Mögliche Scammerattacke via Billigkeys von Amazon ?

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 4107

01.10.2025 - 11:00

Ich habe einen Kunden der vor ca. 3 Monaten ein Notebook gekauft hat - und die Office Lizenz sich selbst dann auf Amazon besorgt hat (Office 2024 Home, hat um die 50 € gekostet laut dem Kunden)

Der Kunde kam dann vorbei weil er Probleme mit dem Key hatte - sprich auf office.com wurde der Key nicht akzeptiert - und ich musste ihm halt auch sagen, sorry, wenn er von nem Keyshop kauft muss er das halt mit dem Keyshop abklären - oder Microsoft - oder bei uns das normale Boxpack um 150€ kaufen das wir ihm dann weiterhelfen können (weil wir dann zumindest sicher wissen das es ein gültiger Key ist)

Kunde hat das dann mit dem Keyshop geklärt, wurde angeblich dann zu Microsoft weitergeleitet und mit dessen Hilfe konnte er von einer Webseite (nicht office.com) dann die Installationsdatei herunterladen und installieren.

3 Monate später: Kunde bekommt Popup das sein PC Virenverseucht ist und er Microsoft unter der Nummer xxxyyyyzzzz kontaktieren soll. - Hat er dann auch gemacht, wo dann der typische "Microsoft-Mitarbeiter-Scam" abgelaufen ist. Der Kunde behauptet sogar felsenfest das es "derselbe Inder" war mit dem er da geredet hat. Mittlerweile ist die polizeiliche Anzeige draussen (vermutlich Sinnfrei), die Bankkonten und Kreditkarten des Kunden gesperrt und das übliche. Auf dem Gerät waren 3 Fernwartungsprogramme installiert (Laut Polizei), das System somit so kompromittiert das es zum Wipe+Neuinstallation vorbeigebracht wurde.

Meine Aluhut-Frage somit: Ist es möglich das Scammer auf Amazon Office-Keys verkaufen, dann selbst den Microsoft-Support spielen, ein manipuliertes Office auf dem Kunden-PC installieren(lassen) welches dann etwas später ein Popup bringt das man den Scammer doch bitte anrufen möge ?

Oder ist das ganze einfach nur ein blöder Zufall, es war die klassische "Popup-Falle" beim Surfen im Netz und ich sehe einfach weiße Mäuse ?

Hat jemand schon ähnliche Erfahrungen gemacht ?

Probmaker

1.0.0.721

Registered: Nov 2003
Location: here
Posts: 5041

01.10.2025 - 11:25

danke für die info.

Zitat aus einem Post von Jedimaster
Meine Aluhut-Frage somit: Ist es möglich das Scammer auf Amazon Office-Keys verkaufen, dann selbst den Microsoft-Support spielen, ein manipuliertes Office auf dem Kunden-PC installieren(lassen) welches dann etwas später ein Popup bringt das man den Scammer doch bitte anrufen möge ?

halte ich für sehr gut möglich.

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 5026

01.10.2025 - 11:27

beides ist möglich.

die plattform hat mir den beinamen scamazon..inzwischen

bin selbst bei amazon auf scammer gestossen und einmal selbst betroffen gewesen.
der ganze aufwand dahinter mit polizei, kontakt zum hersteller und co ist sehr mühsam gewesen.

chap

small gift, big smile

Registered: Jul 2008
Location: aut.graz
Posts: 2194

01.10.2025 - 11:28

die Händler auf Amazon kannst eh recht gut rausfinden. Einfach schauen, wie lange gibt es diesen und wie sind die Bewertungen.

Viele der Key-Stores bieten Downloads über onedrive / googledrive an, damit es installiert werden kann.

(Link habe ich unkenntlich gemacht)

Der Grund ist einfach, es sind Volume-Lizenzen.
Diese kannst du nicht einfach mit einem 0815-offiziellen Installer installieren. Ebenfalls kannst du den Key nicht auf der Microsoft-Seite zum downloaden eingeben. Dort kann natürlich irgendwas zwischengreifen & infizieren.

Natürlich gibts auch die Möglichkeit über Microsoft offiziell, läuft aber über Script / Powershell und mag der 0815-User nicht durchführen.
Ich hab auch ~30min dafür gebraucht, weil die Anleitung (absichtlich?) nicht vollständig ist.

