Opgelicht — vervolg

Het is nu een week geleden dat een oplichter mij belde om mijn computer stuk te maken en mij ervoor te laten betalen. Ik wil nu wat meer vertellen over de scam zelf om anderen te helpen er niet in te trappen. Een goed startpunt is de video Scamming the scammers waar ruwweg dezelfde scam in is opgenomen.

De oplichters pakken hun oplichterij zeer professioneel aan. Ze werken met een script. Alles wat ze doen en vertellen, hebben ze al duizenden keren uitgeprobeerd. Bovendien werken ze in teams. Degene die je aan de lijn hebt kan zich dus vooral met jou bezig kan houden, terwijl een “technicus” je computer te grazen neemt. Dankzij hun training zijn ze in staat om veel kritische vragen te beantwoorden. Ook proberen ze je ervan te weerhouden om zelf wat extra controles uit te voeren tijdens de scam.

De oplichter probeert je over te halen om hen toegang te geven tot je computer. Dat doen ze vaak met de logboeken van Windows.

  • Druk tegelijkertijd op de Windowstoets en “R”. Dan opent de “Uitvoeren” dialoog.
  • Type “eventvwr”. Nu openen zich de logboeken van Windows.
  • Open een map aan de linkerkant en selecteer een icoontje, bijvoorbeeld: Windows logboeken/Systeem. De middelste kolom toont nu het systeemlogboek van Windows.
  • Schrik van de grote hoeveelheid foutmeldingen.

In tegenstelling tot wat de oplichter je vertelt is het normaal dat Windows een hoopt fouten aan zijn logboek toevertrouw. Bovendien stuurt Windows die informatie niet op naar Windows support. Voor remote access laten ze je een legitiem programma van het internet downloaden.

Als de oplichters eenmaal binnen zijn is het doel om je ervan te overtuigen dat de problemen nog veel groter zijn en dat je een abonnement moet kopen om je computer te beschermen. Daarnaast zijn ze er wellicht op uit om malware te installeren en informatie te stelen.

Via “msconfig” kun je een lijst met services op de computer zien. Een deel ervan is gestopt. De oplichter vertelt dat virussen dat hebben gedaan. De oplichter opende Prefetch een map met informatie die Windows gebruikt om bepaalde programma’s en services versneld op te starten. Hij wees op bestanden met de naam “rundll32” en opende de browser met een pagina die waarschuwde door een virus dat zich voordoet als “rundll32”. Om te verklaren dat mijn virusscanner dit virus had doorgelaten liet de oplichter zien dat de scanner staat ingesteld op Windows 8, terwijl ik Windows 8.1 heb. Hij loog dat dat een probleem was dat alleen zijn bedrijf kon oplossen. Het volgende verhaal was dat een abonnement op bescherming was verlopen. Om me daarvan te overtuigen opende hij “certmgr.msc”. Dit is een verzameling van certificaten waar ook verlopen certificaten tussen staan, dus hij kon iets laten zien wat verlopen was.

Ondertussen opende de oplichter af en toe “sysreg”. Pas ermee op. Dit programma regelt de encryptie van gebruikersaccounts. Het laat je ook een nieuw wachtwoord instellen. Hiermee kan de oplichter je buiten je eigen computer sluiten. De oplichter maakt daar overigens geen woorden aan vuil–dit hoeft het slachtoffer niet direct te weten. De oplichter heeft een keer teruggebeld om de te vragen hoe het met mijn computer ging, dus wellicht wilde hij me laten betalen voor het wachtwoord.

De scam is begonnen door het Indische bedrijf Comantra. Comantra belt niet alleen rond om slachtoffer te zoeken, maar zet ook advertenties op internet, zodat mensen met computerproblemen hen opbellen. Het is mogelijk dat andere oplichters hun werkwijze intussen volgen en ook dat Comantra nu onder andere namen opereert.