Artikel top billede

Trin for trin: Sådan lokkede it-mand svindler i fælden

It-koordinator fra Glyngøre-firma beskriver her i detaljer, hvordan han tog fusen på de såkaldte Microsoft-fupmagere.

Læs også: Snedig it-mand lokker Microsoft-svindler i fælde.

Peter Almer Frederiksen, der til daglig arbejder med blandt andet it-sikkerhed hos Glyngøre-firmaet Skov, har sendt en større bunke dokumentation til politiets efterforskere, der jagter de såkaldte Microsoft-fupmagere.

De internationale bondefangere ringer tilfældige borgere op under dække af at være it-sikkerhedseksperter, hvorefter de franarrer folk penge og får adgang til folks computere.

Men et opkald til Peter Almer Frederiksen kan i sidste ende gå hen og blive fatalt for platuglerne.

For Peter Almer Frederiksen havde forberedt sig grundigt inden opkaldet.

Herunder følger hele hans beretning - fra hans egen pen - om hvordan hændelsesforløbet helt præcist har været.

Peter Almer Frederiksen understreger, at man skal være opmærksom på, at de firmaer der nævnes i beskrivelsen, sandsynligvis intet har med svindlen at gøre, men blot har fået deres servere hacket og misbrugt.

Af sikkerhedsmæssige årsager er fjernet mailadresser og det konstruerede navn, han brugte.

"Blot i tilfælde af, at nogen i ledtog med svindlerne skulle læse danske aviser," som Peter Almer Frederiksen udtrykker det.

Resumé af hændelsesforløb vedr. "Indian virus fraud"

Peter Almer Frederiksen, SKOV A/S, 05-12-2011

For nogle uger siden:

Jeg blev ringet op af en engelsktalende kvinde med noget, der lyder som indisk accent.

Telefonen viste ikke noget nummer. Hun fortæller, at "Windows security centre" har konstaret mistænkelig trafik fra min adresse.

Jeg fatter straks mistanke til, at det er fup, og svarer som en test, at der godt kan forekomme trafik, der ser mistænkelig ud, fordi jeg arbejder en del med "IT security and forensics".
(Det første er rigtigt, det andet er kun en interesse.)

Kvinden lagde straks røret på.

En dag i november, midt på eftermiddagen

Jeg bliver ringet op af en engelsktalende herre med noget, der lyder som indisk accent.

Telefonen viser ikke noget nummer.

Han fortæller, at "Windows security centre" har konstaret mistænkelig trafik fra min adresse, som generer mange andre computere og siger, at det kan skyldes. at min pc har virus.

Han siger, at hvis jeg har min pc i nærheden, vil de hjælpe med at fjerne virussen.

Jeg svarer, at jeg skal bruge 10 minutter på at starte min gamle pc, og spørger, om han vil ringe mig op senere.

Det vil han gerne.

Læs også: Snedig it-mand lokker Microsoft-svindler i fælde.

Virtuel maskine og optage-grej

Jeg starter en virtuel maskine på min arbejdsplads via fjernstyring.

Denne VM er en Windows XP med Microsoft Security Essentials og ikke meget andet installeret.

Den er tilsluttet en separat internetforbindelse gennem en router (NAT). Den bruges normalt kun når vi har brug for at se vort eget net "udefra", eller teste noget på en separat internetforbindelse.

Jeg gør Microsoft Expression Encoder Screen Capture klar, så den kan optage skærmbilledet og lyden fra telefonen (Microsoft Lync).

Da der kort efter bliver ringet op igen, omstiller jeg kaldet til Lync.

Efter en kort introduktion bliver jeg stillet om til en anden herre, "Senior technician".

Han beder mig trykke Windows+R og skrive "eventvwr" og trykke Enter.

Det er svært at høre hvad han siger, og jeg spiller dum, så det tager sin tid.

Han beder mig kigge i Application-loggen, og han spørger hvad jeg ser.

Jeg siger at jeg ser en masse røde krydser, og han siger at det er pga. virusinfektionen.

Han beder mig trykke Windows+R igen, og skrive "inf virus" som han siger betyder "infected virus".
(Dette åbner blot mappen c:\windows\inf).

Han spørger hvad jeg ser.

Jeg siger jeg kender ikke disse filer.

Han siger det er "a lot of virus in your harddrive".

Han tilbyder at fjernstyre min pc og siger at "our Microsoft certified technician will fix your problem".

Jeg tager et snapshot af VM'en.

Han beder mig trykke Windows+R igen og skrive "www.fastsupport.com".
(domænet tilhører Citrix Online)

Jeg udfylder formularen med et til lejligheden opfundet navn, og den "support key" han oplyser: 238401599; Citrix's GoToAssist applikation installeres og starter.

Jeg får nu en anden stemme i røret, "Microsoft certified technician".

Man hører tale i baggrunden.

Han viser mig alle "virusfilerne".

Han starter en upload af et program til min pc.

Det viser sig at være "Advanced WindowsCare V2 Personal" fra iobit.com.

Han spørger om jeg har andre computere, jeg svarer nej.

Han spørger hvilken antivirus jeg bruger, jeg siger jer ikke er sikker, men at den var gratis.
(VM'en har Microsoft Security Essentials, og ikonet er synligt forneden til højre)

"Oh my god", siger han, gratis virusscannere kan skade din computer.

Tilbud: 520 euro for evig service

Han anbefaler Microsoft Security Essentials, som han siger er den bedste i hele verden.

Jeg spørger om jeg kan købe det hos Microsoft.

Han siger det ikke kan købes nogen steder, undtagen gennem ham.

Under denne samtale scannes pc'en af WindowsCare, som viser flere "alarmerende" ting med rød skrift, fx "32398 items unprotected", "570 problems found".
(I samme vindue vises at mit video device er "VMware SVGA II", som jo afslører at han arbejder på en VM, men det nævner han ikke noget om)

På et tidspunkt afbrydes telefonforbindelsen, og jeg skriver på skærmen og beder ham ringe mig op igen.

Det gør han.

Han tilbyder at hvis jeg nogensinde får problemer med min pc , kan jeg ringe til dem og de vil løse det for mig.

Jeg spørger hvordan jeg kontakter dem.

Han tilbyder en "one-time-payment", jeg kan vælge en 5-års plan for EUR 315, eller livstids for EUR 520.

Det ender med et livstidsabonnementet.

Han har oven i købet beløbet klar i danske kroner.

Han åbner siden www.responzetechnologies.com
(domænet er beskyttet af privacyprotect.org i Australien, og at dømme efter ip-adressen er serveren i Texas, USA).

I toppen af siden er der nogle flag, og han beder mig klikke på det danske flag og notere deres danske telefonnummer, +45 36967975.
(ifølge itst.dk er denne nummerserie hos TDC.)

Jeg har ikke prøvet at ringe til nummeret.

For betaling bruges et kreditkortlink forneden til højre på siden: http://phaptic.com/paymentpaypal/paymentpaypal.php

Domænet phaptic.com er ifølge whois registreret af:
P-Haptic Enterprises
Vicky Hossain (dev_stunner@yahoo.co.in)
26/3 Shahpur Colony
New Alipore
Kolkata
West Bengal,700053
IN
Tel. +91.8981805373

(Betalingsgatewayen på phaptic.com ser ud til at være en kopi af www.responzetechnologies.com, men www.phaptic.com har et helt andet design. IP-adressen hører hjemme i Michigan, USA)

Jeg udfylder formularen med det konstruerede navn, og email [slettet] (en mailadresse jeg kun bruger til test).

Jeg overføres til Paypal, hvor betalingen skal gå til bijoy.das82yahoo@gmail.com.

Spærret Visa-kort ligger klar

Jeg benytter et Dankort/VISA som blev spærret for nogen tid siden i forbindelse med at banken sendte mig et nyt kort.

Jeg benytter det opfundne navn og en fiktiv adresse.

Betalingen fejler, fordi dette kortnummer stadig er tilknyttet en Paypal-konto jeg har tilknyttet en anden adresse end [slettet].
Da "teknikeren" ikke har opfattet hvad problemet er, prøver han at skrive en anden email adresse i Paypal-formularen, han skriver: cuteydutta@gmail.com.

Der er et problem med støj på telefonforbindelsen, og han ringer mig op igen.

Han beder mig åbne min mailbox, i et forsøg på at nulstille Paypal passwordet.

Det lykkes ikke, fordi jeg ikke har nogen Paypal-konto på denne adresse.

Imens andre tilsynelandende prøver at finde en løsning på betalingsproblmet, går han i gang med at "reparere" min pc.

Han uploader nogle værktøjer.

Jeg hører at de taler sammen på et sprog jeg ikke forstår, jeg genkender ordene "Denmark" og "Dan-card"
(01:23.30 på videoen).

Han starter Defrag imens nogle taler sammen, indimellem på engelsk.

Han installerer SpeedUpMyPC 3.0 og paster en licenskode ind.

Han beder mig tjekke min mail for en email fra ham.

Jeg har modtaget en faktura fra bijoy.das82yahoo@gmail.com, med en "Pay invoice"-knap som han beder mig klikke på.

Den fører til samme Paypal-konto som før
(men der ses her et indisk telefonnummer for kontoejeren: +91 9563468611)

Denne betaling fejler også, af samme grund som før.

Afbryder forbindelsen

Han åbner en anden betalingsgateway, og beder mig bruge den: http://www.kop.org.cy/op/checkoutRequest.php
(Whois viser intet for kop.org.cy, men websiden hedder "Cyprus Poker Association." Serveren står at dømme efter ip-adressen tilsyneladende i Los Angeles, USA.)

"Teknikeren" udfylder betalingsformularen med e-mailadressen support@responzetechnologies.com og "Affiliate id" 47, og beder mig udfylde med navn m.m.

I endnu et forsøg bruger han en anden e-mailadresse i betalingsformularen, depe3k@gmail.com.

Det fører til en checkout-side: https://checkout.tradegard.com/securePayment/tradegard/checkoutRequest.htm
Domænet tradegard.com ejes af:
Optimal Payments Audax House
6 Finch Road
Douglas, IM1 2PT
IM (Isle of Man)
+44 1624 698700

Betalingen spærres af en "Verified by Visa" som beder om de sidste fire cifre i mit CPR-nummer, hvor jeg ikke bruger det rigtige nummer
(jeg bruger et nummer der ender på et lige tal - som umuligt kan være mig, men "teknikeren" har åbenbart ikke kendskab til danske CPR-numre.)

Til slut giver jeg i min "naivitet" alle kreditkortoplysninger på det spærrede kort til "teknikeren" (som i øvrigt har dem i forvejen da han har kigget med udervejs) og foregiver at forlade pc'en, og afbryder telefonforbindelsen.

Jeg vil gerne se hvad han derefter forsøger.

Han forsøger at nulstille kodeordet på min Paypal-konto på [slettet].

Da webmail-siden stadig står åben ville det være muligt for ham, hvis der eksisterede en Paypal-konto på den e-mailadresse.

I et kort øjeblik bliver jeg i tvivl om jeg har en gammel Paypal-konto tilknyttet den adresse, så jeg vælger at slukke VM'en her.

Jeg tager endnu et snapshot af VM'en efter at den er slukket.
Tilsyneladende efter at jeg havde slukket VM'en, har jeg modtaget en mail til [slettet], sendt fra info@swreg.org, hvori det til lejligheden konstruerede navn (stavet forkert) forekommer.

Jeg mener ikke navnet forekommer stavet sådan på videoen, så det må være en betaling "teknikeren" selv har forsøgt efterfølgende.

Domænet swreg.org tilhører Digital River (www.digitalriver.com), "Your global e-commerce experts".




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere