24.04.2012, 14:55

Benjamin Schischka

Vorsicht!

Falsche Telekom-Rechnung mit Trojaner im Umlauf

Falsche Telekom-Rechnung mit Trojaner an Bord im Umlauf. ©iStockphoto.com/PashaIgnatov

In deutschen Postfächern kursiert derzeit eine gefälschte Rechnung der Telekom. Die Opfer sollen zum Klick auf das Trojaner-verseuchte PDF verleitet werden.

Das Aschaffenburger Stadtmagazin und viele andere User hat eine angebliche PDF-Rechnung der Telekom erreicht – via E-Mail. Die Mail mit der Rechnung für den Monat April trug die Bezeichnung „Rechnung042012“ und soll den Original-Rechnungen der Telekom zum Verwechseln ähnlich sehen. Selbst der Name des Kundenservice-Leiters stimmte im Fall des Stadtmagazins.

Einige Kleinigkeiten passen jedoch nicht, und die trägt das Stadtmagazin zusammen. Achten Sie beim Erhalt einer Telekom-Rechnung unbedingt auf diese Punkte:

Ist der Mail-Text vollständig? In der kursierenden gefälschten Rechnung fehle der Zusatz „Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.“
Angeblich erfolge die Antwort auf die falsche Rechnungs-Mail an Rechnung(at)telekom.com. Normal sei jedoch ein Antwort-Link in der Mail.
Der falsche Mail-Absender unterscheide sich mit "kunden1@telekom.de" deutlich vom echten "rechnungenonline@telekom.de".
Die Original-Rechnung müsse „2012_04rechnung_XXXXXXXXXX“ heißen (anstelle der X-Zeichen steht die Kundennummer). Und nicht „Rechnung042012“.
Die PDF-Datei der Mail sei 19,3 KB klein. Normal seien rund 200 KB.

Gefälschte Telekom-Rechnung soll Trojaner enthalten

Die Telekom-Website T-Online ergänzt, dass das PDF der falschen Mail einen Trojaner enthalte. Dieser nutze eine Schwachstelle im Adobe Reader aus und mache den PC zum Botnetz-Zombie, den die Kriminellen ferngesteuert für ihre Zwecke einsetzen können. Dazu lade der Trojaner diverse Daten aus dem Internet nach – etwa „menu.exe“, „favorites.exe“ und „shadows.exe“ – alles heimlich im Hintergrund, damit das Opfer nichts merkt. Laut Kaspersky handele es sich bei dem Trojaner um den Schädling „Packed.Win32.Krap.it“. Details zum Gefahrenpotenzial seien aber noch nicht bekannt.

Laut T-Online erkenne man die gefälschte Mail außerdem an der fehlenden persönlichen Anrede. Dort stünde nur „Sehr geehrte Damen und Herren“ ohne Namensnennung.

So schützen Sie sich vor dem Trojaner

Wenn Sie die zweifelhafte Rechnungs-Mail bekommen, sollten Sie diese auf gar keinen Fall öffnen! Ignorieren Sie die E-Mail und antworten Sie auch nicht – damit würden Sie den Angreifern bloß verraten, dass Ihre Mail-Adresse noch aktuell ist. Aktualisieren Sie außerdem Ihren Adobe Reader, falls noch nicht geschehen. Laut T-Online nutzt der Trojaner eine alte Schwachstelle von 2010 aus.

Kommentare zu diesem Artikel (23)

Benjamin Schischka
24.04.12

Vorsicht: Falsche Telekom-Rechnung mit Trojaner
Haben Sie auch eine Fake-Rechnung im Postfach gehabt?
Antwort schreiben
Hnas2
24.04.12

Nö. Ich schau mir die per Mail zugesandte Rechnung gar nicht an. Das ist für mich nur die Information, dass eine neue Rechnung vorliegt.
Für den Download gehe ich direkt auf die Telekom-Seite.
Antwort schreiben
Gany
24.04.12

Ja, ich hatte heute auch gleich zwei von den Dingern in meinem Postfach.
Aber wie immer bei mir, was ich nicht kenne wandert ungeöffnet ins Nirvana. :D

Gruss
Antwort schreiben
deoroller
24.04.12

Für Leute, bei denen eine Mail überraschend auftaucht, ist die Neugier auch sehr hoch, mal rein zugucken.
Antwort schreiben
kalweit
24.04.12

Laut T-Online erkenne man die gefälschte Mail außerdem an der fehlenden persönlichen Anrede.

