Hoe werkt #telefoonscam CLSID of ASSOC?

Hoe werkt #telefoonscam CLSID of ASSOC?


settings
  • Instellingen
  • Positie

    Automatische scrolling

Onlangs heb ik een blog geschreven over de eventviewer-scam, waarbij je wordt gebeld door iemand die beweert van de technische afdeling van Microsoft te zijn.

Hoe werkt #eventviewer-scam

Hier kun je deze blog bekijken

Een variant op de eventviewer-scam is de ASSOC of CLSID. Blijkbaar is het ‘de tijd van het jaar’, want na het telefoontje van de eventviewer-oplichters heb ik dit soort types nog vier keer aan de lijn gekregen. Nou ja, in feite iets meer, maar daarover lees je verderop.

Hoe gaat deze ASSOC- of CLSID-scam in zijn werk

Het begint ermee dat je wordt gebeld door een Engelstalig persoon die beweert voor Microsoft te werken. Meestal spreekt deze persoon met een accent. In het gesprek wordt veelvuldig gesmeten met termen als ‘helpdesk’, ‘security’, ‘technical department’, en dergelijke. De bedoeling daarvan is om jou ervan te overtuigen dat deze grappenmakers ‘echt’ zijn.

Hieronder zie je een verkorte weergave van het gesprek, het origineel duurde veel langer, met heel veel herhalingen en was uiteraard in het Engels. Op de achtergrond hoor je de geluiden van een call-centrum, je moet het gevoel krijgen dat het allemaal een serieuze zaak is.

  • Goedendag, hoe gaat het met u vandaag?
  • Prima.
  • Ik ben van de helpdesk van Microsoft en we hebben geconstateerd dat uw computer een groot probleem heeft.
  • Hoe weet u dat?
  • Wij krijgen allerlei meldingen met uw identificatienummer, daarom weten we dat het uw computers is. Het is een veiligheidsprobleem en de helpdesk wil je helpen dit op te lossen. Het is belangrijk, uw systeem is nu kwetsbaar.
  • Waarom niet gewoon via de gebruikelijke updates?
  • Dit veiligheidsprobleem is zo groot dat Microsoft belt om te voorkomen dat u veel data kwijtraakt.

Deze fase van het gesprek duurde in werkelijkheid véél langer. De oplichter gebruikt diverse keren de sleutelwoorden als Microsoft, helpdesk, veiligheid, acuut, probleem, oplossen. Hij zal me doorverbinden met de technicus, uiteraard van 'Microsoft'. Ik krijg een dame aan de lijn die zich voorstelt als ‘Lisa’.

  • Hallo ik ben Lisa. Hoe gaat het met u vandaag?
  • Prima.
  • Ik hoor van de technicus van Microsoft dat er een veiligheidsprobleem is, dat gaan we oplossen.

Een afstemmingsprobleem, want nu wordt de eerste medewerker ook een technicus genoemd. Het doorschakelen naar een andere medewerker hoort waarschijnlijk bij het protocol en moet meer vertrouwen geven.

  • Druk de Windowstoets in en tegelijk de R. Wat ziet u?
  • Ik zie een venster verschijnen.

  • Type hier: cmd.
  • Gedaan
  • Wat ziet u?
  • Ik zie een zwart venster verschijnen.

Het venster dat verschijnt is van de command-prompt. Het is een wat ouderwets aandoend scherm dat lijkt op het openingsscherm van de computer in heel vroeger tijden. Toen had je geen Windows, Linux of OSX, maar typte je de commando’s om programma’s te starten, kopiëren en dergelijke, gewoon in. Die mogelijkheid bestaat nog steeds en wordt door ervaren computergebruikers ook nog wel gebruikt. Een commando via de commandprompt gaat sneller, maar je moet uiteraard wel weten waar je mee bezig bent.

  • Type hier ASSOC
  • Gedaan.

Het commando ASSOC staat voor ASSOCIATE en laat zien met welke programma’s je bestanden geassociaeerd zijn en met welke programma's ze dus geopend kunnen worden. Als je bijvoorbeeld in de Verkenner op een bestand met .DOC of .DOCX klikt wordt Word geopend. Een dubbelklik op een bestand met .TXT opent Notepad (Kladblok). Windows moet intern dus een lijstje bijhouden waarin al die zaken worden bijgehouden. Het ASSOC-commando geeft dus heel simpelweg een opsomming, meer niet. Het gaat de oplichters echter om een prachtig ingewikkeld nummer dat helemaal onderaan deze erg lange lijst staat:

ZFSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}

Waarom is dit voor de oplichters zo interessant? Je ziet achter het ‘=’-teken CLSID. Dat ‘ID’ staat volgens hen voor ‘Identificatie’. Het nummer dat tussen de haken staat zou dan je persoonlijke Windows-identificatienummer zijn. Het lijkt qua vormgeving inderdaad wel wat op het Windows-registratienummer. Het is echter een aanduiding die te maken heeft met bestandscompressie en is voor alle gebruikers in Windows7 en hoger gelijk. Het heeft dus totaal niets te maken met een persoonlijke identificatie.

Op dit moment valt de verbinding weg – nog niet door mij. Maar ik word door dezelfde dame vrijwel meteen opnieuw gebeld. Opvallend genoeg vanaf een ander telefoonnummer.

  • Heeft u opgehangen?
  • Nee hoor, ik dacht dat u dat deed.

  • Ik zal u het nummer voorlezen dat ik hier voor me heb, dan kunt u kijken of het hetzelfde is als bij u. Dat is het bewijs dat wij echt Microsoft zijn, want anders zouden we dat nummer niet kunnen weten.

