Zitat:
Zitat von Cricri  Meine Freundin ist heute auf einen Scamming-Anruf reingefallen. |
Das ist dann aber inhaltlich nicht korrekt wiedergegeben, denn es bedeutet schon einen Unterschied, ob man überraschend angerufen wird, oder ob man aufgrund eines Browserfensters ganz von sich aus dort anruft.
Zitat:
|
Die falsche Support-Mitarbeiterin hat sie dazu gebracht, folgende Software zu installieren: UltraViewer und support-logmeinrescue
|
Niemals fordert Microsoft einen Privatkunden ohne irgendeinen Supportvertrag dazu auf, eine Fernwartungssoftware oder ähnliches zu installieren. Das
muss Fake sein, bereits an dieser Stelle bricht man spätestens ab.
Zitat:
|
Als Sofortmaßnahme haben wir ihren Rechner von Netz getrennt und unsere Router und W-LAN Passwörter resettet.
|
Ersteres war gut, zweiteres ist in dieser Konstellation allerdings fraglich. Wenn der/die Router resettet werden "musste(n)", war denn die Config-Oberfläche der Router nicht durch starke Passwörter geschützt? Das wäre hier die Frage, die man sich stellen sollte, auch mit Blick auf die Zukunft. Und mal unabhängig davon, dass dies nicht das primäre Ziel solcher Fake-Aktionen ist.
Zitat:
|
Sie hat ihre PW in Bitwarden gespeichert und das war nicht geöffnet zum Zeitpunkt des Anrufs.
|
Wenigstens das.
Zitat:
|
Ich habe Angst, dass mein Rechner auch "infiziert" wird, wenn ich ihre LOG-Files vom USB-Stick übertrage, damit ich sie hier im Board posten kann.
|
In jeden PC-Haushalt gehören vorbereitete USB-Sticks mit Live-Systemen in die Schublade, sodass man im Fall eines Falls ganz einfach und gefahrlos von diesen booten kann.
Zitat:
Zitat von Cricri PS: In unserem Netzwerk hängt auch ein NAS von Synology. Meine Freundin hat darauf ein Konto, aber keinen Admin-Zugriff. Außerdem hatte sie noch eine externe Festplatte über USB angeschlossen. Kann es sein, dass die Angreifer auch hier Malware aufgespielt haben und wie müssen wir die Devices behandeln? Danke!!! |
Backup-Datenträger gehören niemals für längere Zeitabschnitte oder gar dauerhaft am System angestöpselt. Bitte informiere Dich auf der folgend verlinkten Seite, wie ein funktionierendes Backup-Konzept aussieht!
https://www.storage-insider.de/data-...f49a6e63ecbf1/ Zitat:
Zitat von Cricri Mein Freundin ist auf so eine Fake-Seite reingefallen und hat dann den angeblichen Support kontaktiert. |
Eben. Genau das meinte ich eingangs. Denn es ist ein erheblicher Unterschied, ob man
selbst direkt angerufen wird (auch diese Option ist so anzutreffen), oder ob man z.B.
aufgrund einer Webseiteneinblendung von sich aus dort anruft. Da hier Letzteres der Fall ist, bedeutet das auch eine andere Gewichtung der Sachlage. Meint: Die Fehlerquellen/Ursachen sind andere, und somit auch die Punkte, die man künftig dringend verändern/verbessern müssen wird:
- Dass überhaupt so eine Fake-Einblendung im üblichen Stil möglich war, deutet schwer darauf hin, dass hier im Browser kein uBlock Origin und auch kein NoScript genutzt wurde. Sowas verhindert nämlich schon überhaupt solche aggressiven Einblendungen.
- Dass dann auf diese Fake-Meldung auch noch mit einem Anruf(!) reagiert wurde, ist in der Tat schwer naiv. Wie geschrieben, niemals fordert Microsoft Privatnutzer, und schon drei Mal nicht auf irgendeiner x-beliebigen Website, zum Anruf beim Microsoft-Support auf. Zumal in diesem Moment auch noch gar kein psychologisch geschulter "Mitarbeiter" irgendwelchen Druck aufbauben konnte, wie Du weiter unten ausführst.
Zitat:
Zitat von Cricri Könnt Ihr ein Backup-Tool empfehlen, das Ausführungsadateien wie .exe sicher ausklammert? |
Das, was Ihr jetzt vorhabt, ist aber kein Backup mehr, sondern fällt eher in den Bereich, Daten noch zu retten.
