Gestern rief mich ein Kunde an. Er hatte einen Anruf von Micosoft bekommen und ist jetzt unsicher, ob das alles so seine Richtigkeit hat. Hatte es natürlich nicht, aber ich fand das Vorgehen durchaus interessant.

Er bekam also einen Anruf und der Anrufer erklärte ihm in einem Indisch-Englisch, er rufe »von Windows « an. Bei Microsoft würden viele Fehlermeldungen von ihm ankommen, die darauf hinweisen, dass der PC von vielen Vieren befallen wäre.

Danach führte ihn der Anrufer durch ein paar Fenster, die alle jeweils den Virenbefall des Rechners zeigen sollten – konkret rief er jeweils durch [Windows-Taste]-R das »Ausführen«-Fenster auf und öf;fnete von dort den Prefetch- und den Inf-Ordner sowie eines der Windows-Verwaltungs-Tools. Jedes Mal, wenn in den Fenstern auch nur irgendetwas erschien (und irgendetwas erscheint nat&uumlrlich immer), behauptete der Anrufer, das seien alles Viren.
Abschließend sollte mein Kunde dann ebenfalls im »Ausführen «-Fenster »www.ammyy.com « eingeben und auf der erscheinenden Website dann das Tool herunterladen.
Da brach er dann – obwohl ihm nicht klar war, dass er nun im Web war – zum Glück ab. Zum Glück, denn es handelt sich bei Ammyy ja um eine Fernwartungssoftware, die vermutlich im nächsten Schritt dem Anrufer uneingeschränkten Zugriff auf seinen Rechner erlaubt hätte.

Das Vorgehen ist natürlich recht klug: Die meisten Anwender haben schon einmal ein Fenster gesehen, in dem sie nach einem Absturz des Rechners oder eines Programms gefragt werden, ob sie die Info darüber an Microsoft senden möchten – die Behauptung, dass Infos über Fehlfunktionen bei Microsoft ankommen wirkt also erst einmal glaubhaft.
Der Shortcut [Windows]-R, Shortcuts überhaupt, sind kaum jemand geläufig, das »Ausführen-Fenster auch eher nicht.
Auch die aufgerufenen Ordner kennt niemand, der sich nur in Anwender-Software wie Word, Excel oder seinem eMail-Programm bewegt; die Dateinamen dort sind eher kryptisch und die Menge an Dateien im inf-Ordner ist deutlich höher, als ein Anwender das aus eigenen Explorer-Fenstern kennt.
User, die Webadressen normalerweise ins Suchfeld von Google eingeben, wissen dann auch nicht, dass man URLs ebenfalls ins »Ausführen «-Fenster eingeben kann und so genau so ins Web gelangt, wie mit dem Start des Browsers.

Bei Nachfragen wiederholte der Anrufer ständig, das Opfer kenne sich wohl nicht richtig aus, bei Microsoft bekäme man von ihm eine Menge Fehlermeldung und man würde »lots of trouble « verursachen. Es wurde also auch auf das Gewissen und die Unkenntnis des Angerufenen Druck ausgeübt.

Sobald man auflegen möchte, versucht der Anrufer erneut an das Gewissen zu appellieren und sagt, dass es nicht Fair wäre, nun aufzulegen, wo die Hilfe schon fast abgeschlossen wäre und man die Zeit des Anrufers verschwendet hätte.

Lassen Sie sich davon nicht beeinflussen und teilen Sie dem Anrufer mit, dass er nicht mehr anrufen soll und legen Sie schnellstmöglich auf!

Insgesamt also ein psychologisch recht ausgeklügeltes Vorgehen, das

  1. sowohl auf dem Unwissen der meisten User
  2. als auch erst recht auf dem schlechten Gewissen über eben dieses Unwissen
  3. und auch auf dem schlechten Gewissen, dass diese Unkenntnis jetzt anderen Arbeit verursacht

aufsetzt.

Ist es noch nötig zu sagen, dass Micosoft natürlich nie jemanden anruft, um ihn dann per Telefon zu irgendeiner Software-Installation zu lotsen?
Ok, sicherheitshalber: Micosoft wird nie jemanden anrufen und ihn telefonisch zu irgendeiner Installation bewegen. Microsoft bekommt keine Meldungen, wenn ein Rechner einen Virus hat.
Ich persönlich bezweifle sogar, dass die seltsamen Fehlermeldungen, die man nach einem Absturz senden kann irgendwo landen, geschweige denn gelesen werden, aber das ist eine andere Geschichte.

Noch ein paar Links: