Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


RechnungOnline Monat Oktober 2013

Montag, 30. September 2013, 19:24 Uhr

Die Mails mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de, die verblüffend ähnlich wie eine echte Mail der Deutschen Telekom aussehen, sind natürlich keine Mails der Deutschen Telekom. Mein soeben erhaltenes Exemplar wurde von einer dynamisch vergebenen IP-Adresse aus Italien, also vermutlich über einen mit Schadsoftware zum Bot gemachten Privatrechner, versendet. Das Layout und der Text entspricht vollständig dem kriminellen Versuch aus dem Februar dieses Jahres.

Ihre Rechnung für Oktober 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,67 Euro.

Spätestens beim Fehlen der persönlichen Anrede sollte klar sein, dass es sich nicht um eine Mail der Deutschen Telekom handelt. Kein Unternehmen wird seine Kunden unpersönlich ansprechen. Da die Spammer inzwischen viele Zuordnungen von Namen zu Mailadressen in ihrem Datenbestand haben, ist aber auch eine persönliche Ansprache in keinem Fall mehr ein hinreichendes Indiz, dass die Mail wirklich von der Deutschen Telekom stammt.

Ziel dieser Spam ist es, dass der Empfänger den Anhang öffnet. Es handelt sich um ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet, also eine direkt ausführbare Datei für Microsoft Windows, die von Verbrechern mit gefälschtem Absender unter Erweckung eines falschen Eindruckes zugestellt wurde – und die als kostenlose Zusatzleistung klar macht, wie die Verbrecher wohl an ihr Botnetz für den Spamversand gekommen sind. Nach dem „Öffnen“ dieser Datei hat man einen Computer anderer Leute auf seinem Schreibtisch stehen und muss damit leben, dass die Internetleitung von Verbrechern genutzt wird, dass sämtliche Tastatureingaben an die Verbrecher gehen und dass alle auf diesem Rechner bewusst oder unbewusst gespeicherten Daten kompromittiert sind.

Wer Microsoft Windows in den Standardeinstellungen belassen hat, glaubt zu sehen, dass der Dateiname auf .pdf endet, weil Microsoft der Meinung ist, dass der wirkliche Dateiname vor dem Anwender verborgen bleiben muss und mit dieser dummen und leider – trotz der Wucht der organisierten Internet-Kriminalität der Zehner Jahre – niemals korrigierten Entscheidung aus der Mitte der Neunziger Jahre eine derartige Überrumpelung überhaupt erst ermöglicht.

Die Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt. Wer sich auf diesen „Schutz“ verlassen hat, ist wieder einmal verlassen.

Warum die Hersteller des Antivirus-Schlangenöls¹ nicht dazu imstande sind, eine Datei mit einem Namen wie .pdf.exe allein deshalb als verdächtig zu behandeln, weil eine solche Benennung außerhalb der Trojanerverbreitung durch Überrumpelung vollständig sinnlos wäre, gehört zu den Fragen, die sie am besten einmal dem Antivirus-Schlangenölhersteller ihrer Wahl stellen. Nachdem derartige Nummern schon seit einigen Jahren laufen und großen Schaden anrichten, habe ich nicht mehr das geringste Verständnis dafür, dass dieses sehr einfache Muster einer doppelten Dateinamenserweiterung von .exe-Dateien nicht erkannt wird.

Wenn diese Spam mit einer namentlichen Ansprache bei einem Telekom-Kunden angekommen wäre, hätte er kaum Chancen gehabt, sie als Spam zu erkennen. Als letztes verdächtiges Anzeichen bleibt der leicht zu übersehene, überflüssige Punkt in der gefälschten Absenderadresse. Diese Schwäche wird vermutlich in zukünftigen Spamwellen dieser Masche verschwinden.

Es gilt weiterhin: Anhänge in E-Mails stinken und sollten nur mit äußerster Vorsicht behandelt werden. Dies gilt in ganz besonderem Maße, wenn der Anhang ein ZIP-Archiv ist, in dem sich ein angebliches „Dokument“ wie eine Rechnung, eine Auftragsbestätigung, eine Mahnung oder dergleichen befindet. In diesen Fällen handelt es sich beinahe ausschließlich um Schadsoftware, die an einen serverseitigen Spamfilter vorbeigemogelt werden soll – auf den meisten Servern wird nämlich darauf verzichtet, bei der Spamerkennung Archivformate auszupacken, um zu vermeiden, dass mit einer Archivbombe der Server „abgeschossen“ werden kann.

Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). Aber es gibt einen „guten“ Grund für die Spam-Verbrecher, ihren hochgefährlichen Sondermüll in dieser Darreichungsform zu versenden. Schließlich leben die Halunken davon, dass die Mail nicht in Spamfiltern hängenbleibt, sondern ankommt und arglose Menschen dazu bringt, das zu tun, was die Halunken wollen.

Also: Äußerste Vorsicht bei E-Mail mit Anhang! Egal, wer der Absender zu sein scheint!

¹Wenn eine derartig primitive Masche auch nach Jahren noch dazu benutzt werden kann, einem naiven Anwender eine Software von Verbrechern unterzujubeln, dann belegt das nur eines: Den Herstellern von Antivirus-Programmen sind die realen Verbreitungswege der Schadsoftware und die davon betroffenen Menschen egal. Ihnen reicht das Geschäft mit der gefühlten Sicherheit, das sie sich gut bezahlen lassen. Sie sind wie Quacksalber, die einem Menschen mit einer lebensbedrohlichen Lungenentzündung überteuerte Hustenbonbons verkaufen und auf die Placebo-Wirkung hoffen. Es ist nur noch Schlangenöl, kein Bemühen mehr um das, was eigentlich verkauft wird: Ein leidlich vor den Attacken der Kriminellen abgesicherter Computer.