22zaphod22

chocolate jesus

Registered: Sep 2000
Location: earth, mostly ha..
Posts: 7284

01.10.2025 - 11:36

möglich? k.A. vielleicht

ich vermute aber eher, dass es am "Surfverhalten" liegt ... warum sollten die 3 Monate warten, wenn sie schon eine kompromittierte Installation beim Kunden durchführen konnten ... da kannst key-logger und unbeaufsichtigen zugriff installieren ... aber man weiß es nie ...

eine Mitarbeiterin hat das eingefangen ... mein Vater hatte das (hat den EDGE browser komplett übernommen über eine youtube-mp3-download seite - dann bildschirm komplett blockiert mit Alarm und roten Lichtern) ... Gott sei Dank nicht angerufen und sich Zeug installieren lassen sondern mich kontaktiert - da waren die windows / office Keys aber in Ordnung und nicht von einem zwielichtigen Anbieter

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14838

01.10.2025 - 11:53

was ich dir auf jedenfall bestätigen kann ist, dass man von keysellern schwindlinge links auf office installations-packages von dropbox bekommt... hab ich natürlich nicht verwendet

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 4107

01.10.2025 - 11:53

Danke für die Rückmeldungen - also sehen die meisten von euch das auch so - kann sein, kann nicht sein, aber durchaus möglich.

3 Monate warten könnte genau deshalb sein weil man auf Kennwörter, Mailadressen, angesurfte Adressen und Kreditkartendaten zugreifen möchte.

Vielleicht sinds direkt verwertbar, und wenn nicht - man erscheint als Scammer halt vertrauenswürdiger wenn man sagt "ok, laut unseren Daten ist ihre Mailadresse, ihre Kreditkartennummer, ihre Kontonummer xyz, ist das noch korrekt?" als wie wenn man direkt nach solchen Daten fragt.

Sprich wenn in einem bestimmten Zeitraum nichts rauskommt aus dem "Kunden", dann wird halt "direct Marketing" gemacht.

Ehrlich gesagt ein Office (oder andere Software) das ich von irgendeiner Dropbox oder ähnlich runterladen müsste würde mir SEHR verdächtig vorkommen und ich nicht installieren. Die Chance das ein "Bonuspaket" dabei ist, ist da einfach zu hoch, das Risiko muss wohl aber jeder selbst abschätzen.

chap

small gift, big smile

Registered: Jul 2008
Location: aut.graz
Posts: 2194

01.10.2025 - 12:54

der Timeout könnte natürlich auch ein "der key ist gestohlen" bei Microsoft sein. Deshalb dann deaktiviert werden.
Die "Weiterleitung zu Microsoft" könntest halt - wenn du wirklich interesse hast - noch erfragen. Ein Nummer oder Mailbox kann man damit sicher ergoogeln um es als legit oder nicht einstufen zu können.

Bzgl. seltsame Downloadlinks. Wenn du willst kann ich dir meinen Link vom damaligen Kauf weiterleiten. Kannst es ja riskieren

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 4107

01.10.2025 - 13:26

Leider existiert davon nichts mehr, der Kunde hat das Gerät gestern abend mit Auftrag "Wipen, Neuinstallieren, legites Office installieren" vorbeigebracht, nachdem das Gerät zur Analyse bei der Polizei war und retourgegeben wurde.

Nachdem das Gerät Kennwortgesichert war hatte ich keine Möglichkeit mir die Sache noch genauer anzusehen bevor ich die SSD gelöscht und das System frisch installiert habe.

Genau deshalb hab ich das ganze hier auch reingestellt weil es für mich ein denkbarer/plausibler Angriffsvektor ist - sprich vielleicht hat jemand schon etwas ähnliches erlebt. Download via Dropbox/Google Drive etc. ist ziemlich plausibel nachdem der Key auf office.com mit MS-Konto nicht funktionierte.

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14838

01.10.2025 - 15:21

Zitat aus einem Post von Jedimaster
"legites Office installieren"

also eh libreoffice jetzt?

scnr.

