Sicheres System für Scam anfälligen Vater

[Vorfreude]

Trotz regelmässiger und intensiver Aufklärung der Gefahren meinerseits wurde mein Vater leider kürzlich Opfer eines klassischen PC Support Scams: Ein angebliches Sicherheitsproblem-Fenster tauchte im Browser einer Webseite auf mit der Aufforderung, den vermeintlichen Microsoft Support telefonisch anzurufen. Danach wurde wahrscheinlich Malware installiert. Der Scammer hat daraufhin gemeint, er melde sich in ein paar Tagen/Wochen nochmals um die PC Säuberung abzuschliessen.

Glücklicherweise hat mein Vater mir die Story kurz danach so nebenbei erzählt und stolz erwähnt, er hätte heute ein PC Problem selbständig gelöst. Ich habe nun den Laptop bei mir - abgeschaltet und vom Internet getrennt. E-Banking haben wir sperren lassen.

Backup ist leider keins vorhanden (wollte er kategorisch nie machen). Wichtig wären ihm aber nur die Emails, welche alle über Thunderbird verwaltet wurden.

Ich möchte den Laptop nun komplett neu aufsetzen bzw. das aktuell kompromittierte Windows 10 System überschreiben. Nun habe ich dazu aber folgende Fragen und wäre froh um eure Expertise:

1. Wie migriere ich den Thunderbird Profil-Ordner vom kompromittierten System ohne Risiko der Malware ausgesetzt zu sein? Meine Idee: Booten über USB Stick mit einem no-install System und dann Profilordner kopieren.
2. Was für ein Setup setze ich neu auf, das ggfs. besser gegen Betrugsversuche abgesichert ist als das bisherige?

Bisheriges Setup war:

• Win 10
• Firefox mit uBlock Origin und Avira AntiVir
• Mozilla Thunderbird
• TeamViewer (für Remote Support durch mich)

Mein Vater verwendet den Laptop hauptsächlich für:

• Email (Kommunikation mit Bekannten)
• Surfen (Informationsbeschaffung)
• E-Banking

Wichtig in diesem Zusammenhang ist zu wissen, dass mein Vater ein Computer Analphabet und Gewohnheitstier ist, weshalb ich bezweifle, dass wir von Windows, Firefox und Thunderbird wegkommen können. Aber je nach Benefit des neuen Systems muss ich eine Umstellung trotzdem in Betracht ziehen.

 

[ghecko]

weshalb ich bezweifle, dass wir von Windows, Firefox und Thunderbird wegkommen können.

Das wiederum bezweifle ich. Gerade solche Leute kommen mit Linux wunderbar klar, weil sie sich nicht mit dem OS befassen. Und Linux ist gegen solche Malware/Scams weitestgehend immun. Gegen gutgläubige Nutzer aber leider nicht. Da hilft ein effektiver Adblocker am meisten.

Dennoch, besser als nichts. Bei meinen Problemfällen läuft überall Linux, eingerichtet das sie in der Taskleiste ihre gewohnten Icons (FF, TB, LO) wiederfinden und ich hab seither deutlich weniger Arbeit.

Zorin-OS Core kann ich für Umsteiger empfehlen:
https://zorin.com/os/download/

Wie migriere ich den Thunderbird Profil-Ordner vom kompromittierten System ohne Risiko der Malware ausgesetzt zu sein?

Ich weiß nicht wo das unter Windows abgelegt wird, aber an sich kann man das Userverzeichnis von TB 1-1 in die neue Installation übernehmen, auch nach Linux. Das sich die Malware dort befindet ist unwahrscheinlich und unter Linux egal, die sucht da drin eher nach Passwörtern.
Falls es mit IMAP eingerichtet ist liegen die Mails aber ohnehin auch auf dem Server vom Email-Provider und können nach einrichtung des Kontos einfach wieder heruntergeladen werden. Ein übernehmen des alten Verzeichnisses ist idr. nicht notwendig, wenn man seine Kontodaten kennt.
Das ganze eben ohne aktive Internetverbindung, das alte System sollte offline bleiben bis es formatiert ist.

Was für ein Setup setze ich neu auf, das ggfs. besser gegen Betrugsversuche abgesichert ist als das bisherige?

Siehe oben.

 

[chrigu]

Starte bei ihm eine vm (virtuelles Windows) so dass der ursprüngliche pc abgeschottet ist. Nach jedem Neustart wird automatisch die vm gestartet mit einem „neuen“ Windows.
So kann der scammer rumwursteln wie er will, beim Neustart ist alles vergessen

 

[andy_0]

Windows sehe ich da schon als ein Problem. Am Ende hilft das beste OS aber nichts, wenn der User sich freiwillig Malware installiert.

Was mit Windows geht und helfen könnte wäre der Entzug von Administrationsrechten.

 

[Rickmer]

Ist ein Pihole ins lokale Netzwerk setzen eine Option?
Mit passenden Block-Listen kann das einige Scams erschweren oder abfangen.

Danach wurde wahrscheinlich Malware installiert.

Dem Vater die Admin-Rechte entziehen...

Backup ist leider keins vorhanden (wollte er kategorisch nie machen).

Das Thema mal forcieren. Wenn das für ihn quasi unsichtbar im Hintergrund auf ein NAS läuft, wird er vermutlich keinen Einwand mehr haben.

 

[purzelbär]

Wichtig wären ihm aber nur die Emails, welche alle über Thunderbird verwaltet wurden.

Wenn wieder Windows drauf kommt, könnt ihr Thunderbird Profil ganz bequem mit Hekasoft Backup & Restore: https://hekasoft.com/hekasoft-backup-restore/ sichern und später dann damit auch wieder die Sicherung einspielen und alles ist da. E-Mail Adressen, dazugehörige Ordner, E-Mails usw.

 

[Marcel^]

Schau mal, ob Thunderbird mit POP3 oder IMAP konfiguriert war - mit letzterem synchronisiert sich der Client mit dem Mailserver, anstatt die Mails von dort abzuholen, sodass für eine Neukonfiguration einfach nur der Account wieder im Thunderbird eingepflegt werden muss.

Avira AntiVir oder ähnliche Scherze sollte man sich komplett sparen, die verschlimmbessern die Lage eher.

Das Konto deines Vaters sollte keinerlei administrative Rechte haben.

Es gibt Linux Derivate, die der Windows Oberfläche ziemlich nahe kommen.

 

[Piktogramm]

Ich würde ja sagen, dass dein Paps die Installation von Ubuntu gewonnen hat. Mit einem Nutzer der NICHT in der sudo Gruppe ist und ohne Teamviewer (rate was die Scammer liebend gerne Nutzen..). Oder du musst Teamviewer derart abdichten, dass dein Paps keine Schnellzugriff einstellen kann und du nur mit deinem Account drauf kommst.

 

[Smily]

Ich komm mit Linux auch nicht klar, gebe ich zu. Aber wenn man nix weiter macht als Thunderbird und Browser starten, das ist bei Windows und Linux gleich.
Doppelklick auf das Symbol. Und die Programme selbst sehen dann gleich aus.
Runterfahren ist dann etwas anders, Programme schließen sieht anders aus.
Aber das wars dann auch.

Das wären nur 2 Sachen, die man neu lernen muss. Dafür ist er immun gegen Scammer. Natürlich kann er trotzdem angerufen werden, oder Mail-Anhänge bekommen. Aber er kann nach deren Anleitung nichts installieren, auch wenn er sich Mühe gibt. Nervt den Scammer, aber egal^^.

 

[Ouzo]

Wie wäre es wenn du dein Vater Manjaro Linux drauf machst, Thunderbird kannst du ja weiterhin verwenden, beim Firefox ublock Origin trotzdem drauf tun,

hier mal eine Liste mit wichtige Add-ons
https://addons.mozilla.org/de/firefox/addon/clearurls/
https://addons.mozilla.org/de/firefox/addon/cookie-autodelete/
https://addons.mozilla.org/de/firefox/addon/facebook-container/
https://addons.mozilla.org/de/firefox/addon/i-dont-care-about-cookies/
https://addons.mozilla.org/de/firefox/addon/ublock-origin/

 

[Smily]

ohne Teamviewer

Die sagen eigentlich, dass du Teamviewer selbst runter laden sollst. Entweder deren manipulierte Version oder einfach den Quick Support, den man nicht mal installieren muss. Den gibts auch für Linux (leider).

 

[Piktogramm]

Die sagen eigentlich, dass du Teamviewer selbst runter laden sollst. Entweder deren manipulierte Version oder einfach den Quick Support, den man nicht mal installieren muss. Den gibts auch für Linux (leider).

Ok wieder was gelernt.
Thermonukleare option: /home auf eine extra Partition und die Partition mit der Option noexec mounten. Dann können die Nutzer (aus ihrem home Ordner heraus) gar nichts ausführen. Usermounts unterbinden und am besten den Nutzern auch noch den Terminalemulator/Shell sperren.

 

[andy_0]

Die sagen eigentlich, dass du Teamviewer selbst runter laden sollst. Entweder deren manipulierte Version oder einfach den Quick Support, den man nicht mal installieren muss. Den gibts auch für Linux (leider).

Klaro, gibt's auch für Linux. Aber das "ihr Windows ist infiziert" wenn man gar kein Windows nutzt, könnte dann schon verdächtig erscheinen. Außerdem ist die Frage ob die Angreifer überhaupt Schadsoftware für ein Linux bereit halten.

