Warnung: Fake-Trojaner-Alarm (hier über Facebook-Anzeigen)

[English]Kurze Information für Facebook-Nutzer. Es deutet sich an, dass eine Kampagne über Anzeigen auf Facebook läuft, die dem Nutzer einen Fake-Trojaner im Browser vorspiegelt und diesen auffordert einen "Microsoft Supportseite" anzurufen. Das ist natürlich auch Fake und es läuft auf Betrug hinaus. Mir ist die Tage eine solche Anzeige untergekommen, und ich stelle es kurz im Blog ein.


Anzeige

Der Browser meldet einen Trojaner

Ich konnte es kaum glauben – ich habe am 29. August 2024 auf Facebook einige Postings aus IT-Gruppen sowie PMs von Blog-Lesern überprüft, aber bewusst nichts angeklickt. Es waren lediglich eine Reihe Tabs (von Facebook und anderen Webseiten) im Browser offen. Plötzlich öffnete sich ein Fenster, welches mir einen Trojaner auf dem System suggerierte.

Fake-Trojaner-Alarm über Facebook-Anzeigen
Fake-Trojaner-Alarm über Facebook-Anzeigen; zum Vergrößern klicken

An dieser Stelle war klar, dass dies der Versuch war, den Nutzer zu übertölpeln und die Fake "Sicherheits-Hotline" von Microsoft anzurufen. Was da bei einem Anrufversuch passiert, ist mir unklar. Ich konnte es nicht im Detail analysieren. Möglicherweise versucht das Popup auch den Benutzer in seiner Verzweiflung zum Anklicken der Schaltfläche Erlauben oder Leugnen zu bewegen und es wird dann ein Script mit weiteren Aktionen ausgeführt.

Über den Taskmanager beendet

An dieser Stelle war ich erst einmal perplex, weil ich ad-hoc keine Schaltfläche zum Schließen sehen konnte – die Tabs waren ausgeblendet. Dass ich im Bereich des Popups oder der Schaltflächen nichts anklicke, war klar. Ich hab dann noch was durch Anklicken der Favoritenleiste versucht, war aber sofort im Vollbildmodus – die ESC-Taste zum Schließen dieses Modus reagierte meiner Erinnerung auch nicht mehr. Ich habe dann über Strg+Alt+Entf das Kontextmenü der Windows-Shell aufgerufen und den Befehl zum Wechsel in den Taskmanager gewählt.


Anzeige

Dies beendete den Vollbildmodus und der Desktop erschien mit dem Fenster des Taskmanager. Ich habe danach nochmals versucht, zum Browserfenster zu wechseln, war aber erneut in der Situation, keinen Tab zu finden, über den ich diese Fake-Anzeige schließen konnte. Ich habe dann noch schnell einen Screenshot zur Dokumentation angefertigt und dann im Taskmanager den Prozess für die Anzeige angeklickt und diesen beenden lassen. Damit war der gesamte Chromium-Clone abgeschossen.

Wo kommt die Anzeige her?

Im Rahmen der Erstellung dieses Blog-Beitrags habe ich noch versucht, etwas mehr herauszubekommen. So wollte ich ergründen, was hinter der Anzeige steckt und woher die Anzeige kam. Ein kurzer Versuch, die Ziel-URL im Verlauf des Browsers zu finden, scheiterte  – ich gehe davon aus, dass alles per Script erfolgte, welches dann obiges Popup anzeigte.

Bei einer schnellen Recherche habe ich keine Infos zur angegebenen Telefonnummer gefunden – die Vorwahl  03830 gehört zur Insel Hiddensee. Wie oben erwähnt, habe ich keine Schaltfläche angeklickt, um irgend etwas auszulösen. Ein Rechtsklick funktionierte im Popup-Bereich meiner Erinnerung nach nicht (sonst hätte ich mir den Quellcode angesehen).