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 4107

01.10.2025 - 15:50

Wär für manche Kunden (Makros) möglicherweise eh besser

Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 4107	01.10.2025 - 11:00 Ich habe einen Kunden der vor ca. 3 Monaten ein Notebook gekauft hat - und die Office Lizenz sich selbst dann auf Amazon besorgt hat (Office 2024 Home, hat um die 50 € gekostet laut dem Kunden) Der Kunde kam dann vorbei weil er Probleme mit dem Key hatte - sprich auf office.com wurde der Key nicht akzeptiert - und ich musste ihm halt auch sagen, sorry, wenn er von nem Keyshop kauft muss er das halt mit dem Keyshop abklären - oder Microsoft - oder bei uns das normale Boxpack um 150€ kaufen das wir ihm dann weiterhelfen können (weil wir dann zumindest sicher wissen das es ein gültiger Key ist) Kunde hat das dann mit dem Keyshop geklärt, wurde angeblich dann zu Microsoft weitergeleitet und mit dessen Hilfe konnte er von einer Webseite (nicht office.com) dann die Installationsdatei herunterladen und installieren. 3 Monate später: Kunde bekommt Popup das sein PC Virenverseucht ist und er Microsoft unter der Nummer xxxyyyyzzzz kontaktieren soll. - Hat er dann auch gemacht, wo dann der typische "Microsoft-Mitarbeiter-Scam" abgelaufen ist. Der Kunde behauptet sogar felsenfest das es "derselbe Inder" war mit dem er da geredet hat. Mittlerweile ist die polizeiliche Anzeige draussen (vermutlich Sinnfrei), die Bankkonten und Kreditkarten des Kunden gesperrt und das übliche. Auf dem Gerät waren 3 Fernwartungsprogramme installiert (Laut Polizei), das System somit so kompromittiert das es zum Wipe+Neuinstallation vorbeigebracht wurde. Meine Aluhut-Frage somit: Ist es möglich das Scammer auf Amazon Office-Keys verkaufen, dann selbst den Microsoft-Support spielen, ein manipuliertes Office auf dem Kunden-PC installieren(lassen) welches dann etwas später ein Popup bringt das man den Scammer doch bitte anrufen möge ? Oder ist das ganze einfach nur ein blöder Zufall, es war die klassische "Popup-Falle" beim Surfen im Netz und ich sehe einfach weiße Mäuse ? Hat jemand schon ähnliche Erfahrungen gemacht ?
Probmaker 1.0.0.721 Registered: Nov 2003 Location: here Posts: 5041	01.10.2025 - 11:25 danke für die info. Zitat aus einem Post von Jedimaster Meine Aluhut-Frage somit: Ist es möglich das Scammer auf Amazon Office-Keys verkaufen, dann selbst den Microsoft-Support spielen, ein manipuliertes Office auf dem Kunden-PC installieren(lassen) welches dann etwas später ein Popup bringt das man den Scammer doch bitte anrufen möge ? halte ich für sehr gut möglich.
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 5026	01.10.2025 - 11:27 beides ist möglich. die plattform hat mir den beinamen scamazon..inzwischen bin selbst bei amazon auf scammer gestossen und einmal selbst betroffen gewesen. der ganze aufwand dahinter mit polizei, kontakt zum hersteller und co ist sehr mühsam gewesen.
chap small gift, big smile Registered: Jul 2008 Location: aut.graz Posts: 2194	01.10.2025 - 11:28 die Händler auf Amazon kannst eh recht gut rausfinden. Einfach schauen, wie lange gibt es diesen und wie sind die Bewertungen. Viele der Key-Stores bieten Downloads über onedrive / googledrive an, damit es installiert werden kann. (Link habe ich unkenntlich gemacht) Der Grund ist einfach, es sind Volume-Lizenzen. Diese kannst du nicht einfach mit einem 0815-offiziellen Installer installieren. Ebenfalls kannst du den Key nicht auf der Microsoft-Seite zum downloaden eingeben. Dort kann natürlich irgendwas zwischengreifen & infizieren. Natürlich gibts auch die Möglichkeit über Microsoft offiziell, läuft aber über Script / Powershell und mag der 0815-User nicht durchführen. Ich hab auch ~30min dafür gebraucht, weil die Anleitung (absichtlich?) nicht vollständig ist.
