Computerbeveiliging - Hoe je bad guys buiten de deur houdt

'Windows support' 0517-369378

30-04-2019, 11:04 door Bitwiper, 9 reacties
Laatst bijgewerkt: 30-04-2019, 11:06
Deze bijdrage is bedoeld voor mensen die Googlen (of een andere zoekmachine gebruiken) naar genoemd telefoonnummer, CLSID etcetera, en om security.nl lezers te waarschuwen (voor zover nodig) of om ervaringen te delen in deze nieuwe thread. Want helaas blijven dit soort scammers actief.

Afgelopen dagen ben ik meerdere keren gebeld (op een vaste lijn) door Engels-sprekende (met Indiaas accent) medewerkers van "Windows support". Mijn computer zou allemaal malware bestanden van internet downloaden, en die zouden mijn firewall kunnen laten crashen waarna hackers overal bij zouden kunnen.

Eerst belde een mevrouw (telefoonnummer onderdrukt/anoniem) die mij event viewer liet starten, kennelijk om mij op foutmeldingen in event logs te wijzen. Omdat ze letter voor letter spelde wat ik moest intikken, ik haar slecht verstond en omdat ik haar sowieso zo lang mogelijk aan de lijn wilde houden, duurde dit erg lang. Ze dirigeerde mij naar Windows logs -> security, maar daar kreeg ik -tot haar verbazing- een "access denied" melding (mijn account voor dagelijks gebruik is geen lid van de groep Administrators, als dat wel zo zou zijn had ik de gebeurtenissen kunnen bekijken). Affijn er was toch echt een probleem met mijn computer; of ik Google Chrome wilde starten. Die heb ik niet. Dan maar Internet Explorer. Of ik daarmee naar de volgende website wilde gaan: "t", "e", ... ik vulde haar mondeling aan: teamviewer.com.

"You are smart" zei ze. Ik: "And you should be ashamed of yourself stealing from people". Toen hing ze op.

Voor de minder ervaren lezer: deze scammers laten je software installeren waarmee zij letterlijk kunnen meekijken op jouw computer. Veel gebruikt worden TeamViewer en Ammyy Admin (zie bijv. https://www.strato.nl/server/de-beste-teamviewer-alternatieven/ voor meer van dat soort tools). Daarmee lossen deze cybercriminelen helemaal geen problemen voor je op, maar nemen je identiteit over en plunderen je bankrekening.

Niet veel later werd ik door een meneer gebeld. Ik vertelde dat ik net door een collega van hem was gebeld. Helaas waren er volgens die meneer veel nep-calls, maar hij was echt van Microsoft en er was echt een probleem met mijn computer. Hij begon een verhaal over CLSID's, de Customer License ID dat uniek is voor mijn computer en alleen Microsoft en ik kennen (dus bewijs dat hij van Microsoft is). De lijn was heel slecht waardoor we elkaar nauwelijks konden verstaan en hij uiteindelijk ophing.

Een CLSID is echter helemaal geen Customer License ID, maar een "CLasS ID" - een enorm aantal (hexadecimale) getallen die wereldwijd uniek zijn en voor allerlei toepassingen worden gebruikt die toevallig dezelfde naam zouden kunnen hebben. Vermoedelijk wilde deze meneer mij een command prompt venster laten openen, en het commando assoc laten uitvoeren. Een van de laatste regels luidt dan namelijk:
.zfsendtotarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
(zie ook https://www.security.nl/posting/40392/Internetaangifte+na+MS+scam uit 2013).

Die code is op elke Windows computer hetzelfde (met de commando's assoc en ftype kun je de asdociaties tussen bestandnaamextensies en de te starten programma's bekijken: assoc .txt (spatie tussen c en de punt) normaal gesproken 'txtfile' als output, vervolgens laat ftype txtfile zien welk programma er gestart wordt als je op een .txt file dubbel-klikt). Kortom, dit is geen licentiecode en zo'n beller werkt niet voor Microsoft.

Gisteren nam mijn vriendin op, en zei al snel "No no no!" en hing op. Jammer, ik had graag gehoord of het om dezelfe man ging - vermoedelijk wel.

Vanochtend belde die meneer opnieuw (onderdrukt/anoniem nummer). Ik had geen zin en zei dat het een scam was en hij zich moest schamen, maar daar wilde hij niets van weten en begon weer over CLSID's. Ik heb de telefoon neergelegd en hem laten blaten. Dat duurde even, na een paar keer "hello?" hing hij op.

Maar even later belde hij nogmaals (hoezo bord voor z'n kop), nu vanaf telefoonnummer 0517-369378 (kengetal/netnummer 0517 is in Friesland, zonder streepje: "0517369378" - voor de zoekmachines). Ik heb hem weer laten raaskallen, uiteindelijk hing hij weer op en heeft vanochtend (tot nu toe) niet meer teruggebeld.

Daarna heb ik zelf gebeld naar 0517-369378 en kreeg de bekende drietoon, een niet bestaand nummer dus. Slechte zaak overigens dat fraudeurs zomaar met niet bestaande nummers kunnen bellen; waarom wordt dat niet geblokkeerd?

Wat moet je doen als je gebeld wordt door iemand die zegt dat er een probleem is met je computer?