Backups sind immer vorbeugend, präventiv! Also, bevor das Kind in den Brunnen gefallen ist. Diese Frage deutet also darauf hin, dass bisher nichtmal ein durchdachtes Backupkonzept vorhanden gewesen ist (weitere Punkte im Threadverlauf belegen dies zusätzlich). Das müsst Ihr für die Zukunft dringend ändern, wenn Ihr Datenverluste wirklich verhindern wollt.
Für jetzt könnt Ihr von einem Live-System von USB booten. Natürlich sollte das Live-System auf einem anderen PC erstellt werden.
Zitat:
Zitat von Cricri Wie groß ist die Gefahr, wenn ich den USB Stick mit den Logfiles auf meinen Rechner ziehe? |
Auch die kann man doch locker mit einem Live-System übertragen.
Zitat:
Zitat von Cricri Plattform: Microsoft Windows 10 Home Version 21H1 19043.1766 (X64) Sprache: Deutsch (Deutschland) |
Das ist natürlich abseits der Anruf-Geschichte sehr schlecht, ganz grundsätzlich, was die Systemsicherheit betrifft. Ihr hättet hier dringend zeitnaher das System aktualisieren müssen. Bitte auch dies für die Zukunft merken und konsequent regelmäßig so umsetzen.
Zitat:
|
(C:\Users\A\AppData\Local\CloudStationBackup\CloudStation.app\bin\cloud-backup-ui.exe ->) (Synology Inc. -> Synology Inc.) C:\Users\A\AppData\Local\CloudStationBackup\CloudStation.app\bin\cloud-backup-connect.exe
|
Wenn via Fernwartung eine Datenverschlüsselung durchgeführt worden wäre, wären Daten in allen Bereichen gefährdet gewesen, auf die über das System auch sonst Schreibzugriffe möglich sind.
Zitat:
|
(Dropbox, Inc -> Dropbox, Inc.) C:\Program Files (x86)\Dropbox\Client\Dropbox.exe <7>
|
Auch Daten in einer Dropbox sind, je nach Ausgangslage, potentiell mit gefährdet, wenngleich es
einige implementierte Schuutzfeatures gibt, auf die man sich aber bitte nicht verlassen sollte.
Zitat:
|
FF Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\jkrzr0xq.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2023-02-12]
|
Hier an Stelle desen
uBlock Origin verwenden.
Zitat:
FF Plugin: @videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
|
Der auf dem System installierte VLC-Player (und somit auch das Plugin im Firefox) stammt aus dem
August 2019(!) und ist somit 3 1/2 Jahre alt! Inzwischen wurden
viele Sicherheitslücken behoben. Spielt man die entsprechenden Sicherheitspatches nicht ein, schleppt man, wie hier, über Jahre die Sicherheitslücken bei der täglichen Nutzung im Browser(!) mit.
Zitat:
|
FF Plugin: Adobe Acrobat -> C:\Program Files\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [2023-02-14] (Adobe Inc. -> Adobe Systems Inc.)
|
Auch das ist, unabhängig von der Version, eine unnötige Vergrößerung der Angriffsfläche, und kann sogar, bei falscher Konfig in Adobe, über Scripting in PDFs eine Erhöhung des Sicherheitsrisikos darstellen. Firefox hat einen integrierten PDF-Reader, diesen nutze man.
Zitat:
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2019-04-26] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Microsoft Office\Office15\NPSPWRAP.DLL [2019-04-26] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation -> Microsoft Corporation)
|
Auch das erhöht die Angriffsfläche, als Plugins im Browser.
Zitat:
|
OPR Extension: (Avira Browserschutz) - C:\Users\A\AppData\Roaming\Opera Software\Opera Stable\Extensions\dalelnnofafalcmkmnhdbigbjjkloabo [2019-04-26]
|
Ebenso der Avira Browserschutz ist/war nun wieder so ein Versuch, mit einem Virenscanner eine Absicherung herzustellen. Tipp: Einfach weglassen, sowas, und stattdessen die anderen Empfehlungen umsetzen!
Zitat:
|
2023-02-20 11:21 - 2023-02-20 11:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WISO Steuer-Start 2022
|
Ein System, auf dem solch sensible Dinge abgewickelt werden sollen, muss viel, viel besser abgesichert sein, als das Sicherheitsdesaster, das hier insgesamt vorliegt.
Zitat:
2023-02-16 11:01 - 2023-02-16 11:01 - 000043222 _____ C:\Users\A\Desktop\PayPalzahlung***.pdf
2023-02-22 10:15 - 2019-04-26 21:12 - 000000000 ____D C:\Users\A\Desktop\ebay-nebenan
|
Zumal hier auch (Be)Zahldienste und Onlineshopping zum Einsatz kommen.
