Datorkirurgen AB Agerade Snabbare Än Polisen

Vi räddade vår kund från pågående cyberbedrägeri – en unik insats i realtid.

På en vanlig fredagskväll kontaktades Datorkirurgen AB av hustrun till en av våra kunder. Hon hade just uppfattat att hennes man, som satt vid sin dator, var på väg att göra en stor banköverföring. Vad de inte visste då, var att hennes man, utan att förstå det, höll på att bli offer för ett pågående cyberbedrägeri! Tack vare hustruns snabba agerande att ringa Datorkirurgen AB kunde ett allvarligt rån stoppas, mitt i dess genomförande!

Bedrägeriförsök via telefonnummer +1(859) 396-1537 stoppades

Falsk faktura från Norton LifeLock – en vanlig metod för bedragare. Bedrägeriförsök via telefonnummer +1(859) 396-1537 stoppades

Hustrun till vår kund ringde oss i ren desperation. Hennes man hade fått ett till synes legitimt e-postmeddelande från en avsändare vid namn Adalynn Chen (`andreakosulfet@gmail.com`). I mejlet fanns en faktura från ”Norton LifeLock” som påstod att kunden nyligen hade köpt en tjänst kallad ”Norton Plan & Roku Device Support” för $469.99.

E-posten såg professionell ut, tyckte hennes man och på grund av sin oro, ringt han det angivna telefonnumret +1(859) 396-1537, som många andra skulle ha gjort, för att förstå varför han hade blivit debiterad för en tjänst han varken hade beställt eller kände igen. Personen i andra änden av samtalet hävdade att ett misstag hade gjorts och att de skulle återbetala beloppet till hans bankkonto.

Falsk e-post från Norton LifeLock – så upptäcker du bedrägeriet

Bedrägeriförsök via telefonnummer +1(859) 396-1537 stoppades

Datorkirurgen AB teknisk expertis förhindrar cyberrån

Bedragarna övertalade alltså mannen att installera ett program vid namn AnyDesk för fjärrstyrning (som i och för sig är ett seriöst fjärrstyrningsprogram men som även används av cyber kriminella och bedragare) och fick sig därmed tillgång till hans dator. När de hade fått full kontroll, påstod de att de skulle göra en återbetalning. Detta skulle dock visa sig vara en del av en mer omfattande plan för att stjäla en betydande summa pengar från mannens konto.

ScreenConnect.Client startar i bakgrunden och gör det möjligt för bedragare att övervaka datorn

ScreenConnect.Client-service körs i det tysta och möjliggör kontinuerlig fjärrstyrning av datorn

Manipulering av mannens bankkonto

När mannen loggade in på sitt bankkonto under bedragarnas fjärrstyrning, använde de sig av verktyget Google Chrome Inspector för att manipulera vad mannen såg på sin skärm. De ändrade det påstådda återbetalade beloppet från $469.99 till $46,999.99.

Bedragarna övertygade mannen om att det hade skett ett stort misstag – de påstod att de av misstag hade återbetalat $46,999.99 istället för $469.99 och att han nu behövde överföra tillbaka $46,530 för att rätta till misstaget. Mannen, som var förvirrad och trodde att han var skyldig dessa pengar, gick med på att göra överföringen. Han var på väg att signera överföringen med sitt Mobila Bank-ID när hustrun, som hade börjat ana att något inte stod rätt till, valde att kontakta Datorkirurgen AB.

Bedragare använder ScreenConnect.Client för att automatiskt återfå åtkomst vid omstart

ScreenConnect.Client-service körs i bakgrunden och möjliggör fjärråtkomst för bedragare

Hustruns kritiska samtal till Datorkirurgen AB

Under samtalet med Datorkirurgen AB förklarade hustrun vad som pågick. Mannen satt fortfarande vid sin dator, med bedragarna på linjen, och var nära att fullfölja överföringen till bedragarna. Han hade ingen aning om att han var på väg att bli lurad på en stor summa pengar.

Personal på Datorkirurgen AB reagerade omedelbart och insåg snabbt att det var ett pågående cyberbedrägeri. Deras första instruktioner till hustrun var mycket tydliga: ”Ta bort telefonen från din man och lägg genast på luren! Stäng av datorn omedelbart!” Tack vare Datorkirurgen AB:s snabba reaktion lyckades hustrun avbryta samtalet och stänga av datorn innan hennes man hann signera överföringen med sitt Mobila Bank-ID.

Bedragarna installerade AnyDesk för att manipulera banköverföringar på kundens dator.

Fjärrstyrningsprogram AnyDesk användes av kriminella vid cyberbedrägeri

Datorkirurgen AB agerade snabbare än Polisen – ett brott som stoppades innan det hann fullbordas!

En av de mest anmärkningsvärda aspekterna av denna incident är hur Datorkirurgen AB, genom sin snabba reaktion och tekniska kompetens, lyckades avvärja ett pågående cyberbedrägeri innan det hann fullbordas – och de gjorde det snabbare än Polisen.

När hustrun kontaktade Datorkirurgen AB var hennes man mitt i ett samtal med scammers/bedragarna och på väg att genomföra en stor banköverföring till deras utländska konto. Hustrun, som först inte misstänkte att något var fel, tog kontakt med oss för att få klarhet i vad som hände. Det var under detta samtal som Datorkirurgen AB, med sin erfarenhet och kunskap om liknande situationer, omedelbart förstod att detta var ett pågående brott.

Snabbare än Polisen

I många fall där människor blir offer för bedrägerier är det vanligt att de kontaktar Polisen efter att skadan redan är skedd. Men i detta fall, tack vare hustruns snabbhet att agera och Datorkirurgen AB:s omedelbara respons, kunde brottet avvärjas innan det ens hann bli rapporterat till Polisen. När hustrun förklarade situationen för Datorkirurgen AB att hennes man var på väg att genomföra en banköverföring, insåg vi omedelbart vad som höll på att hända.

Bedragare installerade ScreenConnect.Client för att automatiskt kunna ansluta till offrets dator.

ScreenConnect Client installerad av bedragare för att få tillgång till datorn

“Stäng genast av datorn!”

Medan Polisen kanske skulle ha behövt mer tid för att förstå situationens brådska, reagerade Datorkirurgen AB omedelbart med precisa och direkta instruktioner: “Ta bort telefonen från din man, lägg på luren och stäng genast av datorn!” Detta enkla men avgörande steg, att avbryta samtalet med bedragarna och stänga av datorn, hindrade dem från att genomföra stölden av kundens besparingar. Bedragarna hade redan manipulera bankkontot för att visa en felaktig återbetalning på $46,999.99, och kunden var på väg att signera en överföring på $46,530 för att “återbetala” dessa pengar – något som skulle ha kostat de deras livsbesparingar.

Teknisk analys – hur bedragarna arbetade

Dagen efter, på lördag, utförde vi ett akut hembesök för att genomföra en teknisk analys av familjens dator. När vi anlände, kopplade vi allra först bort Wi-Fi innan datorn startades upp. För vi visste ju att bedragarna hade installerat fjärrstyrningsprogram på datorn för att få tillgång till den så fort datorn kopplades tillbaka till internet.

Datorkirurgen AB upptäckte och avinstallerade ScreenConnect Client, installerad av bedragare.

ScreenConnect-tjänsten installerad av bedragare för fjärråtkomst och körs redan i bakgrunden och även vid omstart ger åtkomst till cyber kriminella bedragare!

Programmen som användes för att genomföra cyber bedrägeriet

AnyDesk: Ett i och för sig legitimt fjärrstyrningsverktyg men som även bedragarna använder på grund av att programmet är både enkelt att använda och förstå. Varefter åtkomst till datorn kan verktyget Google Chrome Inspector användas för att i realtid ändra/manipulera text, tecken, siffror och belopp, etc. på webbläsaren. Dock, en uppdatering av sidan, t ex genom att slå F5 uppdaterar webbsidan varpå all ändrade text, siffror, belopp etc. återställs till det ursprungliga.

ScreenConnect Client: Ett annat verktyg (även denna är en legitim program), men som även scammers och bedragarna brukar använda för att kunna ansluta automatiskt till datorer när dessa åter kopplades till Wi-Fi. ScreenConnect.client är således en seriös och legitim programvara som möjliggör fjärrstyrning av datorer.

ScreenConnect är utvecklat av ConnectWise, ett globalt företag som erbjuder en mängd olika IT-lösningar för företag. ScreenConnect är en del av ConnectWise’s breda produktportfölj och används av företag över hela världen. Med hjälp av dessa program kan en tekniker eller supportpersonal ansluta till en annan användares dator och på så sätt hjälpa till att lösa tekniska problem på distans.

AnyDesk-programmet missbrukas av bedragare vid cyberbrott

Bedragarna lurade kunden att installera AnyDesk för att stjäla pengar

Genom att köra kommandon som `sc query | findstr /i ”ScreenConnect”` och `Get-Process | Where-Object { $_.Name -like ”*AnyDesk*” }`, kunde Datorkirurgen AB identifiera och bekräfta att dessa program var aktiva på mannens dator. Programmen raderades omedelbart och ytterligare säkerhetsåtgärder vidtogs för att förhindra framtida angrepp.

Tekniska detaljer från Datorkirurgen AB:s utredning

Under den tekniska undersökningen av kundens dator tog Datorkirurgen AB flera skärmbilder som bevismaterial. Nedan följer en analys av dessa bilder:

1. Bild 1: Den här skärmbilden visar en UAC (User Account Control)-prompt där användaren blir ombedd att tillåta programmet ScreenConnect.ClientService.exe att göra ändringar på datorn. Detta är tydlig bevisning för att bedragarna hade installerat ett program för fjärrstyrning och på så sätt kunnat övervaka och kontrollera kundens dator.

2. Bild 2: Denna skärmbild visar Windows-inställningar där vi söker efter programmet ScreenConnect.client som normal använder porten 8040 för kommunikation. Commandot netstat -ano | findstr :8040 kan ”lyssna på” en eventuella pågående traffik genom porten.

