TechScammer Sie haben einen Trojaner
Erwartete Lesezeit: 3 minuten
Vorhin wurde ich auf die folgende Website weitergeleitet, die mir doch wirklich wahr machen wollte, dass ich einen Trojaner habe.
Aber seht selbst :
Echt beindruckend wie schnell dieser Scan abgelaufen ist. Lokal braucht der immer viel länger.
Aber diese Website ist ein schönes Beispiel , dass sich die Betrüger – und dass ist hier nichts anderes als Betrug – einen schönen Baukasten gebastelt haben.
Wenn man sich die Url etwas genauer betrachtet wird man es sehen :
https://d9xv47q4lcbco.cloudfront.net/werrx01/?bemobdata=c%3D0ad334bc-84fe-49ec-ae5c-704b97e5c2b1..l%3De9de8a95-33c0-45c2-a552-c35167213656..a%3D0..b%3D0..z%3D0.00221..e%3D211222053922908f0b72a448c5a457086074..c1%3D1861442..c2%3D1966919..c3%3D2663863..c4%3Dwindows..c5%3Dwin10..c6%3Ddesktop..c7%3Dchrome..c8%3Dother..c9%3DEwe%2520Tel%2520Gmbh..c10%3Dde&cid=GvriT7ZpzQR5Bdq9kgw3GT&lpkey=eyJ0aW1lc3RhbXAiOiIxNjQwMTY5NTk2IiwiaGFzaCI6IjE3NmE2NDgzOTIwMDRhZjcwMzVkMzRmNTlkZDBlNjBkOWE1NmU0ODkifQ%3D%3D&phone=09928-8759-867#
Nach dem ersten Aufruf werden Infos bzgl. des Betriebsystems und des ISPs ergänzt.
Aber was passiert , wenn man auf die Seite kommt. Nimmt man ein altes Windows 7 System und den IE11 wird versucht die Sicherheitseinstellungen des IE herunterzusetzen, bzw. den Internetbereich auf Sehr hoch zu stellen und einige Werte zu lesen:
Also nicht so schön. Erste Empfehlung, wenn noch der IE11 genutzt wird. Bitte zumindest auf Edge gehen. Die modernen Browser haben eine sehr starke Sandbox Methodik um eine Trennung zwischen Browser und OS zu gewähren, soweit es halt geht.
Wer weiß was er noch versuchen würde, wenn er es schaffen würde.
Ein weiteres Indiz das es Scam ist , beruht auf dem Versuch den Anwender zu verängstigen. Eine Sperrung des Rechners und die Meldung an die Netzwerksicherheit. (Was soll das denn sein. Kommt dann gleich das SEK und stürmt die Wohnung). Alles kompletter Schwachsinn.
Und das Beste ist die Telefonnummer in den Link zu schreiben. Wenn die verbrannt ist, muss nur der Link geändert werden. Die Nummer aus meinem Beispiel ist eine Rufnummer von Kirchdorf im Wald. Normalerweise kein offizieller Standort von MS, eher eine idyllische Urlaubsregion.
Den kompletten Report vom Aufruf findet Ihr unter https://any.run/report/fcfaba1a2b46fd6056fb1973c0ab7b5b89c13cf8898450746a4e4023361d2d91/b2bdaadd-ce9b-4fef-a7db-c907b946a3bb
Und eine zweite weitere unter
https://www.hybrid-analysis.com/sample/e265bb46400635048616d2af5d032512ced8a171006ab1047fdde4af4a85b6fa