PC & Internet Trojaner-Alarm: Vorsicht vor gefälschten Rundfunkbeitrag-Mails

Du musst Regestriert sein, um das angehängte Bild zusehen.

Derzeit sind ziemlich gut gemachte Fake-Mails im Namen von ARD, Deutschlandradio und ZDF in Umlauf, die mit einer Zwangsvollstreckung drohen.

Du musst angemeldet sein, um Bilder zu sehen.

Wer dieser Tage eine E-Mail mit dem Betreff "Ankündigung der Zwangsvollstreckung – Beitragsservice" erhält, sollte sich dadurch nicht verunsichern lassen: Dabei handelt es sich um eine gefälschte Nachricht, die darüber hinaus noch gefährlich ist. Wer den Dateianhang öffnet, fängt sich einen Trojaner ein. Alles deutet darauf hin, dass es sich dabei um einen WIndows-Schädling handelt. Heise Security liegt so eine Mail vor.

Die unbekannten Absender drohen mit einer Zwangsvollstreckung, weil die Empfänger der Nachricht angeblich ihre Rundfunkbeiträge nicht gezahlt haben. Nun soll man den Betrag zügig zahlen, um weitere Konsequenzen zu verhindern. Dabei handelt es sich um leere Drohungen und die Nachricht ist nur eine Spam-Mail von Millionen.

Aufgrund offizieller Logos und einem überzeugend formulierten Text wirkt die Mail auf den ersten Blick legitim. Ein paar Formatierungsfehler am Ende der Nachricht lassen jedoch das erste Mal aufhorchen. Zwar erscheint auch die Absenderadresse "mahnung@rundfunkbeitrag-deutschland.com" glaubwürdig, die Domain existiert aber gar nicht.

Du musst angemeldet sein, um Bilder zu sehen.

Glücklicherweise sind Makros in Microsoft Office standardmäßig deaktiviert: Betrüger müssen sich also immer wieder etwas einfallen lassen, damit Opfer diese aktivieren. Klappt das, ist ein Computer in der Regel nach wenigen Sekunden infiziert.

Gefährliche Word-Datei
Im Anhang der Mail findet sich ein Antwortbogen im Word-Format. Diese Datei sollte man unter keinen Umständen öffnen. Zwar ist das Öffnen an sich noch nicht gefährlich, wer im Anschluss aber die Makros in dem Dokument aktiviert, holt sich einen Trojaner auf den Computer.

Damit Opfer das machen, behaupten die Betrüger in dem Dokument in Form einer bebilderten Anleitung, dass man den Text nur lesen kann, wenn man die Schaltflächen "Bearbeitung aktivieren" und "Inhalt aktivieren" anklickt. Machen Sie das auf gar keinen Fall!

Einem kurzen Versuch zufolge funktionieren die Makros aber nur mit Microsoft Word. Als wir das Dokument in Libre Office geöffnet haben, ist nichts passiert. Was der Trojaner im Detail anstellt, ist derzeit nicht bekannt. Auf der Analyseplattform Virustotal schlagen derzeit 34 der 59 Online-Scanner Alarm.

Quelle; heise

 

[rooperde]

GEZ Mail - Ankündigung der Zwangsvollstreckung – Beitragsservice enthält Virus

Aktuell sorgt eine E-Mail für Verunsicherung, welche im Namen des ARD ZDF Deutschlandradio Beitragsservice, ehemals GEZ, eine Zwangsvollstreckung ankündigt. Im Anhang befindet sich eine .doc-Datei, die Sie nicht öffnen sollten, weil diese einen Virus enthält.

Du musst angemeldet sein, um Bilder zu sehen.

Die Zahlung der Rundfunkbeiträge an die ehemalige Gebühreneinzugszentrale (GEZ), heute ARD ZDF Deutschlandradio Beitragsservice, ist für viele Verbraucher ohnehin mehr als unbeliebt. Jetzt setzen Betrüger noch einen oben drauf und verunsichern die Nutzer zusätzlich. In einer E-Mail wird über eine vermeintliche Ankündigung der Zwangsvollstreckung informiert. Angeblich hat der Empfänger rückständige Beiträge in Höhe von 161,00 Euro und soll nun insgesamt 213,50 Euro zahlen. Wir erklären, woran Sie die gefälschte E-Mail erkennen, und wie die aktuellen Fakten sind.