Op dit moment heb ik er echter genoeg van, en laat dat weten.

  • Dit nummer is niet uniek, alle windowsgebruikers hebben ditzelfde nummer. Ik ga verder niet in op deze telefoonscam.
  • ‘Nee we zijn echt!’

En ik hang op. Klaar? Nee. De telefoon gaat opnieuw, en weer vanaf een ander telefoonnummer. Toch krijg ik dezelfde Lisa aan de lijn.

  • ‘Waarom hangt u op?’
  • ‘Ik ga niet in op deze scam.’
  • ‘Ach, houd toch je kop.’
  • ‘Pardon?’
  • ‘Ik zei: houd je kop.’

Nu hangt de dame zelf op. Ze wilde blijkbaar erg graag zelf het laatste woord hebben. Dat de beleefdheid op het eind nogal te wensen overliet is wel te verklaren, al die kostbare tijd die onze oplichtende 'vrienden' voor niets hebben geïnvesteerd …

 

Wat had er kunnen gebeuren?

Uiteraard was de bedoeling om na de vaststelling van ‘mijn unieke nummer’ actie te ondernemen. Dat had kunnen zijn:

  • Installeren van een perfect onschuldig tooltje als Teamviewer, waarbij je op andere computers op afstand kunt meekijken en acties kunt ondernemen. Ik zou van hen de opdracht hebben gekregen om bepaalde commando’s uit te voeren óf zij hadden dat voor mij kunnen doen. Hiermee had ik een venijnig stukje software binnengekregen, een stukje malware dat mijn acties zou bespioneren en gegevens aan de oplichters zou doorgeven. Vooral gebruikersnamen, wachtwoorden en inloggegevens van banken zouden erg interessant zijn.
  • Een andere mogelijkheid zou zijn dat ik naar een bepaalde website had moeten gaan en een bepaalde link aan zou moeten klikken. Het resultaat zou hetzelfde zijn.
  • Ook zou ik wellicht een minimaal bedragje hebben moeten betalen, misschien een euro of 5 of 10, voor een bepaald stukje ‘gereedschap’. Dat gereedschap zou vol zitten met spionerende software én tijdens de online betaling zouden mijn bankgegevens afgekeken worden.

Hoe dan ook, het zou bakken met geld hebben gekost en een hoop ellende hebben opgeleverd.

 

Ophangen

Het meest verstandige dat je kunt doen als je dit soort oplichters aan de lijn krijgt: ophangen. Bedrijven als Microsoft gaan echt niet wereldwijd álle gebruikers opbellen om ze voor een probleem te waarschuwen. Echte beveiligingslekken worden in de automatische updates aangepakt.

Maar voor die ene keer dat je per ongeluk wél aan de lijn blijft is het in ieder geval goed te weten hoe men te werk gaat…

 

 (c) 2017 Hans van Gemert

Afbeeldingen: Pixabay.

Schermafdrukken van mezelf.

 

Overzicht #computerveiligheid

Meer blogs over computerveiligheid

Beloon de maker en jezelf

Word lid


Beoordeel

Reviews en Reacties:

5.0 / 5 (10 reviews)
expand_more
Verberg reacties
geplaatst op de pagina, heb weer wat bijgeleerd!
| 19:59 |
Dank je!
| 23:11 |
Goed dat je deze blog schrijft. Vele mensen trappen hier helaas nog steeds in. Microsoft belt niet, nooit niet.
| 19:17 |
Exact. Daar kunnen ze niet aan beginnen met miljoenen Windows-Gebruikers!
| 23:07 |
Nare mensen ja zoveel mogelijke mensen moeten hier vanaf weten. Ik ga het delen
| 14:39 |
Fijn, dank je wel!
| 17:07 |
Wat een oplichters! Het wekt al argwaan als een beller begint met 'Hoe gaat het met u?'
| 14:05 |
Ja, dat klopt wel :-)
| 17:07 |
Wij hebben een afgeschermd telefoonnr. (daar moet je extra voor betalen, maar dat doen we graag).
| 17:53 |
Dat zal vast schelen!
| 18:38 |
boeven DAT zijn het, ik knal er direct de hoorn op
| 13:30 |
Dat is het beste!
| 17:06 |
Sommigen die door hebben dat ze bijna worden belazerd, verbreken de verbinding. Mede dankzij jou weten we wat er verder gebeurd.
Ook deze is té belangrijk om niet te delen!!
| 13:29 |
Dank je wel!
| 17:06 |
Graag gedaan!
| 17:34 |
Bedankt voor de waarschuwing!
| 13:19 |
Graag gegeven!
| 17:06 |
Heel duidelijk uitgelegd en ik denk dat velen hier wat aan hebben! ga hem delen voor je!
| 13:05 |
Fijn, dank je wel!
| 17:06 |
Graag gedaan
| 17:52 |
Ze worden steeds gehaaider, vervelende types!
| 12:47 |
Ik was deze blog aan het typen en precies op dat moment kwamen ze nóg een keer.
Ik zei al, dat ik juist over deze scam een bericht aan het schrijven was...
Gevalletje 'mond vol tanden':-)
| 17:05 |
Heerlijk!
| 17:51 |
Goede uiteenzetting , ik doe nooit zaken via de telefoon , zeker niet met mijn pc als inzet!
Maar gehaaid zijn ze wel !
| 12:47 |
Dat zijn ze zeker, en tamelijk vasthoudend!
| 17:04 |

×

Yoors


exit_to_app Inloggen