AnyDesk används av bedragare för att fjärrstyra datorer och stjäla information

Så utnyttjar bedragare AnyDesk för att manipulera bankkonton

3. Bild 3: Denna bild visar en falsk faktura från ”Norton LifeLock” som använts av scammers i bedrägeriet. Fakturan uppger att kunden har debiterats $469.99 för en tjänst, med detaljer som ser professionella ut, vilket kan lura många användare. Telefonnummer +1(859) 396-1537 som anges i fakturan är det nummer bedragarna använt för att lura sina offer att kontakta de.

4. Bild 4: Här syns fjärrstyrningsprogrammet AnyDesk aktivt på datorn. Programmet visar en unik identifierare för arbetsplatsen och förstärker ytterligare att bedragarna hade full fjärråtkomst till kundens dator.

5. Bild 5: I denna bild visar kommandofönstret resultatet av kommandot `sc query | findstr /i ”ScreenConnect”`, som bekräftar att tjänsten **ScreenConnect Client** var aktiv på familjen dator vid bedrägeritillfället.

Förebyggande åtgärder och lärdomar

Efter att ha genomfört den tekniska analysen och raderat alla farliga program på familjens dator, genomförde Datorkirurgen AB ytterligare säkerhetsåtgärder. Detta inkluderade granskning av listor över Ip-adress och ”access location” till alla konton under de närmaste dagarna, samt ändring av samtliga viktiga lösenord för Microsoft konto, Google konto, Apple konto, NETFLIX konto, med flera samt aktivering av starkare autentisering vilka kräver användarens godkännande på t ex mobilen i syfte att för att förhindra framtida bedrägeriförsök.

Bedragare använder ScreenConnect.Client för att automatiskt återfå åtkomst vid omstart

ScreenConnect.ClientService.exe användes av bedragare för att få fjärråtkomst till kundens dator.

Denna incident belyser vikten av att vara vaksam vid mottagande av misstänkta e-postmeddelanden och aldrig tillåta okända parter fjärråtkomst till datorn. Bedrägerier som dessa blir alltmer sofistikerade, och Datorkirurgen AB betonar vikten av att utbilda och öka sina kunders medvetenhet inom dessa områden och nya former av rån och hot.

Frågor som kan uppstå:

Hur skyddar man sig mot cyberbedrägerier, Bedrägeriförsök via e-post, Vad är AnyDesk och hur används det av bedragare, Bedrägeri med falsk faktura från Norton LifeLock, Hur fungerar fjärrstyrningsprogram vid bedrägerier, Hur förhindrar man fjärråtkomst till sin dator, Vad är ScreenConnect och hur används det i cyberbrott, Datorkirurgen AB räddar kund från cyberbedrägeri, Vad är Google Chrome Inspector och hur används den av cyberkriminella vid bedrägerier, Hur känner man igen en falsk faktura, Hur skyddar man sitt bankkonto mot cyberbrott, Hur kan man upptäcka ett pågående cyberbedrägeri, Hur kan Polisen samarbeta med IT-experter vid cyberbrott, Vad är ett phishing-bedrägeri, Hur kan man förebygga online-bedrägerier, Hur identifierar man fjärrstyrningsprogram på sin dator, Hur kan man skydda sitt bankkonto med tvåfaktorsautentisering, Hur kan man upptäcka manipulationer i webbläsaren, Datorkirurgen AB:s tekniska analys av cyberbrott, Hur kan man skydda sig mot bedragare som använder AnyDesk, Vad är Mobilt Bank-ID och hur kan det missbrukas vid bedrägerier, Vad ska man göra om man misstänker ett bedrägeri, Hur förhindrar man installation av fjärrstyrningsprogram, Hur kan Datorkirurgen AB hjälpa till med IT-säkerhet, Vad gör man om man får en falsk faktura, Hur kan man kontrollera om ScreenConnect är installerat på sin dator, Hur kan man undvika bedrägerier vid banköverföringar, Cyberkriminella bedrägeri med telefonnummer +1(859) 396-1537, 001 859 396 1537, 0018593961537, +18593961537, +1 859 396 1537, Hur stoppar man ett bedrägeri från Adalynn Chen, Vad är Norton Plan & Roku Device Support, Hur upptäcker man bedrägerier med falska tjänster, Falsk faktura med Norton LifeLock.

Hur bedragare använder ScreenConnect för att fjärrstyra datorer

Cyberbrott i form av ”bankrån” stoppades av Datorkirurgen AB innan det fullbordas!

Datorkirurgen AB förhindrar cyberbedrägeri med AnyDesk och ScreenConnect

Synonymer:

Förebygga cyberbrott
Stoppa fjärrstyrningsbedrägeri
Skydda mot IT-bedrägerier
Säkerhetslösningar för fjärrstyrning
Förhindra bedrägeri online

Relaterad nyckelordsfras:

Cybersäkerhetstjänster för företag
Datorsäkerhet och fjärråtkomstskydd
AnyDesk och ScreenConnect i cyberbedrägerier
Skydda företag mot cyberbrott
Falska fakturor och fjärrstyrningsbedrägerier