Nö, in meinen Rechnungsmails von der Telekom steht immer: "Sehr geehrte Kundin, sehr geehrter Kunde, ". Dafür steht im Betreff das Buchungskonto.
Antwort schreiben
tempranillo
24.04.12

Komisch. Bei mir steht in bestem Hochdeutsch

Guten Tag Herr und Frau Müller und Gerda Meier.
(Nein, hier ist keine WG, ich habe auch nur eine Freundin und die Tochter ist nicht gemeint)

War schon immer so.
Antwort schreiben
heikogs
25.04.12

bei mir war auch noch ein größerer Betrag (110€) in der Mail angegeben, der wohl zum schnellen des Anhangs verleiten soll.
Habe die Mail nicht gelöscht, sondern in den Spamverdachtsordner von GMX verschoben. Ob´s was nützt??? mal sehen.....
Wo kann man solche Mail am besten melden???
Antwort schreiben
deoroller
25.04.12

Für Beschwerden über deutschen Spam
Antwort schreiben
kalweit
25.04.12

Zitat: deoroller
Für Beschwerden über deutschen Spam

...und nicht vergessen, die gefühlten 100 Seiten Verfahrensordnung der angeschlossenen Verbände vorher zu studieren.
Antwort schreiben
kalweit
25.04.12

Zitat: heikogs
Wo kann man solche Mail am besten melden???

Ich habe dir mal einen virtuellen Stempel unter deine Meldung gemacht. Kannst du dir ausdrucken und übers Bett hängen. :D
Antwort schreiben
Nevok
25.04.12

Nein, ich hatte auch keine solche Fake-Rechnung in meinem E-Mail-Postfach. Die hätte ich auch gleich ungesehen gelöscht, da ich kein Telekom-Kunde bin.

Gruß
Nevok
Antwort schreiben
kingjon
25.04.12

Zitat: Nevok
Die hätte ich auch gleich ungesehen gelöscht, da ich kein Telekom-Kunde bin.

Haben die Rechnung denn überhaupt Nicht-Kunden bekommen?
Das wäre ja unsinnig, die würde dann ja erst recht nicht geöffnet werden.

Gruß kingjon
Antwort schreiben
deoroller
25.04.12

Wenn der Spam nur an Telekom Kunden ginge, wären die ja bereits kompromittiert und eine weitere Attacke per Mail überflüssig.
Antwort schreiben
kalweit
25.04.12

Zitat: kingjon
Haben die Rechnung denn überhaupt Nicht-Kunden bekommen, das wäre ja unsinnig?

Woher sollen die Bösen wissen, welche zufällig ausgewählte E-Mail Adresse (t-online Adressen mal ausgenommen) einem Telekomkunden gehört und welche nicht? Hier führt schlicht die Masse zum Erfolg.
Antwort schreiben
kingjon
25.04.12

Meine Überlegung ging an einen zuvor begangenen Datenklau bei der Telekom!
Den gab es doch bereits schon vor geraumer Zeit...

Gruß kingjon
Antwort schreiben
deoroller
25.04.12

Ich kriege meine Telekom Rechnungen nicht per t-online Mail.
Seit Februar 2011 werde ich mit meinem Namen angeredet, "Guten Tag Herr [I][COLOR="Silver"]deoroller[/COLOR][/I]," vorher war es noch "Sehr geehrte Kundin, sehr geehrter Kunde,"
Antwort schreiben
kingjon
25.04.12

Zitat: deoroller
Seit Februar 2011 werde ich mit meinem Namen angeredet, "Guten Tag Herr [I][COLOR="Silver"]deoroller[/COLOR][/I]," vorher war es noch "Sehr geehrte Kundin, sehr geehrter Kunde,"

Vorher wussten sie wohl noch nicht wessen Geschlecht ein deoroller ist....

