bubu9 schrieb:
Die Anruferin hat angeblich weder um Geld gebeten noch irgendwas von ihm verlangt.
Sie wird ja nicht gesagt haben, "
Sie haben seit 25 Tagen Probleme mit Malware im Netzwerk.", und danach folgte das Schweigen im Walde. Sie muss noch etwas gesagt oder versucht haben, einen bestimmten Weg einzuschlagen. Welcher dies war, müsste Dein Bekannter mal genauer beschreiben.
Kurzer Blick auf google news verrät mir, dass es wohl tatsächlich gerade eine Welle betrügerischer Anrufe angeblich von Microsoft gibt.
Das gibt es schon seit Jahren und ist nicht weniger als ein alter Hut.
Was mir allerdings komisch vorkam ist, dass er zeitgleich auch von der Telekom zwei Briefe bekommen hat, diese Sicherheitswarnungen. Und selbst das mit den 25 Tagen kommt etwa hin.
Das kann Zufall sein, muss es aber auch nicht. Denn die Telekom verschickt solche Warnungen auch (regulär) in E-Mails. Wenn Dritte bereits über einen gewissen Zeitraum Fremd-Zugriff auf ein System haben, können sie natürlich auch die dort bearbeiteten E-Mail-Accounts und entsprechende Mails einsehen, löschen, usw.
Betreibt Microsoft tatsächlich ein solches Programm und ruft dann auch Kunden an?
Nein.
Wenn nein, was wollte die Anruferin mit ihrem Anruf bezwecken?
Ohne weitere Details durch Deinen Bekannten, der ja das Gespräch geführt hat und Infos aus erster Hand liefern können müsste, geht es im Allgemeinen bei solchen Anrufen um betrügerische Absichten.
Ich fürchte ja, dass er Opfer extremen Phishings geworden ist, und die Kriminellen gerade versuchen an noch mehr Informationen über ihn zu gelangen.
Auf jeden Fall bedeutet so ein Anruf keine guten Absichten, sondern es sind immer Schädigungen des Angerufenen, gleich welcher Art, die damit einhergehen.
Achja, die Anruferin sprach mit ihm Englisch und der Anruf kam aus der Schweiz. Habe auch die Nummer, finde aber nichts im Internet über die Nummer.
Solche Absendernummern lassen sich beliebig fälschen.
bubu9 schrieb:
Sie hat wie gesagt nichts von ihm verlangt. Mag natürlich sein, dass er sich im richtigen Moment bedankt und das Gespräch beendet hat.
Das ist so nicht plausibel. Es muss noch einen weiteren Versuch abseits dieser reinen Information gegeben haben.
bubu9 schrieb:
So weit ist es nicht gekommen. Ich frage aber morgen nochmal nach Details.
Ja, die sind wichtig.
Ich bin auch erst hellhörig geworden, als er meinte, dass er vor 25 Tagen auch den ersten Brief von der Telekom bekommen hat. Unternommen wurde natürlich nichts
Das ist allerdings sehr schlecht, denn die Abuse-Briefe von der Telekom, wenn man dann auch dort noch Kunde ist und alle Daten stimmen, sind in der Regel "echt" und deuten auf ein kompromittiertes System am genutzten Internetanschluss hin. Da muss man was unternehmen, und kann es nicht wochenlang so lassen. Mit dieser Einstellung darf man keinen Computer am Internetzugang betreiben, und sollte besser offline bleiben.
bubu9 schrieb:
Und woher wusste sie das mit den 25 Tagen? Andere Vermutung: Was auch immer er sich da eingefangen hat, die Betreiber des Trojaners/Bots/Wurms hatten Bock sich mit ihm ein wenig zu unterhalten, während sie sein Konto plündern?
Das ist spekulativ. Was offensichtlich bereits jetzt klar ist, ist eine vorliegende Infektion des genutzten Systems. Und in diesem Zustand können alle möglichen privaten Infos quasi "überall hin" abgeflossen sein. Sozusagen alle Schotten offen, Wasser marsch!
|SoulReaver| schrieb:
Ich hätte aufgelegt die Nummer gesperrt und meinen Rechner platt gemacht und neu aufgesetzt. Und somit ende des Problems....
Richtig. Da hätten schon viel früher viel konsequentere Maßnahmen ergriffen werden müssen.
bubu9 schrieb:
Das ist schon ziemlich heftig. Habe ich vorher auch noch nicht von gehört.
Grundsätzlich kann ein Dritter über ein "Fernwartungstool", dessen Funktionen man als "Opfer" gar nicht kennt, alles Mögliche auf einem System ausführen. Man gibt damit sozusagen die volle Kontrolle ab. Das ist im übertragenden Sinne wie tagsüber, während man auf der Arbeit ist, alle Haus-/Wohnungstüren/Fenster weit offen zu lassen und ein Schild davor aufzustellen: "Tretet herein, bedient Euch!". Macht entsprechend dieses Beispiels eigentlich kaum jemand. Beim PC hingegen schon.