Mit Linux hat man viel mehr Möglichkeiten, Dinge zu sperren. In worst case (kein Admin, kein sudo) darf der User dann nur noch im /home arbeiten. Und App Execution kann man vermutlich auch sperren

 

[Vorfreude]

Danke euch allen für die Inputs. Ubuntu kenne ich bereits. Habe jedoch noch vergessen zu erwähnen, dass mein Vater auch die Steuererklärung per Software verwendet - da müsste ich dann halt bei der Installation aushelfen für Linux (einmal im Jahr sollte das aber kein Problem sein).
IMAP war leider nicht aktiviert, nur POP3. Auf dem Server liegen keine Mails mehr. Ich muss deshalb zwingend den Thunderbird Profilordner migrieren. Wenn das auch einfach zu Ubuntu geht, wäre das eine Option.

Ich werde nun einer der folgenden zwei Systeme in Betracht ziehen:

1. Windows 10/11 ohne Admin Rechte und ohne Teamviewer.
2. Ubuntu

Seht ihr eine Linux Alternative zu Ubuntu? Steuererklärungssoftware und ein alter Canon Drucker müssen funktionieren - mehr nicht.

 

[ghecko]

Seht ihr eine Linux Alternative zu Ubuntu?

Siehe oben meinen editierten Beitrag. Drucker sollte keine Probleme machen, vllt geht auch die Steuersoftware mit Wine.

Zorin-OS Core kann ich für Umsteiger empfehlen:
https://zorin.com/os/download/

 

[sweber]

Ich kenne jetzt die genauen Details nicht. Aber wie kommst du eigentlich darauf, dass das Problem hier eine Malware ist? Bei vielen Scams geht es eher darum, das Opfer durch Überweisungen oder Geschenkgutscheine um Geld zu bringen. Dafür werden sie dann stundenlang am Telefon instruiert. Ist extrem manipulativ. Du kannst dir ja mal den Youtube-Kanal von Jim Browning ansehen.

Der Punkt jedenfalls: Ich würde nicht einfach davon ausgehen, dass hier ein technisches Problem vorliegt. Es kann gut sein, dass es darum ging, deinen Paps dazu zu bringen, einfach was zu überweisen.

 

[andy_0]

Du kannst, so oder so, den Ordner einfach auf einem Windows in ein Thunderbird migrieren, den Mailaccount zeitgleich als IMAP einrichten und dann via Thunderbird alle Mails von dem POP3 in den IMAP Account verschieben. Dann lädst du die Mails auf den Mailserver hoch.

Drucker kommt auf den genauen Typ drauf an. Software für Steuererklärung würde ich ehrlich gesagt sagen: geht ins Web. Bin davon eigentlich nicht so der Fan, aber das ist DAU freundlich und es gibt ein paar Anbieter (u.a. Wiso Steuer Web, Taxfix).

@ ghecko
Zorin OS ist sicherlich ne gute Möglichkeit.

@ sweber
Das macht das Problem so fatal. Der User ist natürlich das eigentliche Problem.

 

[UNDERESTIMATED]

Zorin-OS Core kann ich für Umsteiger empfehlen:

Danke. Bin da komplett bei dir, gefällt mir auch sehr gut.

 

[Smily]

Windows 10/11 ohne Admin Rechte und ohne Teamviewer.

Zum Ausführen von Team Viewer Quick Support benötigt man keine Adminrechte. Genau dafür ist das Programm da, damit man schnell jedem helfen kann. Dann kann man zwar keinen Keylogger usw. installieren, aber sicher einiges auf dem Bildschirm sehen, was niemand sehen sollte. Ist also dagegen kein großartiger Schutz.
Wobei man eine TAN glaube ich nur für die Transaktion nutzen kann, für die sie erstellt wurde ... aber das weiß ich nicht!

Aber das "ihr Windows ist infiziert" wenn man gar kein Windows nutzt

Normalerweise sollten auch die Alarmglocken schrillen, wenn Microsoft persönlich dich anruft 😬 .

 

[Vorfreude]

Ich kenne jetzt die genauen Details nicht. Aber wie kommst du eigentlich darauf, dass das Problem hier eine Malware ist? Bei vielen Scams geht es eher darum, das Opfer durch Überweisungen oder Geschenkgutscheine um Geld zu bringen. Dafür werden sie dann stundenlang am Telefon instruiert. Ist extrem manipulativ. Du kannst dir ja mal den Youtube-Kanal von Jim Browning ansehen.

Der Punkt jedenfalls: Ich würde nicht einfach davon ausgehen, dass hier ein technisches Problem vorliegt. Es kann gut sein, dass es darum ging, deinen Paps dazu zu bringen, einfach was zu überweisen.

Da hast du Recht. Könnte auch sein. Mein Vater hat auch etwas von irgendwas am Kiosk kaufen gesprochen, aber dann hiess es, die Reparatur wäre gratis.

Was mich stutzig machte war, dass er sagte der PC Supporter hätte seinen Computer gesteuert. Ist alles etwas verschwommen und nicht ganz klar. Jedenfalls möchte ich sicher gehen, dass das neue System 100% sauber ist.