Technischer Support – nicht immer gehören sie zu den Guten

Einige Male schon haben wir Blog-Posts über gefälschte Antiviren-Programme veröffentlicht, in denen wir aufgezeigt haben, wie Suchmaschinen mittels illegaler Methoden zur Suchmaschinenoptimierung (Black Hat SEO) benutzt werden, um Internetsurfer auf gefälschte AV-Websites umzuleiten.

Vor kurzem haben wir nun festgestellt, dass diese verbreiteten Fake-Versionen von Sicherheitslösungen stets mit einer Schaltfläche „Online Support“ ausgestattet sind. Zu erkennen in der oberen rechten Ecke:

Klickt ein Anwender auf diese Schaltfläche, wird er zu einem Livechat des Technischen Supports des gefälschten AV-Programms geführt. Wir wollten wissen, ob es ein Bot ist, der die Fragen auf Basis auf bestimmter Schlüsselwörter beantwortet oder doch echte Personen, und wie sich herausstellte, sind sie tatsächlich „echt“!

Der Technische Support wird von ihnen im Chat, aber auch über Telefon oder E-Mail angeboten. E-Mail bietet sich besonders an, wenn der Anwender kein Englisch spricht. Über den Livechat erhält er (auf Englisch) eine Aufforderung, in seiner jeweiligen Muttersprache eine E-Mail an eine bestimmte Adresse zu senden, um dann den Support in dieser Muttersprache zu erhalten:

Ist ein Computer bei einer Recherche mit einer Suchmaschine (wieder Black Hat SEO) mit einer Rogue-AV infiziert worden, und kontaktiert der Anwender nun ihren Technischen Support, muss er angeben, für welche Antiviren-Lösung er den Support wünscht.

Nach Bekanntgabe der jeweiligen AV-Lösung stellen sie eine „kostenlose Testversion“ des Programms, mit dem die von dem ersten Programm festgestellten Infektionen entfernt werden sollen, zur Verfügung (diese Programme haben sehr ähnlich klingende Namen).

Die Testversion hat folgendes Erscheinungsbild:

Das Programm hat dieselbe Benutzeroberfläche, jedoch einen geringfügig abweichenden Namen – sowie dieselbe Schaltfläche für den „Online Support“.

Die gefälschte Sicherheitssoftware benutzt dieselbe Sprache wie das Betriebssystem des Anwenders: Verwendet ein Anwender beispielsweise die französische Version von Windows XP, erscheint die Benutzeroberfläche der Rogue-AV ebenfalls auf Französisch, wodurch sie noch überzeugender für den Anwender wird.

In unserem Gespräch mit dem sogenannten Support fanden wir heraus, dass es sich bei der ersten gefälschten AV-Lösung lediglich um einen ‚Kostenlosen Scanner’ handelt, während die ‚Testversion“ ein voll funktionsfähiges Produkt ist. Haken an der Sache ist, dass der Testzeitraum nur einen Tag dauert. Zudem wird mit der Testversion das erste Programm keineswegs entfernt, denn die falschen AVs sind ebenfalls mit speziellen Säuberungstools ausgerüstet:

Hier sehen Sie den Uninstaller. Für jedes von ihnen „verkaufte“ Programm existiert ein eigener, und er entfernt die gefälschte Sicherheitssoftware tatsächlich von einem Computer, zumindest teilweise. Je nach Säuberungstool bleiben jedoch einige Dateien auf dem Computer bestehen, so dass die gefälschte Sicherheitssoftware vielleicht wieder ausgeführt werden kann…wer weiß es schon? Durch den Säuberungsprozess wird der Computer nicht etwa wieder in seinen ursprünglichen Zustand gebracht, da einige der Änderungen in der Registry immer noch vorhanden sind.

Nach der Computer gesäubert wurde, öffnet sich die folgende Online-Übersicht:

So wird der Eindruck vermittelt, als wäre diesen Typen die Meinung ihrer Kunden sehr wichtig und als ob sie alles daran setzten, ihnen die bestmöglichen Produkte und Services zu bieten

Noch während ich mit ihrem Technischen Support sprach, probierte ich verschiedene Möglichkeiten, um mich zu vergewissern, dass mir nicht ein cleverer Bot antwortet. So stellte ich beispielsweise eine simple mathematische Frage:

Wir wollten die Leute, die hinter dem Support stehen, lokalisieren und stellten fest, dass sich ihr Standort meistens in der Ukraine befindet.

Während wir die Leute vom Support mit unseren Fragen herauszufordern versuchten, um sicherzustellen, ob es sich nicht doch um Bots handelt, verfolgten wir auf eine lustige Spur.
Zwar keine höhere Mathematik, aber ich möchte Ihnen den Versuch trotzdem gerne erläutern, da sich unsere Überlegungen dadurch bestätigten.

Ich fragte also nach einem Smiley, um zu sehen, ob mir eine echte Person oder ein Bot antwortet:

Ich wusste, dass sie einen normalen Smiley verwenden würden, und fragte daher absichtlich nach einen ‚langen’, und zwar aus folgendem Grund:

Durch meine Gespräche mit meinen Kollegen von Kaspersky Lab hatte ich festgestellt, dass viele Chatter in Russland (und ebenso in der Ukraine, wie ich nach einigen Recherchen in sozialen Netzwerken herausgefunden hatte) ihre Smileys ohne die Augen schreiben „:“.

Diese Schreibweise habe ich sonst in keinem anderen Land beobachtet. Bei einem langen Smiley würde man üblicherweise etwas wie „:))))“ erwarten, aber in diesen Ländern, wo die Augen des Smileys weggelassen werden, erhält man folgendes: „))))“. Damit wäre unsere Hypothese über die Ortsbestimmung bestätigt:

Die Zeichenfolge “))))” soll den langen Smiley darstellen, nach dem ich gefragt hatte. Lustigerweise hat ihr Smiley keine Augen, genau, wie ich erwartet hatte, so dass unsere Überlegungen zu ihrem Standort nur noch einmal untermauert wurden.

Ich fasse zusammen:

Ich kontaktierte ihren Support um 4 Uhr morgens und erhielt tatsächlich Antwort auf meine Fragen, was belegt, dass sie wirklich einen Support rund um die Uhr anbieten. Dieser Support wird mittels E-Mail, Chat und Telefon geleistet und ist äußerst gut organisiert. Anwender erhalten Uninstaller für ältere Versionen ihrer Programme sowie Testversionen der neueren Produkte.

Im Unterschied zu ihren Vorgängern „säubern“ die neueren Programme den Computer. Ich habe einige der Sessions aufgenommen, und Sie können sie sich gerne anschauen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.