Er hätte mich nicht angerufen, wenn ihm der Anruf nicht ein wenig plausibel vorkam. Könnte mir vorstellen, dass da viele drauf reinfallen.
Ja, es sind immer noch sehr viele. Obwohl schon in den Massenmedien mehrfach davor gewarnt wurde.
Dumm ist der Mann auch nicht nur unbedarft mit Computern.
Und weshalb ignoriert er dann einen Warn-Brief seines Internetanbieters? Das ist ja schon mächtig naiv.
bubu9 schrieb:
Wo Du das gerade erwähnst... Als ich fragte, ob sich denn sein Computer in letzter Zeit irgendwie merkwürdig verhält meinte er, dass er extrem langsam geworden ist und manchmal Meldungen ausgibt, dass der Arbeitsspeicher nicht mehr ausreicht.
Auch das kann, in Verbindung mit den anderen Symptomen, ein weiterer Hinweis auf die Kompromittierung sein.
Er startet dann immer neu
Was natürlich nicht die Ursache behebt!
Hab schon richtig Bock darauf mir den Rechner mal vorzunehmen, dann aber nur mit Schutzkleidung ohne eigene USB-Sticks
Mit Speichermedien sollte man an dem Gerät unter dem laufenden Windows ohnehin gar nicht mehr hantieren. Nur ein Booten vom USB-Stick z.B., womit das infizierte Windows inaktiv bleibt, ist angebracht.
alterSack66 schrieb:
Ok, würde ich auch machen. Die Briefe sind ja eigentlich immer gefälscht. Ob die TK da weiterhelfen kann?
Nein, diese Briefe sind nicht immer gefälscht:
->
https://www.telekom.com/de/verantwortung/datenschutz-und-datensicherheit/sicherheit/abuse
https://www.telekom.com/de/verantwortung/datenschutz-und-datensicherheit/sicherheit/abuse schrieb:
Das Abuse-Team prüft die Hinweise auf ihre Relevanz, identifiziert die betroffenen Kunden und schickt ihnen per E-Mail und Briefpost einen Leitfaden zu, mit dessen Hilfe sie den Schadcode von ihren Rechnern entfernen können.
Zitat Ende.
Smily schrieb:
Ahso, die melden sich, wenn verdächtig viel Müll von dem Anschluss kommt? OK, interessant^^
Richtig, siehe den Link oben über Deinem Zitat. Übrigens melden die sich nicht nur, im Extremfall sperren sie sogar:
->
https://www.telekom.com/de/verantwortung/datenschutz-und-datensicherheit/sicherheit/abuse
https://www.telekom.com/de/verantwortung/datenschutz-und-datensicherheit/sicherheit/abuse schrieb:
Gehen von einem Kundenrechner weiterhin Angriffe aus, leiten die Abuse-Mitarbeiter zusätzliche Schritte ein: Um andere Nutzer zu schützen, können sie einzelne Dienste wie den E-Mail-Versand vorübergehend sperren.
Zitat Ende.
Aber das kann der Scam Anrufer nicht wissen.
Doch, theoretisch kann er das schon. Weil die Telekom die Infos ja via Brief
und E-Mail verschickt (siehe Zitate der oben verlinkten Telekom-Seite). Und da man davon ausgehen muss, dass die Telekom-Infos korrekt sind, bedeutet dies gleichzeitig, dass das System schon längere Zeit infiziert ist. In diesem Zeitraum können Dritte bereits alle Mails mitgelesen bzw. alle möglichen privaten Informationen vom "Opfer-PC" missbraucht haben
Vielleicht war das nur ein dummer Zufall. Oder, der Trojaner, der da sendet kommt vom Anrufer. Aber eigentlich zu aufwenig.
Solche Konstellationen sind nicht aufwändig. Im Gegenteil dient ja gerade Malware dazu, an sensible Infos zu gelangen, ganz egal, ob es dabei um persönliche Daten z.B. zum Zwecke des "Identitätsdiebstahls", zum Gewinnen neuer aktiver E-Mail-Adressen für den künftigen Spam-Versand oder zum Plündern diverser Konten geht.
bubu9 schrieb:
Ja, diese Abuse-Briefe habe ich aber früher bei Kunden schon oft gesehen. Bei einer Schule, die nichts gegen die Viren unternommen hat, hat die Telekom damals einfach den POP3-Port für die Schule komplett gesperrt, weil es denen nach 10 Briefen ohne Reaktion zu blöd wurde. Fand ich richtig gut.
Das ist übrigens ein wesentlicher Grund für das extreme Spam-Problem: Privatnutzer halten ihre Privat-PCs nicht sicher, reagieren teils selbst dann nicht passend (
=System sofort offline nehmen, sauberes Backup einspielen oder System komplett neu aufsetzen), wenn sie mehrfach auf eine Infektion hingewiesen wurden, Firmen versäumen die Schulung ihrer Mitarbeiter, gewährend ihnen Adminrechte, lassen fremde USB-Sticks zu, setzen noch Windows XP ein, usw., oder Server-Betreiber im Web scheren sich nicht um die sichere Konfiguration.
