Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


AW: Fehlende Rechnung

Dienstag, 8. Dezember 2015, 14:25 Uhr

Guten Morgen,

anbei erhalten Sie die gewünschte Rechnung 69051536.

Mit freundlichem Gruß

Thomas Schneider
-Aussendienst Backoffice-
Normfest GmbH
Siemensstr. 23
D-42551 Velbert

Aha, ein Laden, von dem ich noch nie gehört habe, schickt mir eine „gewünschte Rechnung“. Der Laden scheint mich als Kunden zu betrachten, aber seine Mitarbeiter kennen von mir nur den Namen „Guten Morgen“. Um was es geht, erfahre ich nicht. Stattdessen gibt es eine lustige Nummer.

Bekanntes Schema, nicht wahr?!

Genau so sehen Spams aus, an denen eine Schadsoftware hängt.

Der Anhang ist eine Datei mit der Dateinamenserweiterung .doc, also angeblich ein Dokument für Microsoft Word. Allerdings hat der Spammer wohl die Dokumentation über MIME nicht zu Ende gelesen, so dass ihm der Anhang zum Glück ein bisschen verunglückte:

Screenshot: Darstellung des Mailanhanges in meinem Editor, der zeigt, dass die Angabe der MIME-Header so verunfallt ist, dass das Dokument mit Nonsens aufgefüllt wurde

Das ist aber nicht weiter schade, denn das kaputte Word-Dokument hätte nur eine Seite mit fünf Wörtern gehabt – und einen Riesenhaufen Makrocode, der beim Öffnen des Dokumentes automatisch ausgeführt worden wäre und eine aktuelle Kollektion von Schadsoftware auf den Computer gespielt hätte.

Ich kann allerdings nicht ausschließen, dass es sich hier nicht um Unfähigkeit des Spammers, sondern um einen ausgenutzten Fehler in Microsoft Windows oder Microsoft Office handelt. Außerdem muss ich leider davon ausgehen, dass der Kriminelle, der diese (und vermutlich viele ähnlich gemachte) Spams versendet, es auch noch schafft, Anhänge zu bauen, die auch geöffnet werden können. Die Schadsoftware ist so frisch, dass sie zurzeit nur von einem Bruchteil des Antivirus-Schlangenöls¹ erkannt wird.

Deshalb immer sehr, sehr vorsichtig mit E-Mail-Anhängen sein und niemals einen Mailanhang öffnen, der nicht vorher explizit abgesprochen wurde. Und natürlich erst recht nicht einen Anhang an einer E-Mail von Unbekannten.

¹Wer sich an dem zugegebenermaßen unsachlichen Wort „Schlangenöl“ für Antivirus-Produkte stößt, lese bitte hier weiter!

10 Kommentare für AW: Fehlende Rechnung

  1. Jot sagt:

    Salve,

    na du hast aber viel text gekriegt. *schnief – ich hätt auch gern so einen „Roman“ bekommen, stattdessen gabs für mich nur:

    Hallo,

    als Anhang finden Sie die Rechnung 96662518 vom 07.12.2015.

    Nettosumme: 325,00
    MwSt: 19,00
    Bruttosumme: 386,75

    Mit freundlichen Grüßen
    Abo Wolff

  2. herbert1949 sagt:

    Ja wie war , habe ich auch erhalten aber nichts geöffnet. Es ist freundlich das es Menschen gibt die vor solchen Gaunern warnen.
    Gruß
    herbert

  3. Oliver sagt:

    Aktuell laufen zumindest bei uns wieder massig solcher Mails auf.

    • Marcus sagt:

      Hallo ein Use hier am PC hat den Anhang geöffnet, die Makros aber nicht
      weiß schon jemand was genaues über den Inhalt ?

      Für jede Hilfe dankbar

      Marcus

  4. Martin Siewert sagt:

    Wir bekommen zur Zeit auch massenhaft dieser Spam-Mails.
    Seit heute ist jedoch die Domain der E-Mail die gleiche wie unsere.

    Grüße aus Hamburg

  5. erasmus sagt:

    Auch ich habe heute am 01.02.2016 eine Mail bekommen in der es heisst, Hier die gewünschte Rechnung Nr. 498923. Absender ein Herr Engel vom Backoffice.
    Im Anhang dann die „rechnung“ oder sonstwas.Habe den Anhang aus Sicherheistgründen nicht geöffnet. Eine Mail an den Absender Engel wurde als SPAM von einem PC erkannt. Habe dann die Firma NORMFEST, die es betrifft angeschrieben und auf diese Mail hingewiesen. Es ist eine Firma die KFZ Teile verkauft. Offenbar wird diese Firma on einem Betrüger benutzt.
    Mit freundlichen Grüssen
    G. Nöther

  6. Nicole sagt:

    Mittlerweile wurde „Abo Walter“ in „Abbo Walter“ geändert, kam wohl nicht oft genug durch den Spamcheck.

  7. Klemens sagt:

    heute hat meine Frau eine Rechnung dieser Firma bekommen.

    Wie so häufig, war es auch hier interessant, sich den Mailheader der suspekten Mail anzuschauen. Häufig finden sich da nämlich Widersprüche bezüglich der Domänen. Wenn man bspw. eine Mail von einer Kanzlei, oder einer Firma erhält, welche eine eigene Domäne besitzt, sollten die Alarmglocken leuten, wenn die tatsächliche Domäne (egal ob Absender oder Return-Pfad) gar keinen Zusammenhang aufweist

    Ok, Olof Hoffmann war nicht so einfallslos, eine Yahoo, GMX oder sonstig anonyme Adresse zu verwenden. Auch sind FROM und RETURN-Adresse identisch. Aber… die Domäne ist (zumindest für uns) sehr sehr auffällig.
    Denn hier vergebene nur ich die Email-Adressen und deren Anzahl ist bislang sehr „übersichtlich“.

    Klemens

  8. Jonkisch sagt:

    Fehlende Rechnung! Könnte mir jemand sagen, welche Folgen dieser Spam hat und was kann man dagegen unternehmen? Herzlichen Dank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert