Sicherheit: Wenn plötzlich ein (Fake-)"Office 365-Paket" per Post kommt

Sicherheit (Pexels, allgemeine Nutzung)[English]Kleine Warnung, die sich vor allem an unerfahrene Leser dieses Blogs bzw. Nutzer richtet. Kriminelle verschicken wohl Päckchen an (vorwiegend ältere Leute), in denen vorgeblich ein Microsoft Office enthalten ist. Der dem Paket beiliegende USB-Stick installiert aber kein Microsoft Office. Vielmehr wird eine schädliche Software installiert, die den Nutzer auffordert, eine gefälschte Supportseite aufzurufen. Dort wird gefordert, dass der Benutzer Remote-Zugriff auf das System gewährt – Ziel ist wohl an Kreditkarten- oder Bankdaten zu kommen, um die Opfer abzuzocken.


Anzeige

Vermutlich wird es nicht so viele Fälle geben – ich poste die Details aber trotzdem hier im Blog, um ggf. für das Problem zu sensibilisieren. Ich selbst bin über Twitter von Nutzern auf nachfolgenden Tweet hingewiesen worden.

Fake Office send by mail

Post von Betrügern

Sky News hat das Thema in diesem Beitrag aufgegriffen. Das Problem: Kriminelle verschicken gefälschte Pakete mit angeblichen Office-Produkten per Post, um die Empfänger zu betrügen. Die Sendung enthält ein ein gefälschtes Paket, welches vorgibt, Microsoft Office zu enthalten. Mit im Paket liegt ein USB-Stick, der den Microsoft Produkt-USB-Stick (Installationsmedium) nachempfunden ist. Alles erweckt den Anschein, dass es sich um eine Sendung von Microsoft handelt.

Ein solches Paket, das Sky News in die Finger bekam, ist wohl gut gefälscht, enthält es doch einen gravierten USB-Stick sowie einen Produktschlüssel. Microsoft hat gegenüber Sky News bestätigt, dass Kriminelle gefälschte Pakete verschicken, die den Anschein von Office-Produkten erwecken sollen, um Menschen zu betrügen.

Aktuell wird der Vorgang intern bei Microsoft untersucht, nachdem das gefälschte Paket an Redmond geschickt wurde. Ein Sprecher des Unternehmens bestätigte, dass es sich bei dem USB-Stick und der Verpackung um eine Fälschung handelte und dass es bereits zuvor ein Muster solcher Produkte gegeben habe, mit denen Opfer betrogen wurden.

Aufgefallen ist es Martin Pitman, ein Berater für Cybersicherheit bei Atheniem. Dieser entdeckte ein solches Paket mit einem gefälschten USB-Stick, der angeblich Microsoft Office enthalten soll. Seine Mutter hatte ihn angerufen, als sie bei einer anderen Person zu Hause war und diese versuchte, das Office-Paket vom USB-Stick zu installieren.

Laut Pitman kommt es zwar selten vor, dass Betrüger diesen Aufwand treiben und einen USB-Stick samt Produktverpackung fälschen, um diesen per Post zu verschicken. Es gibt zwar Angriffe mit solchen "Ködern", aber auf Grund des Aufwands muss es sich um ein lohnendes Ziel handeln. In der Regel versuchen Betrüger per E-Mail zu agieren und bieten einen (schädlichen) Download samt gefälschtem Produktschlüssel an. Es ist daher davon auszugehen, dass es mehr Fälle geben wird.

Wie funktioniert der Betrug?

Das bereits im Ruhestand befindliche Opfer bekam unerwartet die Sendung mit dem USB-Stick per Post – alles sah wie ein Office 365-Produkt aus. Als das Opfer den USB-Stick in den Computer einsteckte, erschien eine Meldung, dass ein Virus vorhanden sei. Das Opfer wurde angewiesen, eine gebührenfreie Nummer anzurufen, um den Computer wieder zum Laufen zu bringen.

Hier sind eigentlich bereits zwei Fehler passiert. Einmal hätte der USB-Stick aus unbekannter Quelle nicht an den Computer gedurft. Und das Opfer hätte die angegebene Supportnummer per Internet überprüfen müssen. Dann wäre klar geworden, dass es ein Betrugsversuch war. Aber die meisten Opfer denken nicht an so etwas. Ich verweise an dieser Stelle auf diesen Golem-Beitrag, der sich mit einer neuen Version des Bad-USB-Sticks Rubber Ducky befasst.

Nach dem Anruf der gefälschten Supportnummer installierte der Helpdesk ein Fernzugriffsprogramm und übernahm die Kontrolle über den Computer des Opfers. Nach einigem "Voodoo" wurde das Opfer an das "Office 365-Abonnementteam" weitergereicht, um die Aktion abzuschließen. Dort gab das Opfer allerdings nur seine Kreditkartendaten – aber keine Bankdaten – an. Pitman führt das als "Vorteil" an, denn Kreditkartenbelastungen können storniert werden. Er riet dem Opfer dazu, die Kreditkarte sperren zu lassen.


Anzeige

Aktuell geht für mich nach dem Querlesen des Sky News-Artikels nicht hervor, was die Betrugsabsicht war. Mir kommt aber ein Verdacht: Wenn die Betrüger sich wirklich Office 365-Produktverpackungen besorgt haben, könnte es sein, dass dem Opfer über das "Office 365-Abonnementteam" ein solches Abo untergeschoben und über die angegebenen Kreditkarten-/Bankdaten abgerechnet werden soll. Die Betrüger kassieren dann ggf. eine Provision für den Verkauf des Office 365-Pakets. Die Frage ist halt, wie lange das gut geht, da die Hintermänner einen hohen Aufwand betreiben müssen und immer das Risiko besteht, dass sie ausfindig und dingfest gemacht werden.

