You're not connected to the Internet.
Galaxus Logo
ComputingSecurityKnow-how 6387

The virtual machine that fights Microsoft scammers

Microsoft scammers are a pain in the backside. They’re relentlessly trying to infect your PC with viruses, Trojans and other rubbish. And they won’t take no for an answer. That’s why we’ve decided to beat them with their own weapons. And we're doing it in style. How? With a virtual computer.

Whenever our Chief Editor, Aurel Stevens, sends after-work text messages, he’s got something funny or important to say. This time, both apply. He’s been pestered by Microsoft scammers who are trying to convince him that his computer is infected and only they, the scammers themselves, can save him. By accessing his computer via TeamViewer and installing software. They vow to be sent by Microsoft and to be here to help.

Right. Sure. Of course they are.

How I drove <strong>phone scammers</strong> nuts
Background information

How I drove phone scammers nuts

In the last paragraph of his article, Aurel writes about something I did a while back: I built a pretty rubbish virtual machine. All it was, in fact, was an Ubuntu with a background that I painted in MS Paint and that looked kind of like the standard Windows desktop. Aurel and I have a good laugh and think to ourselves «How silly is that?!».

And then he says: «Hey, can I borrow your VM?»

And I answer: «Sure.»

But then I realise I don’t have my VM anymore. I told you it was a while ago. So I have to build a new one. And this is exactly what I do. That same night. Because this idea is genius.

Midnight thoughts

It’s about 11 p.m. when I get to work. I first intend to create another rubbish Ubuntu desktop, but then decide I can do better. So I download a Mint VR, which comes with Cinnamon. Why? Cinnamon looks a bit like Windows 10. Kind of.

After having thrown quite a few technical terms at you, let me explain what they mean. If you don’t need a glossary and a guide, press CTRL/CMD+F and search for «Now that my VM is ready».

  • VM: Virtual machine. An operating system that runs on your PC or Mac but only exists virtually. There’s no need for a separate computer.
  • Mint Linux: A Linux distribution. There are an almost infinite number of them.
  • Cinnamon: A desktop environment.
  • Desktop environment: With Linux, there are a range of graphical user interfaces. Each one offers a completely different look to your desktop. This feature is referred to as desktop environment.

The Linux community jumped on the VR band wagon a long time ago, so the Internet is full of things I can use. The website osboxes.org, for example, offers ready-to-use virtual machines. That saves me about an hour of work.

The toughest challenge will be replicating the Windows 10 look, but I'm lucky once again. b00merang has created a theme for Cinnamon and other desktop environments that does just that.

All that's left for me to do is put everything together. Here's a step-by-step guide on how I did it, which should allow you to build your own VM at home – or at least understand how it's done.

VMWare Workstation Player: this thing is key

Just like a CD from the old days, a VM doesn't work without a player. Just as everything else on the Internet, there are dozens of ways to play a VM. I've always worked with VMWare Workstation Player, which is why I'm doing the same for this project.

You only need to carry out the following steps once.

VMWare Workstation Player: installation and setup

  • Check «Enhanced Keyboard Driver». After this, you’ll need to restart your computer.
  • «Check for Product Updates»: Yes
  • «Join the VMWare Customer Experience Program»: No
  • Create Shortcuts: Yes and Yes
  • After that, «Yes», «Next», «Done», «Amen» to everything.

That’s it, now VMWare Player is up and running and you can launch your VM. Below, you'll find a ready-to-use download link for the VM I'm building in this tutorial. Go ahead and recreate it if you fancy. It's fun and takes about two hours – that's without rushing.

VMWare Workstation Player: configuration for Linux Mint

Now let’s configure a regular, unmodified osboxes.org VM.

  • Download the Linux Mint VM from osboxes.org
  • You’ll probably need the 64bit version Mints
  • Unzip the 7-Zip where you save the VM. The download directory may not be smart. I always place them in the default folder suggested by VMWare.
  • Open VMWare Player on your PC
  • Select «Create a New Virtual Machine» on the right
  • Select «I will install the operating system later»
  • Select the version «Other Linux 4.x or later Kernel 64-bit». By doing so, you’re telling the virtual machine what it’s based on.
  • Enter a name for your VM
  • Keep the storage location that’s suggested
  • Maximum Disk Size: 8GB
  • Split virtual disk into multiple files
  • After that, «Yes», «Next», «Done», «Amen» to everything.
  • You’re back to where you started and the VM appears on the left.

