Momentan gehen wohl wieder Phishing- oder Malware-Angriffe per E-Mail rum, die über eine fingierte, sehr hohe Telekom Festnetzrechnung die Anwender zur Installation veranlassen möchten. Da ich durch Zufall die Phishing-Mail im Postfach gefunden habe, bringe ich es für die Mitleser als Blog-Beitrag.
Anzeige
Vor ein paar Tagen berichtete mir ein älterer Bekannter, dass er jetzt erstmals einen Angriff auf seinen Rechner beobachtet habe. Ihm sei eine sehr hohe Telekom-Rechnung per Mail zugegangen – und als er die Rechnungsdatei per Link abrufen wollte, hat sein Virenscanner Alarm geschlagen. Er rief bei der Telekom an und fragte, wieso die solche Rechnungen verschicken. Zeigt wieder, wie einfach solche Angriffe sind – und der Mann gibt sogar Computerkurse für die Zielgruppe 60Plus.
Der obige Screenshot zeigt die Nachricht, die ich eben im Postfach vorgefunden habe. Virenscanner von Mail-Postfächern der Provider schlagen nicht an, da kein Virus in der Mail enthalten ist. Schaut man sich aber die Nachricht an (das Foto zeigt die Darstellung im Thunderbird), erkennt man, dass die Mail nicht von mail.telekom.de sondern von einer pivara.ba-Adresse kommt.
Auch die verlinkte angebliche ZIP-Datei liegt auf keinem Telekom-Server. Sondern es wird der gehackte WordPress-Auftritt von qhasunq.org genutzt, wo man offenbar im Plugin-Ordner einen Download der ZIP-Datei hinterlegt hat. Selbstredend, dass die ZIP-Datei keine PDF-Datei, sondern ein .exe-Programm enthält, welches beim Öffnen (z.B. per Doppelklick) dann die Schadsoftware zu installieren versucht.
Anzeige
Also: Wenn so eine vorgebliche Rechnung kommt – immer schauen, ob das wirklich vom vorgeblichen Absender stammen kann. Das obige Foto zeigt, dass man das sehr leicht erkennen kann. Und bei vorgeblichen PDF-Dokumenten prüfen, ob nicht doch eine .exe-Datei dahinter steckt. Ich weiß zwar nicht, wie die Telekom das mit den Rechnungen hält – ich nutze die Zustellung per Post – aber eine .exe-Datei mit Rechnungskopie ist da nicht drunter. PS: Ich habe die .exe-Datei nicht weiter analysiert – sondern gleich gelöscht.
Anzeige
Man kann sowas super leicht erkennen, den die Rechnungen der Telekom per Mail kommen immer mit der korrekten Anrede und nie mit "damen und herren" oder sowas.
Ferner ist auch immer wenigstens die Kundennummer sichtbar.
Auserdem würde dann da stehen "beträgt" statt "ist" beim Betrag.
Leider gilt auch hier das Gesetz der Zahl. Ein gewisser Prozentsatz der Angeschrieben öffnet so einen Anhang. Dabei fehlt auch hier die persönliche Anrede mit Namen, eine Rückrufnummer und natürlich auch die Kundennummer. Die Phishingversuche werden von Jahr zu Jahr professioneller.