In der URL aus obigen Screenshot lässt sich aber aus dem String ?utm_medium=paid&utm_scouce=fb&utm_id=120213364759770742 erkennen, dass dieses Popup über eine bezahlte Anzeige auf Facebook ausgespielt wurde. Und anhand der URL im obigen Screenshot erkenne ich aber, dass die URL auf Inhalte unter web.core.windows.net verweist, dort wurde die Fake-Warnung ausgelöst.

Ergänzung: Einen Trigger gefunden

Im Nachgang habe ich noch den vermutlichen Facebook-Trigger, der die Anzeige (auch) in das Browserfenster bringt, gefunden.

Trigger für Fake-Anzeige

In der Desktop-Seite von Facebook wird im Anzeigebereich eine Anzeige eingeblendet, die suggeriert, dass man zwei Benachrichtigungen im Messenger erhalten hat. Möglicherweise habe ich mich bei der Auswahl diverser Optionen (wie alle Benachrichtigungen als gelesen markieren) verklickt und bin auf die Anzeige geraten. Dort konnte ich jedenfalls bei einem erneuten Test den betreffenden Browser-Tab im Browser schließen – was in obigem Fall nicht funktionierte. Ich habe dem Facebook-Support das Problem übrigens Tage vorher gemeldet – die Anzeigen sind aber weiter vorhanden – der Plattformbetreiber hat es wohl nicht eilig, solche Anzeigen zu sperren.

Randnotiz: Samstag habe ich das Problem mit den Betrugsanzeigen an den Facebook-Support gemeldet. Montag bekomme ich erneut die obige Anzeige im Facebook-Profil zu sehen. Ich dokumentiere es in meinem Facebook-Profil und warne davor. Ergebnis: Meine auf Facebook aufgesetzte Seite wurde gesperrt und der Beitrag "wegen Verstoßes gegen die Gemeinschaftsstandards" gelöscht. Mein Einspruch wurde abgewiesen. Facebook ist algorithmisch und von der Moderation schlicht kaputt. Ich habe die eigene Facebook-Seite nun gelöscht und werde dort die Aktivitäten herunterfahren.

Scam von web.core.windows.net bekannt

Mit dieser URL windows.net stößt man auf den Blog-Beitrag Web.core.windows.net Phishing Web Pages – Tech Support Scam. Dort wird erklärt, dass web.core.windows.net eine Azure-Blob-Speicherressource und Hosting-Plattform ist, die von Cyberkriminellen und Online-Betrügern verwendet wird, um statische Seiten mit gefälschten Virenwarnungen und Computerfehlern auf dem Browserbildschirm des Benutzers anzuzeigen.

Im Blog-Beitrag wird bereits ein Popup wie oben gezeigt, präsentiert, und es heißt, dass das Popup sowie die URL viele Benutzer dazu verleitet, zu glauben, dass die gefälschten Warnungen von Windows stammen, da die Domäne mit Windows.net angehängt ist.

Was Betroffene tun sollten

Falls jemand eine solche Anzeige angezeigt bekommt (kann nicht nur auf Facebook passieren), und bei einer Suche auf diesen Blog-Beitrag stößt, hier einige Informationen, was man tun sollte.

  • Zuerst Ruhe bewahren und keinesfalls die angezeigte Rufnummer anrufen – dort droht höchstens das Risiko, dass man als Opfer dazu verleitet wird, Zahlungsinformationen zu übermitteln, so dass die Betrüger Zahlungen abziehen können.
  • Keinesfalls irgend etwas nach Aufforderung (der angezeigten Seite oder bei einem doch ausgeführten Anruf) herunterladen und ausführen, um den PC zu entsperren oder zu bereinigen. Das ist Humbug und dient dazu, Schadprogramme zu installieren.
  • Keinesfalls Schaltfläche anklicken, sondern wie oben erwähnt, mittels Strg+Alt+Entf den Taskmanager aufrufen und den Task für den Browser (Google Chrome, Microsoft Edge, Firefox, Safari) beenden. Dann ist der Spuk vorbei und man kann den Browser wieder erneut aufrufen.