Gruß kingjon
Antwort schreiben
kalweit
25.04.12

Zitat: kingjon
Meine Überlegung ging an einen zuvor begangenen Datenklau bei der Telekom!

Dann hätte man die Mail aber mit weiteren persönlichen Daten spicken können, um die Öffnungsrate erheblich zu erhöhen.
Antwort schreiben
kingjon
25.04.12

Stimmt, vorausgesetzt man hat diese auch alle - außerdem wäre der Aufwand ungleich höher jede Mail zu personalisieren und nicht nur einfach eine pauschale Mail zu verschicken.
Aber dazu fällt genügend Einblick in die Sache.

Gruß kingjon
Antwort schreiben
deoroller
28.04.12

Ich glaube, man wollte mir auch so einen Mail zukommen lassen.

Liebes GMX Mitglied,

eine an Sie adressierte E-Mail wurde von unserem Virenscanner
als gefährlich eingestuft.

Datei: Rechnung_Pdf.exe
Virus: W32.Rontokbro

Es folgen Details zu der betroffenen E-Mail:

Von: kathrxx.prixx2 'at' esco.nix
An: "mich"
Datum: Sat, 28 Apr 2012 07:20:02 +0200
Betreff: Rechnung für April NR 289988105

Falls Ihnen der Absender persönlich bekannt ist, sollten Sie sich mit
ihm in Verbindung setzen und ihn darauf hinweisen, dass sein PC
wahrscheinlich von einem Virus befallen ist.

Antwort schreiben
karly
19.07.12

Mail von Deutscher Post
Ich habe vor zwei Tagen eine Mail (mit Schreibfehlern) von der Post AG erhalten, wonach sie eine Paketlieferung nicht zustellen konnten wegen falscher Anschrift. Ich sollte natürlich den Anhang mit einer Paketmarke o.ä. öffnen, um die Lieferung zu erhalten.
Habe ich gar nicht erst geöffnet, da auch nichts bestellt war.
Diese Mails werden offensichtlich im Namen vieler großer Firmen verschickt. Telekom-Rechnung bekomme ich immer mit Anrede und Rechnungsnummer.
Gruß karly
Antwort schreiben
kingjon
19.07.12

Zitat: karly
Ich habe vor zwei Tagen eine Mail (mit Schreibfehlern) von der Post AG erhalten, wonach sie eine Paketlieferung nicht zustellen konnten wegen falscher Anschrift.

Nicht nur du: http://www.pcwelt.de/forum/sicherheit/466114-risiko-mail.html
Zitat: karly

Habe ich gar nicht erst geöffnet, da auch nichts bestellt war.

Das ist das Beste was man mit unbekannten oder unerwarteten Mails machen kann.
Zitat: karly

Diese Mails werden offensichtlich im Namen vieler großer Firmen verschickt. Telekom-Rechnung bekomme ich immer mit Anrede und Rechnungsnummer.

Klaro, die haben viele Kunden wodurch die Chance einen zu treffen größer ist. ;)

Gruß kingjon
Antwort schreiben
deoroller
19.07.12

Zitat: karly
Telekom-Rechnung bekomme ich immer mit Anrede und Rechnungsnummer.

Das schützt auch nicht.

Laut Maplesoft sind die Unbekannten am vergangenen Dienstag in die Datenbank des Unternehmens eingestiegen, wobei sie auf Mailadressen, Namen und Firmennamen der Kunden zugreifen konnten. Noch am gleichen Tag begannen die Einbrecher damit, gefälschte Mails im Namen von Maplesoft an die Kunden zu versenden.

http://www.heise.de/newsticker/meldung/Perfider-Trojanerangriff-auf-Maplesoft-Kunden-1647223.html

Da wird keine Zeit verloren.
Antwort schreiben