, verdammt, ich muss noch Spargel und Kartoffeln aufsetzen und mein Pesto machen.
Doch was Harry mir jetzt mitteilt, macht mich wieder aufmerksam. Er will mein Computer scannen.
Hütchenspiele im Terminal
Oha! Will Harry jetzt irgendeine dubiose Software auf meinem Rechner installieren? Nee. Stattdessen öffnet er ein zweites Terminalfenster, hangelt sich zum Stammverzeichnis hinunter und gibt seinen Scan-Befehl ein: tree. Tree? Ist das sein Ernst? Der Befehl listet doch nur sämtliche Dateien und Ordner auf, denke ich mir. Harry redet weiter ohne Unterlass auf mich ein. Der Scan werde zeigen, dass auch mein Computer gehackt sei, sagt er.
Plötzlich ändert sich die Schriftfarbe im Terminalfenster von Weiß zu Rot und die Zeile "Your Computer has been hacked - check your certificate" erscheint. Harry ist wieder aufgeregt. Mir fällt auf, dass im Terminal ein Fehler ausgegeben wurde und der Befehl color c zu sehen ist. Harry hat offenbar per Copy and Paste eine kleine und schlecht programmierte Batch-Datei eingegeben und ausgeführt, wie ich beim nachträglichen Betrachten des Videos sehe. Die spuckt die von ihm verfasste Warnung aus, mein Computer sei gehackt, und ändert die Schriftfarbe in warnendes Rot.
Deutsche Hacker auf meinem Rechner
Die Hacker seien vermutlich gerade auf meinem Rechner aktiv, sagte Harry und gibt als Beweis den Befehl netstat ein. Der listet aktive Netzwerkverbindungen auf. Hier sind es die Server von Google. Kein Wunder, die Webseite ist im Browser ja geöffnet. Es seien sogar deutsche Hacker, sagt mir Harry. Sie seien wohl aus Berlin, folgert er noch aus dem Namen des Servers.
Ob ich wisse, was ein Zertifikat sei und was seine bisherigen Untersuchungen bedeuteten, will Harry wissen. Ich gebe weiterhin den unbedarften Computerbenutzer. Deutsche Hacker hätten mein legitimes Microsoft-Zertifikat durch ihr eigenes ersetzt und damit meinen Rechner übernommen. Jetzt werde mein Computer von den Hackern für ihre illegalen Zwecke missbraucht, erklärt und tippt Harry.
Falsche Zertifikate
Als Beweis ruft Harry jetzt die Zertifikatsverwaltung von Windows auf. Dort klickt er unter Vertrauenswürdige Stammzertifikate auf den Eintrag Microsoft Authenticode(tm) Root Authority. Im Fenster teilt mir Windows mit, dass dieses Zertifikat abgelaufen sei. Tatsächlich ist das der Fall, wie mir Microsofts Supportseiten mitteilen. Das Zertifikat wurde ursprünglich für Windows XP und Windows Server 2003 ausgestellt und ist aus Kompatibilitätsgründen auch noch in Windows 7 enthalten. Es stellt sicher, dass Code und E-Mails, die damals damit signiert wurden, auch unter späteren Windows-Versionen als legitim angesehen werden.
Alles ist kaputt!
Jetzt kommt Harry zum Punkt: Das Zertifikat sei der Grund für die Probleme auf meinem Computer. Ich müsse es erneuern. Das könne ich durch eine erneute Registrierung meiner Windows-Installation erledigen. Außerdem brauche ich neue Software. Als Beweis zeigt Harry mir noch die Liste beendeter Dienste in der Systemkonfiguration. Dass diese Dienste normalerweise nur einmalig gestartet und dann beendet werden, sagt mir Harry nicht. Und ich brauche noch eine Firewall. Harry verschweigt mir, dass Windows eine hat. Ich frage nicht nach. Ah, und es muss noch unbedingt ein Anti-Hacking-Gerät installiert werden, rät mir Harry. Und er bietet mir Hilfe und Support rund um die Uhr an. Das wird vermutlich teuer, denke ich.
