Einleitung
Immer wieder werden Nutzer Opfer sogenannter Tech-Support-Scams. Dabei geben sich Kriminelle als Mitarbeiter von Microsoft oder einem bekannten IT-Dienstleister aus und behaupten, der Computer sei infiziert oder kompromittiert. Ziel ist es, Zugriff auf das System zu erhalten, Angst zu erzeugen und Geld zu erpressen.
Im folgenden Beispiel wurde ein Windows-11-Rechner gezielt gesperrt und im Hintergrund eine Fernwartungssoftware eingerichtet.
Die vermeintliche Windows-Fehlermeldung
Auf dem Bildschirm erscheint eine Meldung:
„Windows konnte nicht aktiviert werden… Fehlercode: 0xC004C008“
Solche Hinweise wirken offiziell, dienen hier aber nur als Vorwand. Die Aktivierungsmeldung soll den Eindruck eines Systemfehlers vermitteln und den Nutzer verunsichern.
Wichtig:
- Microsoft sperrt keinen PC wegen Aktivierungsproblemen.
- Microsoft blendet keine Telefonnummern direkt im Vollbild ein.
- Fehlercodes sind kein Grund, fremden Personen Zugriff zu gewähren.
2. Plötzliche Bildschirmsperre durch Drittsoftware
Beim Versuch den Task-Manager aufzurufen erscheint ein Dialog-Fenster mit dem Titel „Unlock Computer“:
„This computer has been locked. To unlock computer you must enter the correct password.“
Hier wurde das kostenlose Tool „Lock My PC“ (32 Bit) installiert. Diese Software kann einen Computer mit einem Passwort sperren. In diesem Fall wurde sie missbraucht, um den Zugriff künstlich zu blockieren.
Typische Merkmale:
- Eigenständiges Fenster mit Passwortabfrage.
- Keine typische Windows-Anmeldemaske.
- Sperre erfolgt während Windows bereits gestartet ist.
Das ist kein Windows-Sicherheitsmechanismus, sondern eine nachträglich installierte Anwendung.
3. Fernwartungssoftware im Hintergrund
Im Task-Manager ist eine laufende Verbindung zu erkennen:
- Relay-Server:
relay://instance-...screenconnect.com:443 - Status: „Waiting to retry“
Hierbei handelt es sich um eine Fernwartungssoftware (ScreenConnect / ConnectWise Control). Diese Programme sind grundsätzlich legal und werden im IT-Support eingesetzt. In Betrugsfällen nutzen Täter sie jedoch, um:
- Maus und Tastatur zu übernehmen.
- Programme zu installieren.
- Sperrsoftware einzurichten.
- Zahlungsinformationen einzusehen.
Die Kombination aus:
- Künstlicher Fehlermeldung.
- Installierter Sperrsoftware.
- Aktiver Fernwartungsverbindung.
ist ein klares Indiz für einen Support-Betrug.
4. Typischer Ablauf des Betrugs
- Pop-up oder Browser-Warnmeldung erscheint.
- Nutzer wird aufgefordert, eine Telefonnummer anzurufen.
- Der „Support“ behauptet, schwere Viren gefunden zu haben.
- Fernwartungssoftware wird installiert.
- Der PC wird gesperrt.
- Für die „Entsperrung“ wird eine Gebühr verlangt.
5. Was in so einem Fall zu tun ist
Sofortmaßnahmen
- Internetverbindung trennen.
- PC ausschalten.
- Kein Geld bezahlen.
- Keine Zugangsdaten weitergeben.
Technische Schritte
- PC im abgesicherten Modus starten.
- Fernwartungssoftware deinstallieren.
- „Lock My PC“ entfernen.
- Autostart-Einträge prüfen.
- Vollständigen Virenscan durchführen.
- Alle Passwörter ändern (E-Mail, Banking, Microsoft-Konto).
Im Zweifel:
- Professionelle IT-Hilfe in Anspruch nehmen.
- Anzeige bei der Polizei erstatten.
6. Wichtige Klarstellung
Microsoft:
- Ruft nicht unaufgefordert an,
- Sperrt keine PCs per Popup,
- Fordert keine Zahlung per Gutschein oder Kryptowährung,
- Installiert keine Fremdsoftware über Telefonanweisungen.
Fazit
Dieses Beispiel zeigt, wie mit frei verfügbarer Software ein glaubwürdiges Bedrohungsszenario erzeugt werden kann. Die Technik dahinter ist simpel – der psychologische Druck ist das eigentliche Werkzeug der Täter.
Aufklärung und schnelles Handeln sind der beste Schutz gegen Tech-Support-Betrug.
Kontakt
Falls bereits ein Schaden entstanden ist oder Sie einen Virenbefall vermuten, unterstützen wir Sie schnell und zuverlässig.
Schreibe einen Kommentar