In der Vergangenheit haben wir schon vor schädlichen E-Mails im Namen der GEZ gewarnt. Wir erinnern an die Zahlungsaufforderung vom Beitragsservice / GEZ und E-Mail zur SEPA-Umstellung, die beide einen Virus enthielten.

Bei den versendeten E-Mails im Namen des Beitragsservice handelt es sich um gefälschte Nachrichten. Die öffentlich-rechtliche Einrichtung ist geschädigt, da der Name missbraucht wird. In den letzten Wochen wurde die gefälschte Mail weiterentwickelt, sodass diese nun noch gefährlicher ist.

So sieht die E-Mail im Namen des ARD ZDF Deutschlandradio Beitragsservice aus

Die E-Mail wurde sehr professionell gefälscht, sodass diese für das ungeschulte Auge kaum als Fälschung erkennbar ist. Als Absender ist „Beitragsservice – ARD ZDF Deutschlandradio“ mit der E-Mail-Adresse mahnung@rundfunkbeitrag-deutschland.com angegeben. Teilweise sind auch E-Mails mit beliebigen E-Mail-Adressen als Absender im Umlauf. Im Betreff der Nachricht heißt es „Ankündigung der Zwangsvollstreckung – Beitragsservice“ . Der Text der E-Mail enthält das Logo des ARD ZDF Deutschlandradio Beitragsservice und folgenden Inhalt:

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

Im Anhang der E-Mail befindet sich eine Datei mit dem Namen „Mahnbescheid – Antwortbogen – Aktenzeichen 4650969334.doc“ mit einer Größe von ca. 121,1 Kilobyte. In dieser Office-Datei befindet sich ein gefährlicher Trojaner. Sie sollen diese Datei öffnen, um Einzelheiten über die Forderung und die Zwangsvollstreckung zu erfahren. Tun Sie das nicht!

Die Qualität des Anschreibens ist als sehr gut einzustufen. Allerdings enthält die E-Mail keine persönliche Anrede, was ein erstes Zeichen für eine Fälschung ist. Zudem würde die ehemalige GEZ wohl kaum eine Office-Datei mit Informationen versenden. Im Gegenteil: Der ARD ZDF Deutschlandradio Beitragsservice würde derart wichtige Informationen eher per Post und mit der korrekten Anrede des Zahlungspflichtigen versenden. Schließlich kann dem Anschreiben gar nicht entnommen werden, an welche Person es sich richtet.

Öffnen Sie den Anhang in der E-Mail auf keinem Fall.

Bitte öffnen Sie weder den Anhang noch die über eventuelle Links in zukünftigen Versionen der Spam-Mail heruntergeladene Dateien. Der enthaltene Virus wird von vielen Virenscannern noch nicht erkannt. Der Trojaner kann im Hintergrund weitere Schadsoftware aus dem Internet herunterladen und auf Ihrem Computer installieren.

Gibt es offene Forderungen der GEZ?

Das erfahren Sie, indem Sie den ARD ZDF Deutschlandradio Beitragsservice unter der offiziellen Telefonnummer 01806/99955510 (20 Cent/Anruf) anrufen. Aufgrund der E-Mail besteht jedenfalls kein Handlungsbedarf, da es sich um Spam handelt.

Makro-Virus lädt Malware herunter

Wir haben uns die im Anhang befindliche oder heruntergeladene Word-Datei näher angesehen. Diese angebliche Mahnbescheid enthält einen sogenannten Makrovirus, der eine Schwachstelle in Microsoft Word ausnutzt. Sobald Sie die Datei öffnen, stellt das Makro eine Verbindung zu einem Server her und lädt die eigentliche Schadsoftware herunter. Diese wird ohne das Zutun des Nutzers sofort ausgeführt und installiert. Es handelt sich um einen Virus, der schon länger im Umlauf ist. Dennoch wird dieser noch nicht von allen Virenscannern erkannt. Deshalb ist besondere Vorsicht geboten. Öffnen Sie die Word-Datei auf keinem Fall.

