Betrüger bewerben falsche Microsoft-Support-Nummern

Wer nach Rufnummern des Telefon-Supports etwa von Microsoft sucht, kann Werbung für Telefonnummern von Fake-Supportern als Ergebnis zurückerhalten. Besonders perfide: Die URLs verweisen zudem auf Microsoft-Domains.

In einem Blog-Beitrag erläutern die Virenanalysten von Malwarebytes die aktuelle Masche. Bislang ist die Masche häufiger andersherum bekannt: In unerwarteten Anrufen geben sich Betrüger als Mitarbeiter von Microsoft aus, die etwa bei der Lösung von Rechnerproblemen oder etwa der Entfernung von Malware helfen wollen.

Google-Werbung und Microsoft-Infrastruktur

Die Virenforscher erläutern, dass sie auf Google-Werbung gestoßen sind, die aussehe, als wäre sie von Microsoft selbst geschaltet. Die angezeigte URL verweist auf Microsoft-Domains und verwendet das Original-Logo. Nach Klick auf die Anzeige landen Interessenten zudem auf einer Seite, die unter der Microsoft-Domain gehostet wird: learn.microsoft.com. Auf der Seite erscheint eine falsche Telefonnummer für den angeblich offiziellen Microsoft-Support. Das hinterlegte Profil zeigt "Microsoft Support" an und ist ebenfalls gefälscht.

In den Details der Werbung, die Google nach dem Klick auf die drei gestapelten Punkte rechts von der angezeigten URL offenbart, wird klar, dass es sich jedoch nicht um Microsoft als Werbetreibenden handelt. Ein Werber aus Vietnam hat für die konkret gezeigte betrügerische Werbung gezahlt. Die URL learn.microsoft.com kann von Leuten genutzt werden, die ein Microsoft-Learn-Profil besitzen. Sie können dort etwa Listen von Inhalten zusammenstellen, die sie Followern bereitstellen. Das können Dokumentationen, Trainingsmodule, Lernpfade, Videos, Code-Schnippsel und mehr sein, zitiert Malwarebytes die Microsoft-Beschreibung. Das Microsoft-Learn-Profil offenbart dann ebenfalls, dass lediglich "Microsoft Support" als Anzeigename auftaucht, der Nutzername lautete im konkreten Fall JamesKing-8561. Das findet aber nur heraus, wer an allen Stellen genauer hinschaut.

Eine zweite ähnliche Masche sorgt für die Anzeige einer Microsoft-URL, indem sie eine Suche mit Microsofts Suchmaschine über die URL microsoft.com/en-us/search/explore verknüpft. Die übergebenen Parameter kodieren die Daten, die dann die Telefonnummer anzeigen, und zwar als hervorgehobenen Suchbegriff. Auch dahinter verbirgt sich falscher IT-Support, der nur vorgibt, von Microsoft zu stammen. Typischerweise nutzen sie dann Fernsteuerungssoftware zum Zugriff auf die Rechner der Opfer, um denen etwa eine Malware-Infektion vorzutäuschen und für die Bereinigung Geld zu verlangen.

Die IT-Forscher erklären, dass Interessierte niemals Telefonnummern direkt aus einer Werbeanzeige einer Suchmaschine anrufen sollten. Zum Besuch der offiziellen Webseite des gesuchten Unternehmens sollten sie nicht auf "gesponsorte Links" klicken, sondern in den Suchergebnissen tiefer scrollen, bis zu den organischen Ergebnissen. Das berücksichtigt sogenanntes SEO-Poisoning jedoch nicht, also irreführende Suchergebnisse in der normalen Auflistung. Idealerweise sollte daher die Adresse der Webseite des gesuchten Unternehmens direkt in den Browser eingegeben werden. Aber auch hier ist Vorsicht geboten, könnte ein Vertipper doch Interessierte auf betrügerische Typosquatting-Webseiten mit ähnlichen Adressen leiten.

Betrüger nutzen häufig offizielle Werbung, um Opfer zu finden. In der vergangenen Woche wurde etwa bekannt, dass Kriminelle geschickt Werbung für Google-Angebote missbraucht haben, um potenzielle Opfer zu gefälschtem Tech-Support zu lotsen und ihnen damit Geld aus der Tasche zu ziehen.

(dmk)