VMWare Workstation Player: Linux Mint setup

To work with the downloaded Mint VM, you need to replace your VM’s virtual hard disk.

  • Click the VM on the left-hand side of your window
  • Go to «Edit virtual machine settings» in the panel on the right
  • Click «Add»
  • Select «Hard Disk«
  • When you reach «SCSI», click «Next»
  • Select «Use an existing virtual disk»
  • Click «Browse» and search for the unzipped VM from above
  • Click «Finish»
  • You return to the virtual hardware configuration window

What’s left to do now is remove your old and empty hard disk from your VM.

  • The hardware configuration window now displays two hard disks
  • Select the one that doesn’t have the Linux Mint from above as disk file
  • Click «Remove»

Your Linux Mint

You're all set and ready to launch your VM and get working with it. Click «Play Virtual Machine» on the main window and off you go.

  • Should any error messages appear, just click «Yes»
  • The first launch will take a while
  • Your login password is «osboxes.org»
  • After you log in, a message might appear in the top right corner saying «Running in Software Rendering Mode». This will disappear once you click on it.

Linux Mint with Cinnamon

Linux Mint: Installation of the VMWare tools

As your VM is currently only working in windowed mode, you'll need to install a few graphics drivers to make sure the VM's operating system knows it's running on a VM and not a hardware computer.

  • Go to «Player» and click «Help» → «Install VMWare Tools»
  • A virtual CD drive with tools appears on the VM's desktop
  • Double click this folder icon
  • It contains a .tar.gz file that’s name begins with VMwareTools
  • Copy this file to your desktop
  • Right click the file and select «extract here»
  • A folder named «vmware-tools-distrib» appears

Now install the tools via Terminal – one of the greatest Linux features.

  • Open «vmware-tools-distrib»
  • Click into the white space on the right
  • Select «Open in Terminal»
  • Enter the following command: sudo perl vmware-install.pl
  • Click «Enter«
  • Your login password is still «osboxes.org»
  • After this, continue clicking «Enter». In all the years I've been working with VMs, I've never seen a case in which the default configuration didn’t work to install VMWare Tools.
  • Once you've reached the end and you see a line in the Terminal that begins with green font and says «osboxes@osboxes», the installation is completed.
  • Write «Exit» and click «Enter»

After this, go to the Player menu and select «Power» and the option «Restart Guest». This will make sure the VR restarts and the configuration of your VMWare tools is activated.

Why VMWare tools? They let you work in full-screen mode.

Have fun.

Now that my VM is ready

I did all this last night after I came home from the cinema. By this time, my caffeine levels were slumping, my eyelids feeling heavy and the background music – although quite intriguing – getting on my nerves. But I wasn’t done just yet. Linux doesn’t only allow you to configure desktop environments; it also lets you adjust them. And so it comes that clever coders have found ways to make Cinnamon look just like Windows 10. How? Just change the theme and icon pack. It’s easy enough. You’ll have no trouble doing so if you’ve worked through my step-by-step guide above. If you haven’t, trust Google.

It’s a wrap: my virtual machine

After adding the new look to my VR, all I did was install TeamViewer. That’s what our scammers need to get at your computer.

  • The password for the team digitec account is: rootpassword
  • This VR shouldn’t be used for anything else than to annoy scammers
  • To unzip the VM, you need 7-Zip – it’s free – or a similar software

Download the VM here, unzip it in your VM folder, create a copy and off you go.

What to do with the digitec Microsoft Scam VM

The idea behind this VM is simple: Next time a scammer phones you, give them access to your fully sealed off VM via TeamViewer and watch what happens. It’s important that you‘re adamant that this is Windows. These are the things I said on the phone years ago when I played this same game:

  • «I’m not great with computers.»
  • «My cousin set up my computer.»
  • «Yes, there’s no doubt this is Windows.»

