Screenlocker-Ransomware: G DATA deckt neue Methode der Microsoft-Support-Betrüger auf

Weltweite Verunsicherung von Computernutzern u.a. durch Anrufe und E-Mails

[datensicherheit.de, 07.11.2016] G DATA hat nach eigenen Angaben eine neue Art von Betrug mit technischem Microsoft-Support durch Erpressertrojaner aufgedeckt – sogenannte „Screenlocker“-Ransomware. Dieses Schadprogramm versteckt sich demnach in einem vermeintlichen Installer für ein Produkt, d.h. Betroffene bekommen einen Lockscreen im Design von „Windows 10“ angezeigt und können das Fenster nicht schließen. Die Nutzung der Ransomware stellt laut G DATA in diesem Zusammenhang eine gefährliche Weiterentwicklung dar, denn Betrüger benutzen weiterhin auch die bekannten Formen: Falsche Support-Angebote per Telefonanruf, per E-Mail, per Pop-Up oder auch Umleitung beim Surfen im Web.

„Social Engineering“ bleibt brandaktuelle Bedrohung

Im Rahmen des 13. „US National Cyber Security Awareness Month“ (NCSAM) hat Microsoft im Oktober 2016 eine neue Studie vorgestellt, in der sie sich erneut aktiv mit dem Thema „Tech Support Scam“ beschäftigten.
Diese neuesten Zahlen zeigen laut Sabrina Berkenkopf (G DATA SECURITY BLOG), dass die bekanntesten Formen des Betrugs weiterhin verbreitet sind: Falsche Support-Angebote per Telefonanruf, per E-Mail, per Pop-Up oder auch Umleitung beim Surfen im Web. G DATA habe nun eine weitere Art von Betrug mit angeblich technischem Support aufgedeckt:
Das habe man sicher schon gehört: Ein Anrufer aus Indien versucht einem einzureden, dass der eigene Rechner kaputt wäre und unbedingt eine Software installiert werden sollte… Diese Masche sei zwar nicht neu. „Aber sie lebt und ,nein‘, sie ist ganz und gar kein alter Hut! Diese Form des Social Engineering ist brandaktuell“, so Berkenkopf.

Jeder zehnte Betroffene verlor sogar Geld

Es sei laut den neuesten Untersuchungen tatsächlich gar nicht so unwahrscheinlich, dass man auch aktuell mit „Tech Support“-Betrug in Berührung komme: Laut Microsofts Studie habe es in den untersuchten Länder seit 2015 im Schnitt zwei von drei Personen betroffen (Deutschland: 51%). Sie seien durch unerwünschte Anrufe oder E-Mails beziehungsweise Pop-Ups oder Umleitungen im Browser zu den falschen Angeboten gelockt worden. Im weltweiten Schnitt habe jeder zehnte Betroffene durch die Betrügerei sogar Geld verloren (Deutschland: 3%).
Was die neu veröffentlichte Analyse ebenfalls verrate: Die Betroffenen gehörten nicht zwingend in die Generation der „Silver-Surfer“ – denn 50 Prozent der Opfer von dubiosen Telefonanrufen seien zwischen 18 und 34 Jahren alt und „nur“ 17 Prozent älter als 55 Jahre.

Neu im Betrüger-Portfolio: Screenlocker-Ransomware

Eine Form des Tech-Support-Scams, die Microsoft in seiner Analyse nicht explizit herausstelle, sei der Angriff mit „Screenlocker“-Ransomware:
Computernutzer erhielten hierbei keinen Anruf und keine E-Mail, sondern ihr Zugriff auf den Rechner werde durch Erpressertrojaner gesperrt. Die Opfer sollten dann eine angebliche Microsoft-Telefonnummer anrufen, um ihre vermeintlich abgelaufene Lizenz für ihren PC zu erneuern.
Nach Erkenntnissen von G DATA kommt die Schaddatei immer als angeblicher Installer für ein Produkt, zum Beispiel als „VMC Media Player“ oder ähnlich daher. Das beworbene Programm sei aber in diesem Installer gar nicht enthalten.

Unklar, ob erpresstes Geld wirklich Lösegeld ist

Man habe unzählige Samples untersucht und in einer groß angelegten Aktion alle bekannten Lockscreen-Telefonnummern angerufen:
Die allermeisten seien zum Zeitpunkt des Anrufes schon nicht mehr in Betrieb gewesen. Lediglich bei einer Nummer sei eine Verbindung zustande gekommen und es habe sich eher so angehört, als würde gerade jemand diesen Ruf während des Autofahrens annehmen. Dementsprechend schnell sei von der Gegenstelle auch aufgelegt worden. Von daher könne man leider nicht bewerten, wann und zu welchen Kosten die Betrüger das Passwort herausrücken würden und was für einen Schabernack sie noch mithilfe der Remote-Desktop-Software anstellen würden.

Tech-Support-Scams kein neues Phänomen

Die Tech-Support-Scams seien kein neues Phänomen – und das wisse auch Microsoft. Schon damals hätten die Experten aus Redmond aktiv davor gewarnt: „Sie werden zu keinem Zeitpunkt von Microsoft oder von Partnern von Microsoft einen ehrlich gemeinten Anruf erhalten, bei dem Sie für Computer-Reparatur zur Kasse gebeten werden.“
Das vermehrte Aufkommen der „Screenlocker“-Ransomware sei in diesem Zusammenhang eine Weiterentwicklung und könne Benutzer aus Sicht von G Data noch weitaus mehr verunsichern. Zumal ein Betrüger hierbei nicht auf vermeintliche Probleme auf dem Rechner hinweise, sondern aktiv der Zugriff auf das Gerät gesperrt werde. Ein Ignorieren der falschen Warnungen sei daher leider ausgeschlossen.

Empfehlungen von G DATA

Man möge im Hinterkopf behalten, dass die Bezeichnung „Microsoft Partner“ kein Indiz dafür sei, dass eine Person besonders vertrauenswürdig ist. Der Aufwand, sich als offizieller Microsoft-Partner zu registrieren, sei verhältnismäßig gering.
Man sollte einem Support keinen Fernzugriff auf das eigene Gerät gewähren, wenn man nicht absolut sicher ist, dass die Person einen legitimen Service anbietet und man sie dazu beauftragt.
Berkenkopf: „Widerstehen Sie der Neugier und lassen sie sich nicht von angeblichen Support-Mitarbeitern auf Webseiten mit wichtigen Informationen locken. Diese Webseiten könnten speziell präpariert sein, um die Besucher mit Malware zu infizieren oder Daten zu phishen.“
Man sollte Hilfeleistungen per Telefon, Webseite ablehnen, wenn dafür unerwartete Gebühren in Rechnung gestellt werden. „Geben Sie keine Bezahldaten, z.B. Kreditkartendaten, oder sonstige persönliche Daten preis“, rät Berkenkopf.
Selbstverständlich sollte man auch niemals Passwörter an andere Personen herausgeben.

Weitere Informationen zum Thema:

G DATA SECURITY BLOG, 03.11.2016
Sabrina Berkenkopf: „Spuken nicht nur zu Halloween rum: Microsoft Support Betrüger / Anrufe, Mails und sogar Screenlocker Ransomware verunsichern Computernutzer weltweit“