Je kunt niet uitsluiten dat jouw bank jou belt i.v.m. een verdachte transactie, of dat jouw ISP (Internet Service Provider) jou belt omdat er echt een probleem is met jouw computer, modem, draagbaar device of IoT apparaat. Als zoiets aan de hand lijkt, zeg dan dat je terugbelt naar het nummer dat jij kent van de betreffende organisatie (of opzoekt op hun website). Negeer telefoonnummers en domeinnamen van websites die de beller jou vertelt! Wel kun je informeren naar welke persoon of afdeling je moet vragen als je zelf belt.

Als het om nep gaat: noteer het nummer (indien getoond, en vertel het ons hieronder) en hang op. Of zeg dat je weet dat het om een scam gaat en hang dan op (hopelijk voorkomt dit dat ze terugbellen).

Als je tijd hebt, kun je ze aan de praat houden (in die tijd kan deze persoon niet iemand anders een oor aannaaien, en hoe meer mensen dit doen, hoe minder lucratief hun "business" wordt). Als je jouw computer erbij betrekt, vertel dan niets waar ze iets aan zouden kunnen hebben, en installeer niets natuurlijk!

Desgewenst kun je zo'n incident melden bij de Fraude Helpdesk, zie https://www.fraudehelpdesk.nl/fraude/ik-heb-contact-gehad-met-een-helpdesk/ (ik heb dat nu overigens niet gedaan).

Als je onverhoopt zover gegaan bent dat je iets geïnstalleerd hebt, zet je computer dan uit, neem onmiddelijk contact op met je bank en doe aangifte.
Reacties (9)
30-04-2019, 11:11 door Anoniem
Er is geen enkele wet die je verplicht om beleefd te zijn tegen zulke bellers. In tegendeel. Tegen je eigen telefoon mag je zeggen wat je wilt. Ook als het de ander zijn hele dag verziekt.
30-04-2019, 11:37 door Vuurvliegje87
Altijd netjes dat je dit even meld, alleen vermoed ik dat het overgrote deel van deze website bezoekers weten waar ze mee te maken hebben.

Ik heb hier zelf ook al meer dan eens mee te maken gehad.
Nog aanvullende Tips:
- Bevestig NOOIT je naam of andere persoonsgegevens.(bij indonees accent geef een valse naam op)

- Bel nooit het telefoonnummer terug (dit kan zeer hoge kosten met zich mee brengen)

- Microsoft ALS ze al zouden bellen, maken GEEN gebruik van remote tools die je moet installeren.. zij gebruiken de
ingebouwde tool van Microsoft om je pc over te nemen om eventueel support te geven.

- Ook zal Microsoft je nooit als leek vermoeien met Logbestanden en foutcodes, maar je gewoon direct helpen.
30-04-2019, 12:08 door Anoniem
Het NCSC zou eigenlijk een aantal ip adressen moeten hebben waarvan je er eentje aan die oplichters kan doorgeven in plaats van je eigen ip-adres. Als daar dan een "teamviewer" achter hangt die net doet alsof.... Traceren die lui en interpol of lokale politie er op af sturen...
30-04-2019, 12:15 door Bitje-scheef
Die gasten wisselen onderling gegevens uit, soms zelfs met vermelding in hoeverre je slachtoffer kan worden.
Op YT staan diverse gasten die terugslaan en ook nog even wat inhoud van de Scammers PC jatten.
30-04-2019, 13:22 door [Account Verwijderd]
Bij James Bond was het Never say never... maar hier is zeg nooit ja van toepassing. Jouw ja kan worden misbruikt door het als antwoord achter een andere vraag te plakken.
30-04-2019, 13:29 door Anoniem
Ze hebben mij ook ooit gebeld. De eerste keer heb ik opgehangen zonder iets te zeggen, dat helpt blijkbaar niet want 10 minuten later belden ze weer, nogmaals opgehangen. Een half uur later weer! Toen heb ik op duidelijke toon verteld dat ik zijn trucjes volledig doorhad en pas toen was het gezeur afgelopen, ze hebben nooit meer gebeld.
30-04-2019, 13:40 door Anoniem
en als je er tijd in wilt steken kan je dit formulier bij Microsoft invullen om hen te helpen domeinen af te laten sluiten:
https://www.microsoft.com/nl-nl/concern/scam?rtc=1
30-04-2019, 14:35 door [Account Verwijderd]
Door Bitje-scheef: Die gasten wisselen onderling gegevens uit, soms zelfs met vermelding in hoeverre je slachtoffer kan worden.
Op YT staan diverse gasten die terugslaan en ook nog even wat inhoud van de Scammers PC jatten.

En dat is buitengewoon vermakelijk:

https://www.youtube.com/channel/UC0uJKUXiU5T41Fzawy5H6mw
30-04-2019, 17:11 door Anoniem
Je kunt niet uitsluiten dat jouw bank jou belt i.v.m. een verdachte transactie, of dat jouw ISP (Internet Service Provider) jou belt omdat er echt een probleem is met jouw computer, modem, draagbaar device of IoT apparaa
De bank belt wellicht om een melding te doen, de rest kun je gevoegelijk uitsluiten. Microsoft belt je niet. Punt. Je ISP belt je niet. Punt. De laatste sluit je gewoon af, en dan mag je zelf bellen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.