SPAM: Ihre Bestellung bei o2

Gefälschte O2 Bestellbestätigung
Gefälschte O2 Bestellbestätigung

Gerade kam die obigen Mail einer angeblichen Bestellung bei O2 ins Postfach herein. Während drei Mails als SPAM markiert wurde, kam eine Mail durch, sonst wäre sie mir wahrscheinlich nicht aufgefallen.

Was die Mail bezwecken soll, ist mir schleierhaft, denn die Links der Form ../dereferrer?redirectUrl=http%3A%2F%2Fwww.o2online.de%2Femail%2Fmail-confirm2 können nicht funktionieren. Die Ahhänge, auf die mehrfach verweisen wird, fehlen. Der Text Teil der Mail ist denkbar schlecht formatiert. Da erkennt ein Blinder, dass es keine professionelle Mail von O2 ist. Auch fehlen die Anhänge, auf die hingewiesen wird und die wahrscheinlich den Trojaner enthalten sollten.

Hier war jemand wohl etwas schusselig und hat voreilig sein Bot-Netz aktiviert. Bin gespannt, wann die korrigierte Version erscheint.

Telekom Rechnung – Original und Fälschung

Original  Telekom Rechnungsmail
Original Telekom Rechnungsmail

Gestern kamen einige gefälschte Telekom Rechnungen für den Monat Oktober (Original siehe oben, Fälschung siehe unten) herein. Das Original gab es heute. Wie üblich ist die Rechnung bei der Fälschung keine PDF-Datei, sondern eine ZIP-Datei mit einem Trojaner; klar erkennbar an der doppelten Dateiendung „.pdf.exe“. Weitere Unterschiede zur Original-Rechnung:

  1. Keine Anrede mit Namen
  2. Fehlende/Falsche Buchungskontonummer im Betreff
  3. Falsche Absenderadresse

Besonders deutlich wird der Fake in der Text- statt HTML- Ansicht. In der Text-Ansicht ist die Original-Mail gut formatiert, die gefälschte Rechnungsmail jedoch kaum lesbar.

Tipp: Merken Sie sich Ihre Buchungskontonummer, es dürften die ersten oder letzten drei Stellen reichen, und die Betrüger haben weniger Chancen, auch wenn Sie mit Namen angeredet werden. Außerdem: Die Telekom verschickt keine ZIP-Dateien.

Gefälschte Telekom Rechnungsmail
Gefälschte Telekom Rechnungsmail

Trojaner: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013

Es wird wieder ein Trojaner über E-Mail verteilt. Diesmal tarnt er sich als 1&1 Telecom GmbH Rechnung mit einer angeblichen Rechnungsnummer im Subject und einer Kundennummer im Text. Einen Anrede gibt es nicht, so dass wahrscheinlich keine guten Adressdaten hinter der verwendeten Adresse stehen. Meinen Anschluss habe ich nur nicht bei 1&1.

Der Anhang zeigt das übliche Vorgehen: Eine angebliche Rechnung im PDF-Format, die in ein ZIP-Archiv verpackt ist. Bei Näherem Hinsehen entpuppt sich die Rechnung als ausführbare Windows-Datei.

Date: Mon, 15 Apr 2013 11:37:34 +0100
Subject: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013
Message-ID: <0EDDDP-5OU8ZGQHS7-00XCF1@mbulk.1and1.com>
From: Rechnungsstelle 1&1 Telecom GmbH <rechnungsstelleservice@1und1.de>
To: <thomas@example.com>

Ihre Kundennummer: 105038665

Sehr geehrter,

heute erhalten Sie Ihre Rechnung vom 05.04.2013 im PDF-Format.
Der Betrag wird in den 7 Tagen von Ihrem Konto abgebucht.

Wichtige Information zu Ihrem Einzelverbindungsnachweis (EVN)
Ihre Einzelverbindungsdaten finden Sie ab sofort unter Ihrer jeweiligen Rechnungsnummer
in Ihrer RechnungsFCbersicht http://login.1und1.de.