Hilfe zum Vorzugspreis
Allein das neue Zertifikat koste normalerweise über 1.000 Euro, sagt mir Harry. Er könne mir aber in Microsofts Namen einen Rabatt anbieten. Das Gesamtpaket im Jahresabonnement koste schlappe 160 Euro. Lebenslanger Support koste mich aber nur 325 Euro. Das gelte für mein gesamtes Leben, betont Harry, nicht für die Lebensdauer meines Rechners. Und Windows 10 gebe es obendrein noch gratis. Wow, denke ich. Schnäppchen!
Inzwischen telefoniere ich schon fast eine Dreiviertelstunde mit Harry. Verdammt, mein Pesto. Aber Harry fesselt mich ein weiteres Mal ans Telefon. Wie ich bezahlen wolle, online oder offline, fragt er. Zahlen will ich zwar nichts, will aber trotzdem das Spiel mit Harry noch ein wenig weiterspielen. Ich hoffe, noch einen Blick auf die Software zu bekommen, die Harry anbietet. Offline, sage ich vorsichtshalber.
Offline-Zahlung möglich
Ah, sagt Harry. Ob ich Western Union kenne? Ich gebe auf Harrys Anweisung eine falsche Adresse in ein Suchfeld auf der Webseite des weltweiten Zahlungsanbieters ein und bekomme eine Liste nahegelegener Filialen. Ich soll dort die Überweisung tätigen. Jetzt gibt mir Harry noch ein paar Tipps, um weitere Kosten zu sparen. Es gebe drei Länder, in die Überweisungen an Microsoft getätigt werden können: die USA, China und Indien. Eine Überweisung in die USA koste 160 Euro, nach China 40 und nach Indien nur 25 Euro. Ich entscheide mich natürlich für die günstigste Variante.
Normalerweise koste ein geschäftlicher Transfer deutlich mehr, deshalb solle die Überweisung direkt an einen zertifizierten Mitarbeiter gehen, sagt Harry und schreibt mir einen Namen in eine inzwischen geöffnete Textdatei auf meinem Rechner. Und ich solle deshalb tunlichst vermeiden, im Western-Union-Büro den Namen Microsoft zu erwähnen. Ich solle gleich losgehen und die Überweisung tätigen, rät Harry. Den Rechner könne ich laufenlassen und bei meiner Rückkehr einfach in die geöffnete Textdatei den Satz "Ich bin wieder da" eintippen. Jetzt will ich das Ganze beenden. Mein Pesto wartet. Inzwischen sind anderthalb Stunden vergangen.
Harrys Rache
Auf das, was jetzt passiert, bin ich nicht gefasst. Ich erkläre Harry, dass ich seine Abzocke kenne und keinesfalls auf seine Masche reinfallen werde. Außerdem gebe ich mich als IT-Journalist zu erkennen, während ich beginne, die offenen Fenster auf dem Rechner zu schließen.
Harry wird jetzt wütend. Er droht damit, dafür zu sorgen, dass meine Windows-Installation ungültig wird. Bevor ich die Fernwartung kappen kann, öffnet Harry noch schnell ein Fenster und gibt ein Passwort für den Systemstart ein. Ich sei jetzt aus meinem System ausgesperrt, keift Harry noch ins Telefon, bevor ich auflege und die Fernwartungssoftware schließe. Zu spät. Harry hat mich im letzten Moment doch noch überrumpelt.
Ich setze meine virtuelle Maschine auf den Ursprungszustand zurück. Und ärgere mich im Nachhinein, dass ich nicht doch beobachtet habe, was Harry noch so alles auf meinem Rechner anstellt, während ich angeblich zu Western Union tigere. Aber früher oder später wird ja sicher wieder jemand anrufen, der mir mit meinem kaputten Windows helfen will.
Quelle: golem.de
Zuletzt bearbeitet: