Gestern rief mich ein Kunde an, er hatte einen Anruf von Micosoft bekommen und sei jetzt unsicher, ob das alles so seine Richtigkeit gehabt habe. Hatte es natürlich nicht, aber ich fand das Vorgehen durchaus interessant und man muss als Blogger ja auch seinem Lehrauftrag nachgehen, also schreib ich’s mal auf:

Er bekam also einen Anruf und die Anruferin erklärte ihm in dialekt-gefärbtem Englisch, sie rufe »von Windows« an. Man bekäme dort bei Windows dauernd Fehlermeldungen von ihm, weil sein Rechner mit vielen, vielen Viren befallen wäre und die Fehlermeldungen liefen jetzt alle dort bei Microsoft auf.

Danach führte ihn die Anruferin durch ein paar Fenster, die alle jeweils den Virenbefall des Rechners zeigen sollten – konkret rief er jeweils durch [Windows-Taste]-R das »Ausführen«-Fenster auf und öffnete von dort den Prefetch- und den Inf-Ordner sowie eines der Windows-Verwaltungs-Tools. Jedes Mal, wenn in den Fenster auch nur irgendetwas erschien (und irgendetwas erscheint natürlich immer), behauptete die Anruferin, das seien alles Viren.
Abschließend sollte mein Kunde dann – ebenfalls im »Ausführen«-Fenster »www.ammyy.com« eingeben und auf der erscheinenden Website dann das Tool herunterladen.
Da brach er dann – obwohl ihm nicht klar war, dass er nun im Web war – zum Glück ab. Zum Glück, denn es handelt sich bei Ammyy ja um eine Fernwartungssoftware, die vermutlich im nächsten Schritt der Anruferin uneingeschränkten Zugriff auf seinen Rechner erlaubt hätte.

Das Vorgehen ist natürlich recht klug: Die meisten Anwender haben schon einmal ein Fenster gesehen, in dem sie nach einem Absturz des Rechners oder eines Programms gefragt werden, ob sie die Info darüber an Microsoft senden möchten – die Behauptung, dass Infos über Fehlfunktionen bei Microsoft ankommen wirkt also erst einmal glaubhaft.
Der Shortcut [Windows]-R (und Shortcuts überhaupt) sind kaum jemand geläufig, das »Ausführen«-Fenster auch eher nicht.
Auch die aufgerufenen Ordner kennt niemand, der sich nur in Anwender-Software wie Word, Excel oder seinem eMail-Programm bewegt; die Dateinamen dort sind eher kryptisch und die Menge an Dateien im inf-Ordner ist deutlich höher, als ein Anwender das aus eigenen Explorer-Fenstern kennt.
User, die Webadressen normalerweise ins Suchfeld von Google eingeben, wisen dann auch nicht, dass man URLs ebenfalls ins »Ausführen«-Fenster eingeben kann und so genau so ins Web gelangt, wie mit dem Start des Browsers.

Bei Nachfragen wiederholte die Anruferin ständig, das Opfer kenne ich wohl nicht richtig aus, bei Microsoft bekäme man von ihm eine Menge Fehlermeldung und man würde »lots of trouble« verursachen. Es wurde also auch auf das Gewissen und die Unkenntnis des angerufenen Druck ausgeübt.

Insgesamt also ein psychologisch recht ausgeklügeltes Vorgehen, das

1. sowohl auf dem Unwissen der meisten User
2. als auch erst recht auf dem schlechten Gewissen über eben dieses Unwissen
3. und auch auf dem schlechten Gewissen, dass diese Unkenntnis jetzt anderen Arbeit verursacht

aufsetzt.

Ist es noch nötig zu sagen, das Micosoft natürlich nie jemanden anruft, um ihn dann per Telefon zu irgendeiner Software-Installation zu lotsen?
Ok, sicherheitshalber: Micosoft wird nie jemanden anrufen und ihn telefonisch zu irgendeiner Installation bewegen. Microsoft bekommt keine Meldungen, wenn ein Rechner einen Virus hat.
Ich persönlich bezweifle sogar, dass die seltsamen Fehlermeldungen, die man nach einem Absturz senden kann irgendwo landen, geschweige denn gelesen werden, aber das ist eine andere Geschichte.

Noch ein paar Links:

• Microsoft warnt vor falschen Telefon-Support-Mitarbeitern
• Bei Anruf Virus: Kriminelle geben sich als Microsoft-Mitarbeiter aus