Vorsicht! Trojaner in vielen Gewändern

[tawarning] Derzeit sind die Trojaner in verschiedenen Gewändern, meist getarnt als Rechnungen für irgendwelche Bestellungen, die man nicht getätigt hat.

„Vorsicht! Trojaner in vielen Gewändern“ weiterlesen

SPAM: Der Vorladung vor Gericht mit dem verbindlichen Erscheinen

Endlich mal was Neues. Heute erhielt ich eine gefälschte Mail unter dem obigen Titel. Abgeschickt von einem namenlosen Gerichtssektar, der meinen Namen nicht kennt, an eine Adresse, die ich nicht nutze, mit einem Link der auf einen Trojaner zeigt.

[tawarning align=“left“]Endlich mal was Neues. Heute erhielt ich eine gefälschte Mail unter dem obigen Titel. Abgeschickt von einem namenlosen Gerichtssektar, der meinen Namen nicht kennt, an eine Adresse, die ich nicht nutze, mit einem Link der auf einen Trojaner zeigt.

SPAM des Gerichtssekretar: Der Vorladung vor Gericht mit dem verbindlichen Erscheinen (HTML Ansicht)
SPAM des Gerichtssekretar: Der Vorladung vor Gericht mit dem verbindlichen Erscheinen (HTML Ansicht)

Dies ist schon ein lächerlicher Versuch mich hereinzulegen. „SPAM: Der Vorladung vor Gericht mit dem verbindlichen Erscheinen“ weiterlesen

SPAM: SEPA Umstellung

SEPA-Umstellung

[tawarning onall=“yes“] Derzeit erfreut sich die SEPA Umstellung erheblicher Beliebtheit bei den Kriminellen. Nach und nach werden alle Banken und Firmen abgeklappert, die mir nie eine Mail schicken, um die Trojaner an den Mann oder die Frau zu bringen. Heute war die Sparkasse dran. Die Mail ist nicht mal gut gemacht. Der Link im Text-Teil ist verweist nicht auf den Trojaner. Man beachte auch den „-“ statt des „.“ hinter „www“.

Text: wwwsparkasse.de/kundenservise/sepa.abteilung
HTML: http://arabeskfm.net/www.sparkasse.de/sepa-umstellung.htm

Kameraden: Im HTML-Message-Body hätte Ihr im Link wwwsparkasse.de ruhig in www.sparkasse.de umwandeln können.

Übrigens: Die Domain www-sparkasse.de gibt es wirklich, nur hat sie keine IP-Adresse und ist auf von der Finanz Informatik GmbH & Co. KG registriert.

Die SEPA-Umstellung geht von ganz alleine. Sie müssen nichts tun. Insbesondere nicht dubiosen Links in noch dubioseren Mails folgen.

SPAM: Luftfrachsendung AWB (79698779548732)

Luftfrachtsendung AWB.pdf
E-Mail mit einem Anhang AWB.pdf, der angeblich geprüft werden soll.

Es ist ein – zumindest mir – neue Form des Trojaners unterwegs. Diesmal ist die angehängte Datei AWB.pdf wirklich eine PDF Datei und kein in einem ZIP File mit doppelter Endung eingepacktes Programm. Beim Aufruf mit Adobe Acroread wird nur eine Seite anzeigt, die mitteilt, dass der Adobe Acrobat Reader aktualisiert werden muss. Unter Windows könnte es einen Link geben. Hier unter Linux wird kein Link angezeigt.

Kann nicht geoffnet Dokumentation. Aktualisieren Sie den Adobe Acrobat Reader.

„SPAM: Luftfrachsendung AWB (79698779548732)“ weiterlesen

Telekom Rechnung – Original und Fälschung

Original  Telekom Rechnungsmail
Original Telekom Rechnungsmail

Gestern kamen einige gefälschte Telekom Rechnungen für den Monat Oktober (Original siehe oben, Fälschung siehe unten) herein. Das Original gab es heute. Wie üblich ist die Rechnung bei der Fälschung keine PDF-Datei, sondern eine ZIP-Datei mit einem Trojaner; klar erkennbar an der doppelten Dateiendung „.pdf.exe“. Weitere Unterschiede zur Original-Rechnung:

  1. Keine Anrede mit Namen
  2. Fehlende/Falsche Buchungskontonummer im Betreff
  3. Falsche Absenderadresse

Besonders deutlich wird der Fake in der Text- statt HTML- Ansicht. In der Text-Ansicht ist die Original-Mail gut formatiert, die gefälschte Rechnungsmail jedoch kaum lesbar.

Tipp: Merken Sie sich Ihre Buchungskontonummer, es dürften die ersten oder letzten drei Stellen reichen, und die Betrüger haben weniger Chancen, auch wenn Sie mit Namen angeredet werden. Außerdem: Die Telekom verschickt keine ZIP-Dateien.

Gefälschte Telekom Rechnungsmail
Gefälschte Telekom Rechnungsmail

Trojaner: Ihre Vertragsbest tigung

[tawarning] Heute sind drei Vertragsbestätigungen ohne „ä“ im Postfach, die nicht als Spam erkannt wurden. Alle stammen von kontakt-noreply@kundenservice-energie.de. Da braucht man nicht nachdenken, um zu erkennen, was es ist. Der Anhang ist eine Zip-Datei Auftragsbestaetigung_600975.zip, die wiederum einen Trojaner Auftragsbestaetigung_659022.pdf.exe und enthält.

Das ist langweilig; lasst euch etwas Neues einfallen. Gute Nacht

Trojaner: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013

[tawarning align=“right“ onall=“yes2]Es wird wieder ein Trojaner über E-Mail verteilt. Diesmal tarnt er sich als 1&1 Telecom GmbH Rechnung mit einer angeblichen Rechnungsnummer im Subject und einer Kundennummer im Text. Einen Anrede gibt es nicht, so dass wahrscheinlich keine guten Adressdaten hinter der verwendeten Adresse stehen. Meinen Anschluss habe ich nur nicht bei 1&1.

Der Anhang zeigt das übliche Vorgehen: Eine angebliche Rechnung im PDF-Format, die in ein ZIP-Archiv verpackt ist. Bei Näherem Hinsehen entpuppt sich die Rechnung als ausführbare Windows-Datei.

Date: Mon, 15 Apr 2013 11:37:34 +0100
Subject: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013
Message-ID: <0EDDDP-5OU8ZGQHS7-00XCF1@mbulk.1and1.com>
From: Rechnungsstelle 1&1 Telecom GmbH <rechnungsstelleservice@1und1.de>
To: <thomas@example.com>

Ihre Kundennummer: 105038665

Sehr geehrter,

heute erhalten Sie Ihre Rechnung vom 05.04.2013 im PDF-Format.
Der Betrag wird in den 7 Tagen von Ihrem Konto abgebucht.

Wichtige Information zu Ihrem Einzelverbindungsnachweis (EVN)
Ihre Einzelverbindungsdaten finden Sie ab sofort unter Ihrer jeweiligen Rechnungsnummer
in Ihrer RechnungsFCbersicht http://login.1und1.de.

Bestimmt wundern Sie sich, weshalb die Einzelverbindungsdaten in Ihrer 1&1
Rechnung fehlen und wir Sie heute auf das Control-Center aufmerksam machen.
Damit Ihre Daten demn4chst noch sicherer sind, hat der BfDI – Bundesbeauftragter
FCr den Datenschutz und die Informationsfreiheit – die 1&1 Internet AG aufgefordert,
den unverschlCsselten E-Mail-Versand der Einzelverbindungsdaten direkt einzustellen.
1&1 ist der Schutz Ihrer persnlichen Daten besonders wichtig.
Ab jetzt stehen Ihnen daher alle Einzelverbindungsdaten ausschlie Flich online bereit.

Um das PDF-Dokument zu lesen und auszudrucken, bentigen Sie das Programm
‚Acrobat Reader‘ von Adobe. Einfach kostenlos unter http://www.adobe.de/products/acrobat/readstep2.html herunterladen.

Mit dem UTF-8 Format hat es der Schreiber der E-Mail nicht so. Dadurch klappt es auch nicht mit den Zeilenumbrüchen. Kann aber auch ein Problem von K-Mail sein.

Trojaner: Bilder von Elena

[tawarning align=“right“ onall=“yes“] Liebe Elena, dieser Versuch ist nun ziemlich dreist. Eine reine Text-Mail und darin ein Link auf ein angebliches Bild, das in Wahrheit ein ausführbaren Programm ist. Weniger Aufwand geht kaum noch.

Um die Unterstriche (_) zwischen jpg und exe zu übersehen muss man blind sein. Kleiner Tipp: Mit entsprechender Programmierung des Server ginge es auch ohne Unterstriche und .exe.

From: „Elena“ <new@guest.arnes.si>
To: <thomas@example.com>
Subject: Hallo
Date: Thu, 11 Apr 2013 14:13:01 +0200
Hallo, mein lang erwarteter Freund! Wie geht es?
Sie sind wahrscheinlich erschuttert und fragen sich wo ich Ihre
E-Mail-Adresse bekommen habe? OK, ich mache eine Erklarung. Ihre
E-Mail-Adresse habe ich durch eine Ehevermittlung gekriegt. Ich habe mich an
Heiratsvermittlung gewendet um einen Mann durch Weltnetz kennenzulernen. Ich
mache mit einem Mann zum ersten Mal durch Internet Bekanntschaft, deswegen
habe ich mich an Heiratsvermittlung gewendet. Ich bin interessiert an
ernsten Liebesbeziehungen, ich will es einfach nicht, meine Zeit auf Spiele
zu vergeuden. Ich hoffe, dass Sie auch ernste Liebesbeziehungen bevorzugen
und dass ich Ihre E-Mail-Adresse richtig aufgeschrieben habe, sodass meine
Nachricht Sie erreicht.
Ein wenig uber mich:
Von dem Namen bin ich Elena. Ich wurde am 25. August 1983 geboren. Ich bin
168 cm hoch, mein Gewicht ist ca. 54 kg.
Wahrscheinlich wirst du dich uberraschen, wenn du erfahrst, dass ich nicht
in deinem Land wohne. Ich komme aus Russland. Ich habe eine Hoffnung, du
hast keine Angst davor. Ich bin ja dieselbe Lady, wessen Herz und Seele in
unterschiedlichen Landern sich befinden.

Du kannst mein das Foto sehen, ich schicke dir die Verbannung auf mein das
Foto: http://184.82.222.116/photo.jpg_______.exe

Ich werde uber deiner auf die Antwort auf meinen mail warten:
sindelnatalia@epktmail.com

Dies ist mein erster Probebrief an dich. Ich schicke dir mein Foto, damit du
mich dir besser vorstellen kannst. Ich hoffe, dass mein Bild schon ist, und
dass du keine Angst davor haben wirst, dass ich aus dem anderen Land komme.
Ich warte ungeduldig auf deinen Brief.
Mit allerbesten Wunschen, Elena.

(Hervorhebung in Fett, Rot von mir.)