Was an dieser Stelle bleibt, ist, die Blog-Leserschaft für das Thema zu sensibilisieren. Wenn so etwas unerwartet (unbestellt von einem unbekannten Absender) per Post kommen sollte, keine Medien oder USB-Sticks in den Computer einlegen und irgend etwas installieren. Und vor allem keine Kreditkarten- oder Bankdaten weitergeben.

Ähnliche Artikel:
Microsoft-Betrugsanrufe – neue Welle (Nov./Dez. 2019)
Neues zu Microsoft-Betrugsanrufen (Tech-Scam)
Betrugsversuche durch falschen Support


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Sicherheit: Wenn plötzlich ein (Fake-)"Office 365-Paket" per Post kommt

  1. Kai sagt:

    "Wenn so etwas unerwartet (unbestellt von einem unbekannten Absender) per Post kommen sollte"

    Nicht nur per Post, sondern generell. Ob nun Post, Mail, SMS, Messenger, Person vor der Haustür, Anruf oder auf der Straße angesprochen: überraschend -> Betrug(sabsichten). Auch beim bekannten Absender sollte lieber erst einmal die Alarmglocke schellen, wenn das Anliegen nicht normal / unerwartet ist.

  2. Blupp sagt:

    Sensibilisierung ist gut. Wer sensibilisiert unsere Politik?
    Vor dem Hintergrund, dass über das Registerportal der Länder Jeder ungeprüft vollen Zugriff auf sehr persönliche Daten von Vorständen in Firmen, Genossenschaften und Vereinen bekommt, Adresse und Geburtsdatum sind z.B. dabei, wurde geradezu eine Steilvorlage für solche Betrüger geschaffen.
    Datenschutz, was ist das nochmal, was neues zum Essen oder ein Bewustsein Erweiterndes Gertränk? Was rauchen unsere Politiker eigentlich? Ja klar ist unwichtig und geht keinem was an, sie sollten aber deutlich weniger nehmen.
    Oder anders gesagt: Mal sehen wann eine Kollegin im Vorstand, die ist Ü70 aber zum Glück geistig sehr viel jünger, Post bekommt. Mein Eindruck ist: Irgendwie merkt man in diesem Land nichts mehr.

    • Ralf S. sagt:

      "Mein Eindruck ist: Irgendwie merkt man in diesem Land nichts mehr."

      Gut erkannt!
      Man kann auch sagen der Kompass funktioniert nicht mehr richtig oder/und die Kartographen erstellen immer schlechtere Landkarten, auf denen diverse Klippen, Untiefen, Meerengen, Eisberge (…) fehlen. Aber so ist es halt, wenn diverse Ideologien, Ideologen und vor allem jede Menge Angst das Steuer und Ruder übernehmen und nicht mehr weiter- und zielführende (!) Fakten und vor allem Vernunft. Vernunft und Ideologien passen i. d. R. nicht besonders gut zusammen. Hat uns die Vergangenheit immer und immer wieder ge-/belehrt. Und zwar auf beiden Seiten der politischen Bühne.
      Die Mehrheit wollte und will es nun mal so. Tja …

  3. Belfort sagt:

    Das liest sich nicht wie eine zufällige oder willkürliche Paketzusendung, der Beruf des Sohnes kann Interesse bestimmter Kreise geweckt haben. Der festgestellte Scam kann auch der Verdeckung dienen.

  4. Paul sagt:

    Das ist doch für die Täter hoch riskant.
    Jeder USB Chip hat eine Nummer, und gefälschte Gravuren sindt auch nicht an jeder Ecke zu bekommen.
    Ausser, Microsoft sind ein paar verloren gegangen worden…

    Dann wird das Teil ja irgendwo ins Postsystem eingespeist… Was auch nach voll ziehbar abgespeichert wird. (schon mal die neuen Briefmarken gesehen?) .

    Natürlich steht es jedem frei, irgendwem irgendwas zu schlcken. Der Empfänger muß es nur eine gewisse wertabhängige Zeit lang verwahren, ehe der Absender es wieder abholt

  5. Andreas Hofer sagt:

    Sind solche Hinweise wirklich noch sinnvoll?

    Kürzlich hat eine Bekannte bereits zum zweiten Mal auf eine Viruswarnung im Webbrowser reagiert und sich ein paar Trojaner installieren lassen. Ich habe Ihr darauf hin Windows neu installiert, sie hat ihre (wenigen) Kennwörter geändert und Bankdaten oder ähnliches gab es nicht auf dem Gerät: Glück gehabt.

    Aber wer liest solche Warnungen? Meine Bekannte sicher nicht…

    • Paul sagt:

      Wenn's groß genug ist, dann warnt auch die Tagesschau, auch wenn es nur ein Hoax war.

      Only bad news are good news.

    • 1ST1 sagt:

      Ich finde das schon interessant, alleine wegen dem finanziellen Aufwand, solche Pakete herzustellen, Design, Druckerei, irgendeine Elektronik-Klitsche, welche passende USB-Sticks herstellt, usw. So ein Schadsoftwarepaket kostet ein bischem mehr als eine Email. Je mehr Personen man damit adressiert, um so günstiger wird das Einzelpaket…

    • Tobi sagt:

      Ich versuchs auf der Arbeit immernoch weiter den Leuten solche Infos zu vermitteln. Mit bisschen Witz die Sache einzuleiten, hilft die Leute bei der Stange zu halten. Falls man noch Humor übrig hat und man den Galgen im Hintergrund nicht zu sehr im Geschriebenen wahrnimmt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.