The last sentence is your most important one. Once the phone call is over, delete the copy of your VM and create a new one from your original VM.

And that’s it. Have fun with those scammers and share your stories in the comment section below.

Avatar

Dominik Bärlocher, Zurich

  • Senior Editor
Journalist. Author. Hacker. A storyteller searching for boundaries, secrets and taboos – putting the world to paper. Not because I can but because I can’t not.

63 comments

3000 / 3000 characters

User picofon

Ok, digitec! Mit diesem Artikel beweist ihr definitv eure geek credibility! Nice one! Jetzt nur noch warten, bis endlich ein Scammer anruft......

31.07.2018
User mwiggenhauser

Also eine VM imprtieren oder aufsetzen und schon ist man ein Geek...? Tiefe ansprüche.

02.08.2018
User picofon

@Mwiggenhauser: Nicht selbst ein Geek. ABER: zeig mir einen anderen ONLINE-SHOP der einen solchen Artikel postet und eine VM anbietet!

02.08.2018
User Anonymous

Der "Hacker" hat vermutlich einfach nur den Artikel gelesen bei Golem und Co.

Und sich als "Hacker" zu bezeichnen nur weil man ne VM aufsetzen kann ist schon mehr als lächerlich.

02.08.2018
User ExtraTNT

Lustige scammer...
Was dagegen auch hilfreich ist: Dieser Satz: sry, ich nutze linux, bitte scamt wer anders...

Es ist einfach schade für die leute, die den scam nicht raffen, oder erst zuspät...

03.08.2018
Answer
User miklagard

Du hast ein Kali Linux als VM rumliegen.. Hast du auch eine Sturmmaske? Sonst wird das schwierig zu hacken :P

31.07.2018
User Dominik Bärlocher

Kann ich nicht einfach einen Hoodie und Handschuhe tragen? Geht doch auch, oder?

31.07.2018
User miklagard

Das geht zwar auch, aber Sturmhaube ist besser. Ausserdem kommen mit Handschuhen die LED Tastatur nicht so gut zur geltung.

01.08.2018
User Dominik Bärlocher

Aber dafür hinterlasse ich ohne Handschuhe auf der Tastatur Fingerabdrücke, die so ein Cyberhacker sicher auslesen kann. Da ist mir das Risiko viel zu hoch. Zudem irritiert mich der Bass der lauten Technomusik weniger, wenn meine Fingerspitzen nicht direkt mit der ob dem Bass vibrierenden Tastatur in Kontakt kommen. Sprich: Ich kann schneller hacken.

02.08.2018
User miklagard

Wenn ich schnell Hacken muss nehmne ich einfach 3 Tastaturen. Kommt zum glück nicht so oft vor. Da reichen 2.

02.08.2018
User ExtraTNT

Adlersystem 4 the win! :D
Gut ich nutze natürlich gedankensteuerung zum hacken... so sieht man keine fingerabdrücke, ist 100% sicher...

03.08.2018
Answer
User carcharoth

Von der Idee her ganz lustig. Hat nur zwei Nachteile.
1. Ich würd keinen Scammer an ne Maschine lassen, die in meinem Netzwerk hängt.
2. en.wikipedia.org/wiki/Virtu... (zugegebenermassen ein eher kleines Risiko)

*aluhut aufsetzt*

31.07.2018
User jrom

Die anrufenden Scammer selbst haben meistens nicht viel Ahnung. Die werden nur auf das ausgebildet, was die dann auf dem Computer ausführen und nicht mehr. Von dem her hätte ich nicht so Angst dass die ernsthaft irgend was anstellen könnten. Hier sehr gut zu sehen: youtube.com/channel/UCBNG0o...
Die VM, respektive den Host, würde ich trotzdem ins Gäste-Netzwerk hängen, das isoliert vom Heimnetz ist.

31.07.2018
User MakeAppsNotWar

Dafür schottest du den PC z.B. über VPN ab

02.08.2018
User Flori347

Schau bitte noch einmal nach was ein VPN ist....

14.08.2018
Answer
User JTR.ch

Und was ist mit Syskey? Ohne den werden die Scamer traurig (gut bei Build ab 1709 fehlt der eh).

31.07.2018
User Leo1212

Einfach göttlich! xD
Tolle Sache! Vielen Dank für die VM, ich freue mich schon auf die Scammer ;)
Ich hatte grad erst in meinem Bekanntenkreis zwei Vorfälle.
Weiter so.

31.07.2018
User etu97

Mega toller Artikel😊 Gut geschrieben, sehr amüsant und informativ.

01.08.2018
User salebaer

Ich hab das Problem so gelöst, dass dieses Ding da auf einem Rasperry PI läuft.. dann ist es absolut sicher, dass er nix an meinem Rechner macht. Hat statische IP, ist im Netzwerk abgeschottet, alles andere hinter FETTER Firewall, und der davor. Anrufen, und die mal für 2-3h beschäftigen.

ja, ich weiss, der rechner ist langsam... seit diesem blöden Virus. Davor war er viel schneller... *ausrede 1*
Ja, ist Windows..
Sicherschon Windows
Ja, er ist langsam. Können Sie mir denn nun helfen

03.08.2018
User ahrustic82

Diese Scammer haben bei mir noch nie angerufen...

31.07.2018
User Intarisgmbh

Naja, können Spectre und Meltdown nicht aus eine VM heraus ins Haupt-system eindringen?

Ich wurde ein Scammer niemals an meine Hardware lassen. Die Scammer am Telefon selber haben vielleicht keine Ahnung, aber das Malware kommt bestimmt von jemand anders......

31.07.2018
User Dominik Bärlocher

Das ist ja das Schöne an einer VM. Sie bedient sich vornehmlich virtueller Ressourcen und ist mit Ausnahme von ganz wenigen (ziemlich esoterischen und extrem schwierig ausnutzbaren Schwachstellen) von der Host Hardware abegetrennt. Nachdem die Scammer entweder an deiner VM verzweifelt sind oder irgendwas installiert haben, löschst du die VM einfach wieder und gut ist.

Es sei denn du hast es mit ultra-hardcore Hackern zu tun, wovon ich einfach mal nicht ausgehe, bleibt dein Host System sicher.

31.07.2018
User RePao

Wer noch ein paar Euronen übrig hat, kauft sich vmWorkstation, da kann mann sich beim runterfahren der vm eine Meldung anziegen lassen ob die vm grad wieder zurück gesetzt werden soll, oder ohne Dialog immer gemacht werden soll ;) Aber die Forensik beginnt ja erst da wenn man sieht was die Scamer da so alles versucht haben... köstlich allemal! :)

01.08.2018
Answer
User mnemocron

Da sag ich mal dankeschön!
Hatte schon 3 Anrufe und hab dann halt jedes mal deren kostbare Zeit geklaut und gleich bei Microsoft und TeamViewer gemeldet. Mal ein wenig Forensik laufen zu lassen wäre auch mal was. Gibts in der Schweiz eine Stelle wo man diese Fälle melden kann? evtl. beim Melani?

01.08.2018
User r.sueess86

KOBIK

06.08.2018
Answer
User alexwoods

Super Artikel und toll dargestellt, Danke 😃

31.07.2018
User jeevanandk

Aber eine VM mit Zorin OS oder Linspire (wenn es das noch gibt) wäre doch schon überzeugender? Zumal dort auch gleich Wine mitkommt und es wirklich wie Windows aussieht. Wenn die Scammer dann ihre Faketools installieren und ganz komische Fehlermeldungen erhalten, wird das bestimmt unterhaltsam.

01.08.2018
User Anonymous

Super Beitrag! Habt ihr euch schon überlegt die auch auf Englisch zu veröffentlichen? Könnt auf Twitter ganz schön viral gehen :)

02.08.2018
User Dominik Bärlocher

Die VM läuft zum besseren Verständnis in Indien auf Englisch. Aber ich geb das mal unseren Übersetzern weiter.