Bestimmt wundern Sie sich, weshalb die Einzelverbindungsdaten in Ihrer 1&1
Rechnung fehlen und wir Sie heute auf das Control-Center aufmerksam machen.
Damit Ihre Daten demn4chst noch sicherer sind, hat der BfDI – Bundesbeauftragter
FCr den Datenschutz und die Informationsfreiheit – die 1&1 Internet AG aufgefordert,
den unverschlCsselten E-Mail-Versand der Einzelverbindungsdaten direkt einzustellen.
1&1 ist der Schutz Ihrer persnlichen Daten besonders wichtig.
Ab jetzt stehen Ihnen daher alle Einzelverbindungsdaten ausschlie Flich online bereit.

Um das PDF-Dokument zu lesen und auszudrucken, bentigen Sie das Programm
‚Acrobat Reader‘ von Adobe. Einfach kostenlos unter http://www.adobe.de/products/acrobat/readstep2.html herunterladen.

Mit dem UTF-8 Format hat es der Schreiber der E-Mail nicht so. Dadurch klappt es auch nicht mit den Zeilenumbrüchen. Kann aber auch ein Problem von K-Mail sein.

SPAM: Vodafone Online Rechnung 57487 341247

Gerade flatterte eine Vodafone Online Rechnung in mein Postfach. Komisch. Ich bin nicht bei Vodafone. Der Inhalt war wie erwartet. Eine angebliche Rechnung in einem ZIP-Archive, die sich dürftig als PDF zu tarnen versucht.

Die Mail hat einen Text und einen HTML-Teil. der Text teil ist extrem schlecht formatiert.

Ihre aktuelle Online-Rechnung

==========================================================

Dies ist eine automatisch generierte E-Mail. Bitte senden

Sie keine Antworten an diese Absender-Adresse.

==========================================================

Ihre aktuelle Online-Rechnung steht für Sie bereit.

Die Gesamtsumme für den aktuellen Abrechnungszeitraum beträgt: 91,88 Euro.

Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

Hinweise zu Ihrer Rechnung:

=> Sie können Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.

Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.

=> Der Rechnungsbetrag wird frühestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.

=> Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter
http://www.vodafone.de/kunden/rechnungserklaerung

Online-Kundenservice – Tipp des Monats!

Sie ziehen um? Wir ziehen mit!

Beauftragen Sie Ihren Umzug schnell und bequem online: http://www.vodafone.de/kunden

Sie erreichen Ihren kostenlosen Online-Kundenservice rund um die Uhr!

Exklusiv für Sie!

Mit dem Kundenmagazin „news“ sind Sie immer top-informiert!

Klicken Sie rein!

http://www.vodafone.de/kunden/news

Mit freundlichen Grüßen,

Ihr Vodafone Team

Vodafone D2 GmbH

Adresse: Am Seestern 1, 40547 Düsseldorf

Sitz: Düsseldorf

Eintragung im Handelsregister: Amtsgericht Düsseldorf, HRB Nr. 24644

Zentrale: Am Seestern 1, 40547 Düsseldorf

Vorstand: Friedrich Joussen (Vorsitzender),

Jan Geldmacher, Hartmut Kremling, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna, Achim Weusthoff

Vorsitzender des Aufsichtsrats: Michel Combes

http://www.vodafone.de/kunden

Die Links zeigen tatsächlich alle auf Vodafone. Der Schreiber versucht nicht, seinen Trojaner auf mehreren Wegen an den Mann oder die Frau zu bringen. Leider hat er vergessen, die Style-Definitionen einzubinden. So ist die Formatierung eher spartanisch. Aber besser als der Text-Teil. Die Namen der Geschäftsführung stimmen nur teilweise mit den im Impressum von Vodafone überein.
„SPAM: Vodafone Online Rechnung 57487 341247“ weiterlesen