Da es unkalkulierbar ist, welche Software durch das Marko heruntergeladen wird, sind nach der Ausführung der Datei besondere Vorsichtsmaßnahmen nötig. Denkbar ist, dass auf diesem Weg sogenannte Ransomware auf Ihren Computer gelangt. Damit wird Ihre Festplatte unbrauchbar gemacht. Anschließend fordern die Kriminellen ein Lösegeld.

Mit hoher Wahrscheinlichkeit könnte über diese Word-Datei auch der Emotet-Trojaner auf Ihren Computer gelangen. Dieser ist besonders gefährlich, da die Schadsoftware sowohl Ihre Kontakte auslesen als auch Ihre E-Mails mitlesen kann. Anschließend verbreitet sich die Malware selbst, indem Ihre Kontakte mit teils tatsächlich von Ihnen verwendeten Betreffzeilen angeschrieben werden.

Welche Betriebssysteme sind betroffen

Auch hier kann sich die Situation schnell ändern. Nach bisherigen Erkenntnissen sind von dieser Malware nur Computer mit dem Betriebssystem Windows betroffen. Allerdings verändern sich Viren sehr schnell und können unter Umständen auch andere Betriebssysteme angreifen.

Datei geöffnet und nun?

Solange Sie die E-Mail nicht geöffnet und den Text nicht angeklickt haben, ist noch nichts passiert. Löschen Sie die E-Mail in diesem Fall einfach. Falls Sie den Text angeklickt und die Datei in Microsoft Office geöffnet haben, empfehlen wir aufgrund der unkalkulierbaren Folgen diese Vorsichtsmaßnahmen zu ergreifen:

Trennen Sie den Computer vom lokalen Netzwerk und vom Internet.
Schalten Sie den Computer aus und lassen Sie den Virus von einem Spezialisten entfernen.
Ändern Sie auf einem anderen PC alle Passwörter, die Sie auf dem Computer genutzt haben.
Diese Punkte sollten Sie vor allem dann befolgen, wenn Ihr Virenscanner beim Anklicken der Datei keinen Virenalarm ausgelöst hat.
Erstatten Sie auch Anzeige bei der Polizei.

Im schlimmsten Fall wird Ihre Festplatte mit einer sogenannten Ransomware verschlüsselt. Anschließend werden Sie mit einer Lösegeldzahlung erpresst. Um dieses Risiko auszuschließen, sind diese radikalen Sicherheitsmaßnahmen aus unserer Sicht angebracht. Diese Punkte sollten Sie vor allem dann befolgen, wenn Ihr Virenscanner beim Anklicken der Datei keinen Virenalarm ausgelöst hat.

Was sollten Sie mit der E-Mail tun?

Sie können die E-Mail vom Beitragsservice von ARD ZDF Deutschlandradio löschen und sollten das auch tun. Damit schließen Sie aus, dass Sie die Datei versehentlich öffnen und sich auf diese Weise einen gefährlichen Trojaner auf den Computer holen.

Löschen Sie diese E-Mail!

Haben Sie diese E-Mail auch bekommen?

Kriminelle ändern ihre gefälschten E-Mails häufig, vor allem dann, wenn die Nutzer gewarnt sind. Bitte leiten Sie uns die E-Mail an kontakt@onlinewarnungen.de weiter, wenn Sie einen anderen Text, andere Absender oder andere Betreffzeilen bekommen haben.

Quelle: Onlinewarnungen​

 

[Derek Buegel]

Eine offizielle Mahnung, ohne persön liche Anrede (Namen und Adresse), kann ich mir nicht vorstellen und gibt es auch nicht.

MfG

 

[Salhoyo]

Danke für die Info!