02.08.2018
User rwilhelm

@Dominic: Da Du das Ding ja nicht bedienen musst könntest Du aber auch eine recht fiese seltene Sprache nutzen, beispielsweise Finnisch oder Ungarisch. Ist ja nicht Dein Problem, wenn sie dann mit dem TeamViewer Probleme haben etwas sinniges zu finden.
Die generellen "Instruktionen" sind sprachlich total neutral (ja, ich hatte die auch schon am Draht)

02.08.2018
User Eva Francis.

Danke für den Hinweis! Den Beitrag gibt es jetzt auch auf Englisch.

07.08.2018
User martin.modellflugpilot3

Rwiihelm am besten auf rhätoromanisch

12.08.2018
Answer
User Morepower

Gibt es keine Möglichkeit wenn diese Deppen auf der VM sind über den TeamViewer auf deren Rechner zuzugreifen und irgendwelchen Mist zu machen?

02.08.2018
User Anonymous

Was ich nicht verstehe: Warum Linux in der VM und nicht gerade eine echte virtuelle Windowsinstallation?
Zudem: Idee nicht ganz neu, wurde schon von einem Golem.de -Schreiber ausprobiert, siehe:
golem.de/news/telefonabzock...

01.08.2018
User Dominik Bärlocher

Zwei Gründe: Ich hatte grade Bock auf Linux. Wenn du eine Windows VM machen willst, darfst du das gerne tun. Zweitens: Irgendwie kommen bei Windows früher oder später immer irgendwelche Lizenzsachen ins Spiel, auf die ich spätnachts keinen Bock hatte.

Bonusgrund: "Ja, das ist Windows. Ganz bestimmt." ist ein tolles Gespräch.

02.08.2018
Answer
User kaywer3c

Weiss jemand, welcher IP/MAC-Adresse eine VM hat, die des Hosts oder eine andere ?
Kenn mich absolut nicht mit VM`s aus :D

02.08.2018
User rwilhelm

Die VM hat eine eigene MAC und eine eigene IP. Bei VMware kann man wählen ob diese gebridged oder selbstständig sein soll.
Bei Microsoft Hyper-V kann man den Bereich der MAC selber wählen und die Hardware ist echt - also nur via Hypervisor kontrolliert, während bei VMware die Hardware immer emuliert ist (dafür ist die VM dann besser transportabel). Hat Beides seine Vor- und Nachteile.

Für so einen Einsatz würde ich eher Microsoft Hyper-V wählen, was bei Windows 8/10 Professional dazu gehört.

02.08.2018
Answer
User Fixed-Bearing

Ich finde die Idee mit Linux recht gut, aber mit echtem Windows 10 rockt die Geschichte ungemein (Lizenzproblem lässt sich mit einer MSDN VM elegant lösen). Weshalb ich die WindowsLösung bevorzuge, ich kann den ganzen Schrott nachträglich analysieren.

02.08.2018
User Fixed-Bearing

Ok, VMs von MSDN gibts nur für das Hauseigene HyperV. Die ist aber in Sachen Trennung absolut sicher und ich kann Cross Code analysieren. Weiter hat der Typ an der Strippe nicht so lange um seine "Programme" zu installieren. Aber die Jungs hinter den Scammern haben dann echt was zu tun und sind für lange Zeit mit einer VM beschäftigt, welche nichts bringt.
Was die Jungs und Mädels installieren ist allerdings heftig. Nach Snoden sind viele Code Schnippsel mit verherender Macht im Netz. Gruselig!

02.08.2018
Answer
User ExtraTNT

Ists nicht möglich, zuschauen, welche ip via teamviewer auf deinem pc zugriff hatte? Es sollte ja gehen, du brauchst ja die ip um daten zurück zu schicken... die ip müsste ja dann in irgend nem log sein und sonst ist sie ja sicher für teamviewer bekannt sein und somit ausles bar...

03.08.2018
User pasgaf

Also die VM auf dem eigenen PC im selben Netz laufen zu lassen ist gefährlich. Besser wäre es die VM auf einem dedizierten Computer zu installieren. Und auf diesem Computer VPN Einzurichten. So dass von der VM kein Zugriff auf das eigene Netzwerk möglich ist. Alles andere ist Fahrlässig...

