David Jacoby, säkerhetsexpert på Kaspersky, har fått flera samtal från bedragare som påstår sig vara från Microsoft. Till slut tröttnade han på samtalen och bestämde sig för att spela med, samtidigt som han loggade allt som hände i en riggad virtuell maskin. När samtalet var över hade David Jacoby lyckats få reda på telefonnummer, ip-adresser och Paypalkonton som bedragarna använder. Han har även skrivit en detaljerad beskrivning om hur bedragarna försöker lura sina mål.
I korthet går bedrägeriet ut på att utnyttja människors tekniska okunnighet i en rad steg. Bedragarna ringer upp och påstår att de ringer från Microsoft. De säger att de upptäckt att din dator är infekterad med skadlig kod och därefter ber de sitt mål att gå igenom flera steg för att "bevisa" att datorn faktiskt är infekterad. Bland annat påstår bedragarna att den skadliga koden gör att datorn använder väldigt lite systemresurser samtidigt som de ber den drabbade öppna systemaktivitetshanteraren där grafer över hur mycket systemresurser datorn använder finns.
När användaren har vaggats in i tron att datorn är infekterad går bedragarna in i nästa fas. De ber användaren att köra ett kommando i kommandotolken för att säkerställa att den dator användaren sitter vid är den dator bedragarna har i sin databas. De kallar det Consumer License ID, eller CLSID, men i Windows används CLSID i själva verket för att associera filtyper med program. Användaren får sedan en rad nummer och siffror upplästa för sig, som stämmer överens med vad användaren har i sin kommandotolk efter kommandot. Det är i själva verket ett associationen för filtypen ZFSendToTarget.
Användaren kommer därefter få veta att om den kör kommandot 'verify' och resultatet är att verify är 'off' innebär det att användarens Windowslicens inte är verifierad. Komandot har dock ingenting med själva licensen att göra, utan används för att säkerställa att verifiera att data skrivits korrekt till hårddisken. Användaren får dock veta att inga säkerhetsuppdateringar kunnat installeras eftersom licensen inte är verifierad. Bedragarna vill därefter ta kontroll över datorn med hjälp av administrationsverktyget AMMYY. Användaren får reda på att bedragarna kommer säkra datorn mot betalning. Om användaren tillåter det installeras ett program på datorn och en chatruta dyker upp där det står att datorn nu är säkrad. Även ett Paypalformulär dyker upp där användaren bes fylla i sina uppgifter för att genomföra betalningen.
Där hade historien kunnat sluta, men tack vare att David Jacoby var medveten om att de var bedragare lyckades han identifiera flera Paypalkonton som de använder, ukfastcare@gmail.com och ddkcare@gmail.com. Genom att lura bedragarna att ansluta till en riggad sida lyckades han även komma över bedragarnas ip-adresser.
Microsoftbedragarna använder sig av en vanlig bedrägerimetod som kallas social ingenjörskonst, som innebär att lura intet ont anande användare att betala frivilligt, snarare än tekniskt kapa åt sig betaluppgifter. Här är några tumregler för att undvika att bli lurad:
- Lägg på. Var alltid skeptisk mot personer som ringer upp och påstår sig ringa från ett företag, i det här fallet Microsoft. De flesta företag ringer aldrig upp eller tar kontakt med kunder själva.
- Håll datorn för dig själv. Ge aldrig kontrollen över datorn till okända personer. Inte bara för att de då kan installera skadliga program, utan även för att den som kopplar upp även kan se dina privata filer.
- Håll dig uppdaterad. Ha ett bra virusskydd installerat och uppdatera det ofta. För effektivast skydd bör även själva operativsystemet, webbläsare och andra program hållas uppdaterade.
- Lämna inte ut betaluppgifter. Var försiktig med att lämna ut betaluppgifter. Om du ändå utätts för bedrägeri, spärra alla dina kort. Kom även ihåg att spärra din identitet hos kreditupplysningsföretagen.
