Deze week kwam ik in contact met een persoon die bijna opgelicht werd door een valse Microsoft medewerker. De persoon in kwestie had pas een nieuwe laptop gekocht en was bezig met het opruimen van de oude laptop. Daarbij verscheen plots een schermvullende boodschap over ‘Problemen met de computer’. Onderaan de boodschap stond een telefoonnummer waarmee de persoon contact kon opnemen om het probleem op te lossen. In de veronderstelling dat het om een legitieme melding ging nam het slachtoffer contact op via het vermelde telefoonnummer…
De rest is een standaard procedure die deze ‘medewerkers’ volgen. Ze laten de persoon een programma installeren (in dit geval Teamviewer) waarmee de ‘medewerker’ het toestel van het slachtoffer kan overnemen. Vervolgens doen ze vanalles op het toestel dat zogezegd aantoont dat er een probleem is, en dat ze dat aan het oplossen zijn. Ze beginnen te goochelen met opdrachtprompt, powershell, en andere Windows tools die voor een computerleek ‘indrukwekkend’ lijken. In werkelijkheid doen ze weinig of niets relevants op het systeem, behalve mogelijk opgeslagen wachtwoorden en andere nuttige info stelen.
Na enige tijd wordt aan de persoon gemeld dat het probleem opgelost werd. En de volgende mededeling was dat voor de geboden service betaald moest worden! Op dat moment beseft het slachtoffer dat er toch iets vreemds aan de hand is. Er was immers niets afgesproken over een betaling. Ze is daar dan ook niet op ingegaan en verbreekt de verbinding.
De persoon komt met de laptop tot bij ons om advies. Omdat het niet duidelijk is wat de criminelen op het systeem hebben uitgespookt moet dat systeem als onbetrouwbaar beschouwd worden. In eerste instantie hebben we het netwerk van het systeem uitgeschakeld, zodat geen verbinding meer mogelijk is met de cybercriminelen. Daarna hebben we gekeken welke wachtwoorden opgeslagen waren op het systeem, en hebben we het slachtoffer aangeraden om al deze wachtwoorden te veranderen (tip 1). Verder hebben we op het email account van het slachtoffer Multifactor Authenticatie geactiveerd (tip 2), en hebben we dat ook aangeraden voor de andere accounts waarvan het slachtoffer gebruik maakt. Op de nieuwe laptop hebben we de accounts verder gekoppeld, en de nodige extra beveiligingen gecontroleerd, zoals de aanwezigheid van een virusscanner (tip 4).
Het slachtoffer heeft ook contact opgenomen met de bank om na te laten kijken of er verdachte transacties op de rekeningen waren (dat was niet het geval), en heeft aangifte gedaan bij de politie.