01.08.2018
User rolfzubi

Du hast das mit VPN noch nicht ganz verstanden, der IP Bereich 192.168.*.* ist immer noch verfügbar, da als lokales Netzwerk definiert. Ins Internet selbst bist du aber über deinen VPN, also alle IPs ausser der erwähnten (mit noch ein paar kleinen netzwerkspezifischen Ausnahmen). Lokaler Bereich kann man natürlich auch explizit sperren, aber das ist wieder ein anderes Thema.

01.08.2018
User rwilhelm

@Rolfzubi: Also, die meisten Firmen-VPN, mit denen ich bisher gearbeitet habe isolieren den PC auch im Heimnetz, Zugriff auf die Resourcen ist da nicht mehr möglich. In guten Lösungen kann der Admin, der die Konfiguration vorgibt einstellen, ob er lokalen Zugriff zulässt oder nicht. Und jenachdem, wie paranoid die Firma ist...

02.08.2018
User pasgaf

@Rolfzubi Nein, ich leite den gesamten Host traffic durch den Tunnel. Dadurch wird automatisch auch der Gast komplett vom lokalen Netz isoliert. Aus diesem Grund macht es auch Sinn, sich extra ein dedizertes Gastsystem zu besorgen.

04.08.2018
Answer
User mwiggenhauser

Glaubt mir, wenn die wirklich was drauf haben (die Programierer der Schadsoftware nicht die die anrufen, meine ich), dann wissen die Nullkomanichts, das es sich um eine VM handelt. Ob das Linux, Max, Solaris oder was auch immer ist, ist dabei unwichtig, denn auch das Hostsystem ist relativ einfach zu erreichen. Gibt es zb. mit VMware Tools genügend Schnittstellen. Etwas davon wird ausnutzbar sein.

02.08.2018
User comelfex

Coole sache. Finde die Scammer solle sich so richtig wohl fühlen, da reichen auch 10MB Ram und ein paar Cronjobs die alle 30 Sekunden tolle Spam Seiten öffnen.

03.08.2018
User Atalantanaa

Bei uns zuhause rufen sie in etwa 2 mal im Monat an. Bin noch nie auf den Gedanken gekommen, ihren Telefonen mit einer VM einen Sinn zu geben; habe ehrlich gesagt auch nicht die nötige Erfahrung bzw. Kenntniss im Umgang mit VMs. Vlt. kann ich jemandem mal das Telefon weiterleiten wer Lust hat? :)

04.08.2018
User Atalantanaa

Irgend was vorgaukeln mit "Hab gerade keine Zeit aber ein Bekannter von mir hat Probleme mit Windows und er würde sich sehr freuen, wenn sie es mal kurz über TeamViewer gemeinsam anschauen könnten. Ich würde sie dann mal kurz weiterleiten und danke Ihnen für Ihre Hilfsbereitschaft."

04.08.2018
Answer
User pasch13

Keine gute Idee das ganze ohne VPN zu machen. Ich habe das auch schon gemacht und dann hat mein Indischer Freund gerade als erstes meine IP Adresse gegooglet. Auch wenn die Callcenter-boys eventuell nicht so fit auf dem Computer sind, könnten sie die IP ja trotzdem an ihren Hacker-Cousin witergeben.

05.08.2018
User Wowza

"Bloodywood" – what a band name!

07.08.2018
User cqrnebula

Uralt, X-Millionen Suchtreffer auf Google von Leuten die bereits Tech Scammer aus Indien verarscht haben, aber die Kommentare sind trotzdem lustig...

08.08.2018
User mondorondo

ah, j'aurais bien aimé avoir autant de temps à dédier à ça, après le 4ème appel de la 'Société Microsoft Windows'

08.08.2018
User roli.goette

Dominic, Absolut mein lieblings Geschichtenerzähler. Deine Artikel sind immer lustig und cool formuliert. Auch wenn ich keine ahnung von Hacken habe, lese ich deine Artikel immerwieder gerne

11.08.2018
User platform5

Merci pour l’article et l’exellente Inspiration !

14.08.2018
User r.sueess86

Dieser Artikel ist die Zeit des Lesens nicht wert. Wenn Ihr euch schon "Hacker" nennen wollt dann bringt den anderen Leser mal nen Beitrag über NMAP, Metasploit, Kali usw.

06.08.2018