Bedeutet: Viele Leute vernachlässigen in jeweils ihren Bereichen wichtige Schutzmaßnahmen (und damit meine ich keine Virenscanner!), schlimmer noch, sind trotz bereits eingetretener Schäden nicht bereit, konsequente Maßnahmen zur effektiven Behebung wie auch zur künftigen Prävention umzusetzen.
bubu9 schrieb:
Ok, mache ich. Erkennen Live-Systeme Rootkits?
Ja, allerdings bleibt auch hier die grundsätzliche Unzuverlässigkeit der Virenscanner bestehen.
Wenn ja, hast Du eine Empfehlung für mich? Ich arbeite nicht mehr im Bereich PC-Support und bin ein wenig raus
->
https://www.heise.de/download/product/desinfect-71642
->
https://www.eset.com/de/support/sysrescue/
->
https://support.kaspersky.com/de/viruses/rescuedisk
Eigentlich wollte ich als weiteren noch den Bitdefender verlinken, das mache ich jetzt aber mal nicht, es könnte bei dem ein oder anderen zu Irritationen führen, denn dort ist seitenübergreifend das Sicherheitszertifikat abgelaufen:
Wichtig: Die verlinkten Scanner dienen einer reinen Analyse, um zu schauen, welche Malware u.a. gefunden und installiert wurde. Sie können ein System jedoch nicht sicher bereinigen, also
nicht wieder in einen vertrauenswürdigen Zustand versetzen! Sichere stattdessen die vollständigen Fundmeldungen und poste sie hier.
bubu9 schrieb:
Aber sicher nicht unter dem laufenden Windows. Sondern ausschließlich via Live-System.
1.)
http://cdimage.ubuntu.com/ubuntu-mate/releases/16.04.3/release/ (64-bit PC (AMD64) desktop image)
2.)
https://rufus.akeo.ie/?locale=de_DE
3.) Mit Hilfe des Tools aus 2.) dann die ISO aus 1.) bootfähig auf einen USB-Stick bringen und direkt von diesem booten.
-> Versuch der Virenentfernung
Das geht so nicht. Gründe:
->
http://www.malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen
Du kannst nicht feststellen, dass es einen "Erfolg" gegeben hat. Nur, weil ein Virenscanner oder "Tool" drei Malwaredateien gefunden hat, heißt das nicht, dass er alle gefunden hat. Viele gehen nach diesem Schema vor:
- Virenscanner laufen lassen.
- Virenscanner findet was.
- Funde löschen lassen.
- Vorige Symptome sind weg oder besser.
- User denkt: "System ist wieder sauber."
-->> User denkt falsch, denn das ist es damit nämlich nicht. Es ist ein Fehler, das Ausbleiben von Symptomen nach einer Infektion mit der erfolgreichen Säuberung des Systems gleichzusetzen.
noch ein Backup/Datenrettung -> Plattmachen. Wird schon schiefgehen.
Dir bleibt nur, wenn noch was kopiert werden soll, dies über ein Live-System umzusetzen.
bubu9 schrieb:
Auf jeden Fall, ja. Ich fasse doch keinen Rechner an ohne ein Backup davon gemacht zu haben.
Dann kannst Du auch gleich ein Beweissicherungsimage erstellen, falls Dritte Schindluder mit Deinen Daten getrieben haben sollten:
->
http://clonezilla.org/
Wenn was schiefgeht wird aus einem Bekannten sonst schnell ein sehr wütender uneinsichtiger Mensch
Es
ist ja bereits das meiste schief gegangen.
Spreche da aus Erfahrung. Mit Datenrettung meine ich wichtige Word-Dateien/Mails und so weiter.
Wichtige Daten sind, wenn sie
wirklich wichtig sind, immer extern gesichert. Liegen keine Sicherungen vor, können die Daten auch nicht wirklich wichtig sein und sind somit verzichtbar.
Die können auch Viren enthalten, ja.
Ja, natürlich läufst Du Gefahr, Malware mit zu "sichern". Zwar ist das über ein Live-System von der Übersicht her besser, da keine aktive Malware irgendeine Ansicht manipulieren könnte und unter dem Live-System auch alle Dateitypen und Dateiendungen sicher bestimmt werden können, nur reicht ein Fehler, es wird etwas Infektiöses rüber kopiert, z.B. ein präpariertes Word-File, das später unter Windows wieder geöffnet wird, und schon wäre das System erneut kompromittiert.
Aber Otto-Normalnutzer hat halt kein Backup davon, die Dateien sind weg und du bist Schuld.
Nein. Derjenige, der von sich aus keine Datenbackups anfertigt, ist selbst Schuld. Das muss man auch ganz klar und deutlich von Anfang an so kommunizieren.