11 Kommentare für RechnungOnline Monat Oktober 2013

  1. Alois sagt:

    Hallo,
    ein Freund von mir hat heute auch diese Rechnung erhalten und auf die Links zum „Kundencenter“ geklickt. Da er das Kennwort des Kundencenters nicht im Kopf hatte, hat er mehrere Kennworte ausprobiert. Dann aber irgendwann abgebrochen.
    Er arbeitete mit nem Mac unter Mac OS X als Nutzer (nicht Administrator). Die ZIP-Datei hatte er nicht geöffnet.

    Hat jemand von Euch Erfahrungen mit diesem Virus / Malware auf nem Mac? Kann er sich da etwas eingefangen haben?
    Was sollte nun getan werden? Einfach eMail löschen?

    Die eMail-Kennworte haben wir von einem anderen Rechner aus bereits geändert.

    Vielen Dank für eine Antwort.
    Alois

    • Ralf sagt:

      Hi Alois,
      an anderer Stelle ist zu lesen, dass der Virus nur Windows-Systeme angreift. Mac und Linus-user sollen nicht gefährdet sein.
      VG Ralf

    • Wenn die Datei eine .exe ist, ist sie auf einem Mac nicht ausführbar und somit harmlos. Entspannen und den schöneren Seiten des Internet zuwenden! 😉

      (Aber irgendwann geht auch für uns Nutzer von Nischenbetriebssystemen die selige Zeit vorbei. Und dann hilft nur Aufmerksamkeit.)

      • cassiel sagt:

        Ich bin eigentlich ziemlich zuversichtlich, dass Non-windows User auch bei steigenden Nutzerzahlen noch lange auf der Insel der Glückseligen (sofern man davon überhaupt noch sprechen kann) bleiben werden, weil es eben nie diese durch ein chronisch unsicheres, nicht netzwerkfähiges Betriebssystem verursachte Phase der Goldgräberstimmung für Spammer gegeben hat. Ausdrücklich ausnehmen muss man neue BSe wie für Smartphones die wieder unsicher gemacht werden und massenhaft auf den DAU losgelassen werden. Da werden die Spammer und Phisher sich nicht zwei mal bitten lassen.

  2. Ralf sagt:

    Hallo,
    der Hinweis „Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). “ ist in dieser Allgemeinheit falsch. Wer nämlich bei der Telekom – z.B. aus Formgründen für das Finanzamt – eine signierte online-Rechnung bestellt hat, bekommt seine Rechnung per Mail mit Anhang im zip-Format. Im Archiv dann die eigentliche Rechnung plus Signatur-Datei.
    Der Hinweis mag in den meisten Fällen richtig sein, für die genannte Konstellation aber eben nicht. Das macht das Ganze für Telekom-Kunden zusätzlich gefährlich, weil auf den ersten Blick alles aussieht wie immer.
    Die internen Virenscanner einiger große Mailanbieter (z.B. web.de, gmx) erkennen den Virus übrigens inzwischen und machen ihn bereits systemintern unschädlich.
    VG Ralf

    • Wer nämlich bei der Telekom – z.B. aus Formgründen für das Finanzamt – eine signierte online-Rechnung bestellt hat, bekommt seine Rechnung per Mail mit Anhang im zip-Format

      Danke für diese Ergänzung, die klar macht, dass die Spam noch gefährlicher ist, als ich eh schon dachte. Weiß die Deutsche Telekom eigentlich nicht, dass die PDF-Spezifikation bereits eine digitale Signatur vorsieht? (Vermutlich aus solchen Gründen…)

      Die internen Virenscanner einiger große Mailanbieter (z.B. web.de, gmx) erkennen den Virus übrigens inzwischen und machen ihn bereits systemintern unschädlich

      Die Spammer haben aber auch schon reagiert und suchen nach Wegen an den Filtern vorbei. Ich hatte hier mehrere Mails mit einem ZIP, in dem ein ZIP war, in dem dann endlich die Trojanerschleuder der Marke .pdf.exe lag. (Und ein paar kaputte Dateien hatte ich auch.) In meinen Augen sind das Versuche, wieder durch die Filter durchzukommen. (Auf dem Mailserver können sie nicht beliebig tief entpacken, weil sonst ein DoS-Angriff mit einer „Archivbombe“ möglich wird.) Die Doppelarchive haben aber inzwischen schon wieder aufgehört, vermutlich, weil auch bei den meisten menschlichen Empfängern bei derart komplizierten „Verpackungen“ ein paar Alarmglocken schrillen.

  3. michaela n. sagt:

    hallo
    auch ich hatte das vergnügen mit der rechnung.. ich habe diese gleich in den spam filter und gelöscht…
    gruss

  4. fabe sagt:

    Danke für den Hinweis, konnte so den Ordner „Merkwürdig“ gleich wieder löschen!

  5. albeyer sagt:

    Gerade habe ich solch eine Spam-Mail im Spamfilter entdeckt. Mit minimal abweichendem Rg.-Betrag und der Absenderadresse Telekom“ , also OHNE Punkt vor dem „@“! Ein Erkennungsmerkmal weniger…

  6. Klaus sagt:

    Hallo,

    besten Dank für die Info, wir haben diese Mail auch erhalten – interessanterweise ohne den Anhang.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert