Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck

Nach gefälschten Bahn-Buchungsbestätigungen sind nun auch nachgeahmte Telekom-Rechnungen im Umlauf, die man kaum vom Original unterscheiden kann. Der Dateianhang enthält einen Virus. Der Betreff lautet perfiderweise "RechungOnline Monat April 2013" – genau so eine Mail versendet die Telekom derzeit im Original an ihre Kunden. Auch inhaltlich ist die HTML-Mail kaum von ihrem Vorbild zu unterscheiden. Die Grafiken werden direkt vom Server der Telekom nachgeladen.

Bislang konnte man Viren- und Phishing-Mail in der Vergangenheit meist schon aufgrund der schlechten Grammatik auf den ersten Blick als Fälschung identifizieren. Derzeit sind jedoch verstärkt Malware-Mails im Umlauf, für die offenbar echte Mails bekannter deutscher Unternehmen Modell gestanden haben.

Du musst angemeldet sein, um Bilder zu sehen.

Bis auf die fehlende persönliche Anrede gleicht die virulente Telekom-Rechnung dem Original.
Du musst angemeldet sein, um Bilder zu sehen.

Der wichtigste Anhaltspunkt dafür, dass es sich um eine Fälschung handelt, ist die fehlende persönliche Anrede. Der Absender lautet bei dem uns vorliegenden Exemplar angeblich "rechnungonline.@telekom.de", es befindet sich also ein Punkt vor dem @-Zeichen, der dort nicht hin gehört. Spätestens aber bei dem Anhang sollte man misstrauisch werden: Es handelt sich um ein Zip-Archiv mit dem Namen Telekom-2013_04-Rechnung.zip, teilweise enthält der Dateiname noch eine gefälschte Auftragsnummer.

Der Dateiname des darin enthaltenen Link ist nicht mehr aktiv. hat zwei Erweiterungen, nämlich pdf.exe, was höchst verdächtig ist. Da Windows allerdings standardmäßig bekannte Dateinamen-Erweiterungen ausblendet, dürfte das vielen Windows-Nutzern nicht auffallen. Laut einer Analyse in der Anubis-Sandbox erstellt der Schädling eine Datei "C:\Documents and Settings\All Users\svchost.exe", die er mit der Bezeichung "SunJavaUpdateSched" als vermeintlichen Java-Updater in den Systemstart einhängt.

Man kann sich übrigens keinesfalls darauf verlassen, dass man Virenmails an den oben genannten Indikatoren erkennt. Der zusätzliche Punkt in der Absenderadresse etwa lässt sich spielend einfach korrigieren. Eine persönliche Anrede könnte die Cyber-Kriminellen mit gestohlenen Kundendaten umsetzen. Und der Anhang muss auch nicht zwangsläufig auf .exe enden – auf vielen Rechnern ist eine veraltete und somit verwundbare Version des PDF-Anzeigeprogramms Adobe Reader installiert. Diese Systemen könnten die Ganoven auch mit einem präparierten .pdf-Dokument knacken.

Darüber hinaus kursiert derzeit unter anderem recht gemachte Phishing-Mails, die angeblich von der Sparkasse stammen. Die Betreffzeilen lauten etwa "Konto Re-Aktivierung nötig!!" oder "Update Online Banking", als Absender ist zum Beispiel "info@sparkasse.de" oder die Sparkasse Erlangen angegeben.

Quelle: heise
 
Zurück
Oben