Hat man aber nach Aufforderung etwas heruntergeladen und installiert und ggf. noch einem "Supporter" der angerufenen Rufnummer den Zugriff aufs System gewährt, hilft nur noch das System auf Schadsoftware zu überprüfen oder überprüfen zu lassen. Der Beitrag hier enthält noch einige Hinweise zum Entfernen von Malware. Das halte ich aber für nicht zielführend, selbst Hand anzulegen. Der Grund: Wer auf den Scam hereinfällt, ist i.d.R. nicht technisch fit genug, um eine Malware-Infektion zu erkennen und die erforderlichen Schritte (Neuinstallation des Systems etc.) selbst durchzuführen. Aber vielleicht hilft der Beitrag hier dabei, den Vorgang etwas einzuordnen und sauber zu sortieren bzw. aufzulösen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Warnung: Fake-Trojaner-Alarm (hier über Facebook-Anzeigen)

  1. McAlex777 sagt:

    >> Hat man aber nach Aufforderung etwas heruntergeladen und installiert und ggf. noch einem "Supporter" der angerufenen Rufnummer den Zugriff aufs System gewährt, hilft nur noch das System auf Schadsoftware zu überprüfen oder überprüfen zu lassen. <<

    Die Fake-Supporter verleiten dazu, das man denen Zugriff gewährt, dann hat man i.d.R. verloren. Da hilft dann eigentlich nur eine saubere Windows Neuinstallation um Sicher zu sein, das das System clean ist.

  2. Norddeutsch sagt:

    mein Forschergeist ist geweckt – wer mag mit mir aus gesicherter Umgebung genau die Nummer wählen oder dabei die Connection tracen?
    Jahrelang hab ich bei "min Uma" extra nen Diktiergerät hingelegt, damit die solche Anrufe (waren immer für u'sen Upa, der hatte nie nen PC) von der Windows-Service-Hotline mal mitschneidet …

    p.s.: Eine Firewall hat da bei Dir nichts mitgeloggt? Zusätzliche DNS-Lookups, Connection-Tries oder Blockings zu der Zeit? (Logfiles, i love all of 'em)
    p.p.s: Das ist lt. Screenshot eine Sicherheitshotline, da kann nix passieren!

    • Günter Born sagt:

      Leider habe ich kein Logging aktiviert gehabt. Mit meinem aufbereiteten Beitrag mache ich für potentiell Betroffene doch schon weit mehr als gefordert und bringe vielleicht den Einen oder Anderen wieder in die richtige Spur. Der Rest wäre doch nur noch aus akademischem Interesse für Nerds – die dann mit Adblocker unterwegs sind (wie ein Kommentar andeutet) … ;-)

  3. Björn E. Kevalonen sagt:

    Sorry der Nachfrage, weil Sie kürzlich die Monetarisierung Ihres Blogs ansprachen: Verwenden Sie beim Surfen einen Adblocker? Falls nicht, hätte er die dubiose Anzeige verhindert? Neben der Belästigung durch Anzeigen ist ja genau das der Grund, weshalb viele einen Adblocker einsetzen: Verhinderung von Infektionen oder Betrugsversuchen mithilfe von Anzeigen. Bedauerlicherweise gehen dadurch vielen Website-Betreibern Einnahmen verloren.

    • Günter Born sagt:

      Dein Kommentar trifft aber das Thema nicht wirklich. Theoretisch könnte ich Adblocker einsetzen – ob FB dann noch funktioniert, ist zu prüfen. Aber …

      es gibt doch zwei Sichtweisen, wie ich ans Web heran gehen kann:

      * Ich will nur noch die Inhalte sehen, der Rest ist mir egal
      * Ich will sehen, wie das Web heute funktioniert, wo es Probleme gibt und was da ggf. lauert …

      Ich entscheide mich regelmäßig für das Letztere – und bin nun auf den oben skizzierten Sachverhalt gestoßen. Hätte ich zur Kenntnis nehmen und zur Tagesordnung über gehen können … aber ich sage mir "da draußen sind Millionen ohne Adblocker unterwegs, bereite den Sachverhalt auf und publiziere es – und speise es bei Facebook ein". Morgen geht der Beitrag auch in Englisch online und dann bekommt FB die Information.