Zitat:
2023-02-20 11:13 - 2021-04-17 20:53 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2023-02-20 11:13 - 2019-04-26 21:24 - 000000000 ____D C:\ProgramData\Avira
|
Siehe bitte hier:
https://www.trojaner-board.de/199203...verwenden.html Zitat:
|
Foxit PDF Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 11.1.0.52543 - Foxit Software Inc.)
|
Diese Version ist stark veraltet und stammt vom 12.10.2021, ist also auch schon 1 1/2 Jahre alt. Aktuell ist Version 12.1.
1.15289.
Zitat:
|
IrfanView 4.52 (64-bit) (HKLM\...\IrfanView64) (Version: 4.52 - Irfan Skiljan)
|
Diese Version stammt aus dem
Dezember 2018 und ist über vier Jahre alt. Aktuell ist 4.62.
Zitat:
|
Microsoft Office Professional Plus 2013 - de-de (HKLM\...\ProPlusRetail - de-de) (Version: 15.0.5529.1000 - Microsoft Corporation)
|
Das ist eine Ausführung, die es für Privatnutzer so gar nicht gibt. Wo wurde sie erworben?
Zitat:
|
QuickTime 7 (HKLM-x32\...\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}) (Version: 7.79.80.95 - Apple Inc.)
|
Das Ding ist uralt und wird schon seit Jahren
nicht mehr mit Sicherheitsaktualisierungen versorgt.
Zitat:
|
WinRAR 5.70 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.70.0 - win.rar GmbH)
|
Version ist vier Jahre alt.
Zitat:
|
ACHTUNG: Systemwiederherstellung ist deaktiviert (Total:97.76 GB) (Free:9.45 GB) (10%)
|
Auch hier hätte man viel früher reagieren müssen, cosinus hat es bereits gesagt, dadurch werden wichtige Updates unmöglich und
gefährden die gesamte System- und Netzwerksicherheit zu Hause!
Zitat:
|
Hauptplatine: ASUSTeK COMPUTER INC. UX31A
|
Auch da wurden Updates nicht eingespielt, die unter anderem die Lüftersteuerung und das Temperaturmanagement betreffen.
Zitat:
|
Prozessor: Intel(R) Core(TM) i7-3517U CPU @ 1.90GHz
|
Diese CPU ist für ihr Alter gar nicht schlecht, und reicht für einigermaßen flüssiges Office immer noch aus.
Zitat:
|
Installierter physikalischer RAM: 3981.71 MB
|
Das ist halt wenig heutzutage. Ich empfehle daher ebenfalls, auf diesem Gerät fortan eine schlanke Linux-Distro zu betreiben, beispielsweise diese:
https://zorin.com/os/download/ (Zorin OS
Lite)
Zitat:
Drive c: () (Fixed) (Total:97.76 GB) (Free:9.45 GB) (Model: ADATA XM11 256GB) NTFS
Drive d: (DATA) (Fixed) (Total:135.61 GB) (Free:72.62 GB) (Model: ADATA XM11 256GB) NTFS
|
Das ist leider eine proprietäre SSD. Um
eine genormte M.2 SATA mit mehr Speicherplatz verwenden zu können,
braucht es einen Adapter:
https://www.notebook-doktor.de/2018/...sparte-fast-50 https://www.youtube.com/watch?v=VMPjk2kIs5I https://www.youtube.com/watch?v=o6ndz8uPI0w&t=0s
Bitte nicht von den dort genannten Preisen verunsichern lassen, die Angaben stammen aus 2018, da waren M.2 SATA SSD noch weitaus teurer als heute.
Zitat:
Zitat von Cricri das Thema ist damit für mich erledigt. |
Inhaltlich, sowie was Aufarbeitung und Konsequenzen für eine künftige Absicherung betrifft, ist es das bei Weitem noch nicht.
__________________
26.02.2023, 01:05
![[Neuinstallation nötig] Scamming durch angeblichen Microsoft-Support - Standard](images/icons/icon1.gif){kind=icon}
![[Neuinstallation nötig] Scamming durch angeblichen Microsoft-Support - Ausrufezeichen](images/icons/icon4.gif){kind=icon}
![[Neuinstallation nötig] Scamming durch angeblichen Microsoft-Support](iconimages/diskussionsforum/neuinstallation-noetig-scamming-angeblichen-microsoft-support_ltr.gif)
Linear-Darstellung