22zaphod22 chocolate jesus Registered: Sep 2000 Location: earth, mostly ha.. Posts: 7284	01.10.2025 - 11:36 möglich? k.A. vielleicht ich vermute aber eher, dass es am "Surfverhalten" liegt ... warum sollten die 3 Monate warten, wenn sie schon eine kompromittierte Installation beim Kunden durchführen konnten ... da kannst key-logger und unbeaufsichtigen zugriff installieren ... aber man weiß es nie ... eine Mitarbeiterin hat das eingefangen ... mein Vater hatte das (hat den EDGE browser komplett übernommen über eine youtube-mp3-download seite - dann bildschirm komplett blockiert mit Alarm und roten Lichtern) ... Gott sei Dank nicht angerufen und sich Zeug installieren lassen sondern mich kontaktiert - da waren die windows / office Keys aber in Ordnung und nicht von einem zwielichtigen Anbieter
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14838	01.10.2025 - 11:53 was ich dir auf jedenfall bestätigen kann ist, dass man von keysellern schwindlinge links auf office installations-packages von dropbox bekommt... hab ich natürlich nicht verwendet
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 4107	01.10.2025 - 11:53 Danke für die Rückmeldungen - also sehen die meisten von euch das auch so - kann sein, kann nicht sein, aber durchaus möglich. 3 Monate warten könnte genau deshalb sein weil man auf Kennwörter, Mailadressen, angesurfte Adressen und Kreditkartendaten zugreifen möchte. Vielleicht sinds direkt verwertbar, und wenn nicht - man erscheint als Scammer halt vertrauenswürdiger wenn man sagt "ok, laut unseren Daten ist ihre Mailadresse, ihre Kreditkartennummer, ihre Kontonummer xyz, ist das noch korrekt?" als wie wenn man direkt nach solchen Daten fragt. Sprich wenn in einem bestimmten Zeitraum nichts rauskommt aus dem "Kunden", dann wird halt "direct Marketing" gemacht. Ehrlich gesagt ein Office (oder andere Software) das ich von irgendeiner Dropbox oder ähnlich runterladen müsste würde mir SEHR verdächtig vorkommen und ich nicht installieren. Die Chance das ein "Bonuspaket" dabei ist, ist da einfach zu hoch, das Risiko muss wohl aber jeder selbst abschätzen.
chap small gift, big smile Registered: Jul 2008 Location: aut.graz Posts: 2194	01.10.2025 - 12:54 der Timeout könnte natürlich auch ein "der key ist gestohlen" bei Microsoft sein. Deshalb dann deaktiviert werden. Die "Weiterleitung zu Microsoft" könntest halt - wenn du wirklich interesse hast - noch erfragen. Ein Nummer oder Mailbox kann man damit sicher ergoogeln um es als legit oder nicht einstufen zu können. Bzgl. seltsame Downloadlinks. Wenn du willst kann ich dir meinen Link vom damaligen Kauf weiterleiten. Kannst es ja riskieren
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 4107	01.10.2025 - 13:26 Leider existiert davon nichts mehr, der Kunde hat das Gerät gestern abend mit Auftrag "Wipen, Neuinstallieren, legites Office installieren" vorbeigebracht, nachdem das Gerät zur Analyse bei der Polizei war und retourgegeben wurde. Nachdem das Gerät Kennwortgesichert war hatte ich keine Möglichkeit mir die Sache noch genauer anzusehen bevor ich die SSD gelöscht und das System frisch installiert habe. Genau deshalb hab ich das ganze hier auch reingestellt weil es für mich ein denkbarer/plausibler Angriffsvektor ist - sprich vielleicht hat jemand schon etwas ähnliches erlebt. Download via Dropbox/Google Drive etc. ist ziemlich plausibel nachdem der Key auf office.com mit MS-Konto nicht funktionierte.
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14838	01.10.2025 - 15:21 Zitat aus einem Post von Jedimaster "legites Office installieren" also eh libreoffice jetzt? scnr.
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 4107	01.10.2025 - 15:50 Wär für manche Kunden (Makros) möglicherweise eh besser

Mögliche Scammerattacke via Billigkeys von Amazon ?

Forum Index > Software > Applications, Apps & Drivers

Jedimaster

Probmaker

DAO

chap

22zaphod22

InfiX

Jedimaster

chap

Jedimaster

InfiX

Jedimaster