      In zwei Wochen werde ich sehen, ob es ein "Sack Reis in China umgefallen"-Thema ist, oder ob die Leute den Artikel abrufen. Das ist wohl der Unterschied, warum ich als Blogger unterwegs bin.

      Es gibt hier im Blog die Artikel zur sterbenden FRITZ!Box 7590 – inkl. des Angebots, Kontakt zu Reparaturenthusiasten herzustellen. Das Thema hätte ich achselzuckend zur Kenntnis nehmen können – bin ja nicht betroffen und AVM sagt kein Problem. Die beiden Artikel haben ~70.000 und ~40.000 Abrufe, tangiert also viele Leute. Dass ich mich auch nach Monaten hinsetze, und Leute, die zwecks Reparatur anfragen, den Kontakt zu einem Dienstleister, der die Teile repariert, vermittele, bringt mir Aufwand, aber keine "müde Mark zusätzlich". Mache ich aber gerne, weil ich vielleicht ein paar Leute aus der Patche helfen kann. Und der Dienstleister, der FRITZ!Boxen für einen Händler repariert, macht es für Privatkunden auch nur aus Nachhaltigkeitsgründen.

      Drüben im 50 Plus-Blog gibt es den berühmten Artikel zur kaputten Wäschespinne (nicht aufklappbar) aus 2017. Hätte mir eine Neue kaufen können – hab aber recherchiert und bin auf Silikonöl gekommen, um die Wäschespinne gangbar zu machen. Hab das aus Jux und Dollerei dann dokumentiert und als Blog-Beitrag für die Senioren eingestellt. Dachte, es interessiert vielleicht 10 Leute …
      aktuell steht der Beitrag auf ~29.000 Abrufe und ich hatte vor Jahren den Zähler beim Stand von 69.000 Abrufen mal zurückgesetzt.

      Gibt drüben im 50Plus-Blog einen Jux-Artikel aus 2022, handelt von einem Funkmast in den USA, wo der Elektriker Lampen wechseln muss und gut Kohle für kriegt. Der Artikel liegt bei ~27.000 Abrufen und ich bekomme immer noch "Bewerbungen" für diesen Job. Ist die "Prise Salz" wenn Du als Blogger unterwegs bist ;-).

      Ergo: Nicht alles, was machbar ist, ist am Ende des Tages auch sinnvoll – imho. Ich würde mich mit einem Adblocker um viele Erkenntnisse berauben.

  4. Hobbyperte sagt:

    deutsche Microsoft Rufnummer ? Mit Sitz auf Rügen ??? Ja klar . . .

    Folgende Orte wurden unter der Vorwahl 038305 gefunden:
    Gingst – Gingst
    Gingst – Kluis
    Gingst – Parchtitz
    Gingst – Trent
    Gingst – Ummanz

    Frage: ist die Verwendung des Begriff "Anzeige" in diesem Fall Irreführend oder handelt es sich tatsächlich um eine Werbe-Anzeige im Sinne des Wortes? Und Meta geht nicht gegen so etwas vor, die lassen das einfach laufen ? Ist ja sehr Benutzerfreundlich … gut wenn man da KEINEN Account hat !

  5. Gerold sagt:

    Solche Art von Werbung ist man sich eigentlich nur von einschlägigen Websites gewohnt, wer dort regelmässig unterwegs ist braucht entsprechende Browser AddOns.

  6. Sebastian sagt:

    Was passiert wenn man da anruft kann man auf Seiten wie Youtube sehr schön sehen. Jim Browning wird auch vielen Lesern hier ein Begrifff sein.
    Das mit der Telefonnummer ist neu aber von da wird sicher direkt weitergeleitet. Spannend finde ich nur die Frage ob das die üblichen Inder sind oder die Masche jetzt lokal wird und örtliche Scamer das Konzept kopieren.

  7. Sven Fischer sagt:

    Die Fake Anzeige bekommt man aber nur, wenn ich Windows nutze? Weil, ich habe auf meinem Debian 12.6 sowohl im Firefox 115.14.0esr, als auch im Vivaldi 6.9.3447.37 noch nichts in der Art zu sehen bekommen.

    • Daniel sagt:

      Ja wenn man richtige Betriebssysteme verwendet die nicht alle Scheunentore weit offen haben passiert das natürlich nicht.

    • Günter Born sagt:

      Nun ja – ist nicht 1:1 vergleichbar – aber ich erinnere mich an einen Scam-Anruf aus Indien – direkt vonne Firma Microsoft, wo mein "puter is infected with a trojan". Tat natürlich ganz erschrocken und unbedarft. Als ich meinte "my puter is in the garden", war der Anrufer ganz perplex und setzte drei Mal an, sein Anliegen zu erklären.

      Da er immer von Windows sprach, flocht ich "Umh, I guess something is wrong – I see an apple on my puter" in dieses Gespräch ein. "Just a moment, I will contact my supervisor …" – Sekunden später war der Supervisor dran, der meinen "apple puter" von Trojanern befreien wollte. Hab's nicht geschafft, den davon zu überzeugen, dass ein Linux auf dem "apple puter" läuft, denn der Junge hat den Braten gerochen und mit "Ashole" aufgelegt ;-).

  8. Anonymous sagt:

    Die Telefonnummer ist im Regelfall eine VoIP-Nummer, die von einem indischen Scam-Callcenter benutzt wird. Die Masche ist schon älter und schwappt jetzt auch in den deutschsprachigen Raum, nachem die Scammer inzwischen europäische Sprachen lernen. Wer wissen möchten, wie so ein Scam abläuft, kann auf YouTube nach Scambaiting suchen. Da in Indien Polizei und Gerichte oft korrupt sind, können die Scam-Callcenter meist über viele Jahre unbehelligt Opfer ausnehmen. Also warnt eure Mitmenschen vor diesen Scammern!

  9. Stephan sagt:

    Sowas melde ich der Bundesnetzagentur, die sperren die Nummer. Wird dann zwar mit einer neuen Nummer weitergemacht, aber auch die kann man melden. Hase vs. Igel.

    • Anonymous sagt:

      Effektiver ist es, die Wege des Geldwaschens (Havala) zu unterbrechen, wie es einige Scambaiter machen. Wenn kaum noch Geld bei den Scammern ankommt, ist das Geschäftsmodell "Telefonbetrug" gescheitert.

  10. Markus.M sagt:

    Ich erinnere mich, etwas Ähnliches schon vor Jahren gesehen zu haben… war nicht auf Facebook, aber auch über eine Werbung… die eben als Downloadbutton getarnt war.

    Genau so ein Zeug ist der Grund, warum wir in allen Browsern den Werbeblocker per GPO drinne haben.

  11. Stefan sagt:

    Wie so ein "Support" Gespräch verläuft kann man hier mitverfolgen.

    GData hat da mal angerufen: Abzocker sagen "Bitte rufen Sie uns an" – Da sagen wir nicht nein. https://yewtu.be/watch?v=xNskW4RVbQY

    Vor ein paar Jahren hat meine Mutter auch mal so eine Nummer angerufen, allerdings ohne Verschlüsselung der Benutzerkonten. Am Ende hat sie über einen Karlsruher Zahlungsdienstleister 270 Euro bezahlt. Ich bin mit dem Dienstleister in Kontakt getreten und habe die Sachlage geschildert. Die haben sich dann zwei/drei Tage später zurückgemeldet per Telefon, wollten noch mehr Informationen und haben dann die Zahlung zurückerstattet sowie den "Eintreiberdienst" für diesen Kunden beendet. Ich hatte auch ein Domäne, Kontakt und Adressdaten von denen bekommen, falls ich weiter rechtliche Schritte anzustrengen gedenke. Es war eine in Australien ansässige Firma für IT-Support, leider weiß ich aber nicht mehr wie die Domäne oder der Name des "Unternehmens" lauteten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.