{"id":281336,"date":"2023-05-19T00:23:00","date_gmt":"2023-05-18T22:23:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=281336"},"modified":"2023-05-18T19:29:04","modified_gmt":"2023-05-18T17:29:04","slug":"warnung-vor-pishingversuch-im-namen-von-f-niemann-gmbh-mit-trojaner-im-gepck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/19\/warnung-vor-pishingversuch-im-namen-von-f-niemann-gmbh-mit-trojaner-im-gepck\/","title":{"rendered":"Warnung vor Pishingversuch im Namen von "F. Niemann GmbH" mit Trojaner im Gepäck"},"content":{"rendered":"

\"SicherheitBetr\u00fcger versuchen den Namen der F. Niemann GmbH in Phising-Mails zu missbrauchen und versenden \"Service-Mails\". Im Gep\u00e4ck ist wohl ein Trojaner. Das Unternehmen warnt vor dieser Betrugsmasche, die vor allem Kunden der Firma, die K\u00e4rcher-Produkte verwenden, treffen k\u00f6nnte. Ein Blog-Leser hat mich gerade auf diesen Sachverhalt aufmerksam gemacht, den ich nachfolgend zur Information einstelle.<\/p>\n

<\/p>\n

\"\"Blog-Leser Otto G. erhielt selbst eine solche gef\u00e4lschte E-Mail und hat mich dann informiert (danke daf\u00fcr). In einer Nachricht, schrieb mir Otto:<\/p>\n

Pishingversuch bei F.Niemann GmbH<\/p>\n

hier sende ich Ihnen einen Link zu einer Warnung der Firma F. Niemann GmbH, die vielleicht f\u00fcr einige Kunden der Firma (besonders K\u00e4rcher Kunden) interessant sein k\u00f6nnte.<\/p>\n

Ich selbst\u00a0 habe bereits gerade eine entsprechende gef\u00e4lschte E-Mail mit einer angeblichen \"Servicerechnung\" im Anhang erhalten.<\/p><\/blockquote>\n

Der Leser hat mir dann die gef\u00e4lschte Servicerechnung als E-Mail zugeleitet. Hier der anonymisierte Inhalt dieser \"Servicerechnung\":<\/p>\n

Betreff:\u00a0\u00a0\u00a0\u00a0 Friedrich Niemann GmbH: Servicerechnung doc94.8537.00254
\nDatum:\u00a0\u00a0\u00a0\u00a0 Wed, 17 May 2023 10:31:51 +0300
\nVon:\u00a0\u00a0\u00a0\u00a0 N. N. <kkkk @ xxx.de>
\nAn:\u00a0\u00a0\u00a0\u00a0 xxx @ gmx.de<\/p>\n

Friedrich Niemann GmbH: Servicerechnung 8221135<\/p>\n

Sehr geehrte Damen und Herren,<\/p>\n

im Anhang erhalten Sie unsere Servicerechnung 94.8537.00254 vom 17.05.23 im PDF-Format.<\/p>\n

Mit freundlichen Gr\u00fc\u00dfen\u200b<\/p>\n

N.\u00a0 N.<\/p>\n

*+49 431 5xxx* <tel:+49%204xxxx>
\n*N-N @ xxx.de*<\/strong>
\nFriedrich Niemann GmbH & Co. KG
\nEichkoppelweg 103
\n24119 Kiel\/Kronshagen<\/p><\/blockquote>\n

Die E-Mail-Adressen wurden hier entfernt. Der Mail war ein Link zu einer Webseite sowie ein HTML-Dokument beigef\u00fcgt. Ich habe die URL auf virustotal.com<\/em> pr\u00fcfen lassen, es gab keinen Befund. Bei der angeh\u00e4ngten HTML-Datei Servicerechnung_94.8537.00254 . html <\/em>schlug Virustotal beim Upload aber Alarm und es wurde ein Trojaner gemeldet.<\/p>\n

\"Phishing-Mail<\/a>
\nPhishing-Mail mit Trojaner<\/p>\n

Den Inhalt des Anhangs habe ich vorsorglich nicht in einem Browser ge\u00f6ffnet – der Quellcode zeigt eine Sequenz an encodierten Daten, die zur Laufzeit entschl\u00fcsselt und als Code ausgef\u00fchrt werden. In einer Online-Browser-Sandbox wird mir dann folgendes angezeigt:<\/p>\n

<\/p>\n

Die Phisher versuchen also den Benutzer zum Download einer ZIP-Archivdatei zu bewegen. Das ZIP-Archiv soll entpackt und der Anhang mit dem Trojaner entpackt sowie ausgef\u00fchrt werden. Die klassische Methode zur Verbreitung von Mal- und Ransomware.<\/p>\n

\"Phishing<\/a>
\nPhishing Warnung F. Niemann<\/p>\n

Von der Firma F. Niemann gibt es auf dieser Webseite<\/a> eine offizielle Warnung vor diesem Betrugsversuch (siehe obigem Screenshot). Im Text hei\u00dft es dazu:<\/p>\n

Die Friedrich Niemann GmbH & Co. KG warnen vor sogenannten Phishing-\/Spam-E-Mails.<\/p>\n

Diese Mails werden momentan geh\u00e4uft als vermeintliche Antwort auf \u00e4ltere, fr\u00fcher gef\u00fchrte E-Mail-Korrespondenz versendet.<\/p>\n

Die Absenderadressen der E-Mail variieren, ebenso wie die Zeiten des Versands.<\/p>\n

Es t\u00e4uscht eine Antwort auf den damaligen Inhalt einer vorangegangenen Korrespondenz vor.<\/p>\n

In der E-Mail werden die Kunden aufgefordert, eingef\u00fcgte Links zu aktivieren. Die Friedrich Niemann GmbH & Co.KG betonen mit Nachdruck, dass es sich bei diesen Mails um F\u00e4lschungen handelt.<\/p><\/blockquote>\n

Meine Interpretation des nachfolgenden Texts ist, dass die Firma \u00fcber eine Schwachstelle gehackt wurde und die Betr\u00fcger so an die Mail-Adressen der Kunden gelangten. Die Firma schreibt dazu:<\/p>\n

Die Sicherheitsl\u00fccke wurde aufseiten der Friedrich Niemann GmbH & Co.KG bereits geschlossen.<\/p>\n

Sicherheitshalber werden die Systeme dar\u00fcber hinausgehend sorgf\u00e4ltig \u00fcberpr\u00fcft, um m\u00f6gliche Risiken f\u00fcr die Friedrich Niemann GmbH & Co.KG wie auch f\u00fcr Kunden und Gesch\u00e4ftspartnern m\u00f6glichst auszuschlie\u00dfen.<\/p><\/blockquote>\n

Falls also jemand Kunde dieses Anbieters ist\/war, sollte achtsam sein und die Mail des Anbieters niemals \u00f6ffnen oder Links anklicken sowie die oben beschriebene ZIP-Archivdatei inspizieren und deren Inhalte \u00f6ffnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Betr\u00fcger versuchen den Namen der F. Niemann GmbH in Phising-Mails zu missbrauchen und versenden \"Service-Mails\". Im Gep\u00e4ck ist wohl ein Trojaner. Das Unternehmen warnt vor dieser Betrugsmasche, die vor allem Kunden der Firma, die K\u00e4rcher-Produkte verwenden, treffen k\u00f6nnte. Ein Blog-Leser … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-281336","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/281336","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=281336"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/281336\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=281336"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=281336"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=281336"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}