VORSICHT: Trojaner in E-Mails von persönlich bekannten Absendern

„Von: Dein Name
Gesendet: Donnerstag, 8. November 2018 06:48
An: [email protected]
Betreff: Auftragsbestätigung und Rechnung vom 08/11/2018
Hallo,
anbei erhalten Sie Ihre Monatsrechnung (JSA459220-23) fur den Monat.
Lieben Dank
Dein Name
Telefon: 0800 300 90 67 (kostenfrei)
e-Mail:[email protected]“
So die Original E-Mail – Namen und MailAdressen anonymisiert. Weitere Textbausteine unten am Artikel.

Eben erreichte mich obige E-Mail. Sowohl Name, als auch die Mailadresse sind plausibel und passen zur angeschriebenen Mail-Adresse! Einzig der Absender liefert einen Hinweis, dass es nicht echt ist!

Im Anhang befindet sich einen Word Datei, welche einen Klick auf „Bearbeitung aktivieren“ verlangt, angeblich weil das Dokument mit Office 365 Online erzeugtworden sein. Das ist nicht so! Beim Klick auf „Bearbeitung aktivieren“ startet ein Makro im hintergrund, welches den Trojaner herunter lädt!
Wichtig: Mail Ignorieren und Löschen! Datei nicht öffnen und nichts anklicken! Absender informieren!

[Update 14.11.2018: ] Bisher haben etliche meiner Kunden dies Emails inverschiedenen Varianten erhalten. Die Emails kommen von Fremdservern. Ursachen und Lecks in den Kundensystemen kann ich eigentlich ausschließen. Ich vermute, dass einfach auf Messen Visitenkarten abgegrast wurden, oder durch Newsletter oder ähnliches jemand an diese plausiblen Absenderdaten gekommen ist. Es sind ja auch immer nur einzelne Benutzer pro Firma betroffen.

Weitere Texte und Nummern:

„im Anhang finden Sie Ihre aktuelle Rechnung mit der Nummer für Ihre Einheit.“ – OV094820930-360

„in der vorbezeichneten Angelegenheit übersenden wir Ihnen in der Anlage die Gerichtskostenrechnung für die Fortsetzung des gerichtlichen Verfahrens.
Da die Gerichtskosten aus steuerlichen Gründen nicht mehr durch unsere Kanzlei angewiesen bzw. verauslagt werden können, bitten wir um direkte Anweisung des Betrages an die Gerichtskasse.
Bitte geben Sie bei der Überweisung zwingend den Verwendungszweck an, um Verzögerungen bei Gericht zu vermeiden (vgl. beiliegenden Überweisungsträger).
Wir weisen darauf hin, dass eine Fortsetzung des Verfahrens durch das Gericht erst nach Eingang der Gerichtskosten erfolgt.“ IFA76870263-84

„bis Ende der Woche dürfte die Sache abgeschlossen sein.Nochmals sorry für die Verspätung, aber wenn die Mails in meiner Abwesenheiteintreffen, werden diese nicht automatisch weitergeleitet. Die Rechnung kann überden Link heruntergeladen werden.“ OU50422633-61

„Rechnungsprozessänderung„
Guten Abend,
Wir freuen uns weiterhin auf eine gute Zusammenarbeit.
RE0031-74.doc

Rechnung Nummer 52632599 vom 26.10.2018 VR-Pay Virtuell GbR

„Von: VR-Pay Virtuell GbR Service Mail [email protected]
Gesendet: Freitag, 26. Oktober 2018 13:45
An: Mein Name [email protected]
Betreff: Rechnung Nummer 52632599 vom 26.10.2018
Sehr geehrte/r mein Name,
leider konnte Ihre Überweisung an VR-Pay Virtuell GbR nicht verbucht werden.
Personalien:
Meine Adresse
Tel. meine Handynummer
Damit fordern wir Sie auf, den offenen Betrag sofort bis zum 30.10.2018 zu decken. Können wird bis zum genannten Datum keine Überweisung einsehen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.
Um weitete Mahnkosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Aufgrund des bestehenden Zahlungsausstands sind Sie gezwungen, die entstandene Gebühren von 26,89 Euro zu tragen.
Berücksichtigt wurden alle Zahlungen bis zum 25.10.2018.
Ihre persönliche Rechnung liegt dieser E-Mail bei.
Bitte beachten Sie, dass Ihre Rechnung nur dann beglichen ist, wenn Ihre Zahlung auf unser Konto überwiesen wird.
Mit freundlichen Grüßen
VR-Pay Virtuell GbR
64546 Mörfelden-Walldorf
USt-Id Nr.: DE 544017616
Sitz der Gesellschaft: Mörfelden-Walldorf“

Hier mal wieder eine plumper Versuch mir irgendeine Software unterzujubeln. Anschrift und Mailadresse stimmeen zwar, aber mit VR Pay habe ich nicts zu tun. Im Anhang fidnet sich eine ZIP-Datei, die eine ZIP-Datei enthält, welche eine direkt ausführbare .com Datei mit der Schadsoftware enthält.
Wie immer gilt auch hier: Ignorieren und Löschen! Lasst euch nciht verarschen 🙂

Packstation App Manager Trojaner

„Von: DHL Paket [email protected]
Gesendet: Mittwoch, 3. Oktober 2018 22:05
An: [email protected]
Betreff: Ihre Packstation-Sendung liegt nur noch 2 Tage bereit
Guten Tag
Aufgrund des erfolglosen Zustellversuchs wurde das Paket unter der Nummer 00340434334058107863 zur Aufbewahrung an die Packstation 110 in Köln ausgeliefert.
Wenn Sie das Paket innerhalb von zwei Arbeitstagen nicht wegnehmen, wird es an den Absender zurückgeschickt.
WICHTIG: Um den Status des Pakets zu überwachen, die Adresse seiner Zustellung zu ändern oder seine Liegezeit auf der Packstation zu erweitern, müssen Sie eine persönliche TAN-Nummer in unserem System haben.
Um diese Nummer zu erhalten, müssen Sie unsere neueste Anwendung „Packstation App Manager“ installieren und sich dort registrieren. Sie können diese Anwendung direkt auf Ihre Handy herunterladen, indem Sie auf den folgenden Link klicken:
Beste Grüße Ihr DHL Team
Jetzt downloaden >
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn
Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787 Geschäftsführung:
Norman Chmiel
Dr. Achim Dünnwald
Martin Linde
Christian Metzner
Dr. Christian Schawel
Vorsitzender des
Aufsichtsrates: Uwe Brinks Website
Kontakt
Impressum
Datenschutz
© 2018 DHL“

Heute erhielt ich diese E-Mail. Der Download läd eine .APK Datei „DHL_Packstation_App_Manager1_nlhdavvhlq2d20qv3hgl1g81hub8h0y9o09q8jda_protected_180155.apk“ herunter. Diese Datei enthält die Schadsoftware.
Man kann leicht am Absender erkenen, dass dieser nichts mit DHL oder der Packstation zu tun hat.
Wie immer gilt: Ignorieren und Löschen!

Vorsicht! Neue Betrugsmasche mit Bezug zur DSGVO

Heute erhielt ein Kunde dieses Fax. Es vermittelt den Eindruck als wäre unbedingtes Handeln bis zum 9. Oktober notwendig. Es sieht offiziell aus. Es ist aber eine neue Betrugsmasche, die ähnlich den „Gewerbeverzeichniseinträgen“ funktioniert. Im Kleingedruckten steht dann dass man Formulare (die es auch kostenlos im Internet zum Download gibt) als Abo für knapp 500 € Netto im Jahr kauft – für 3 Jahre im Voraus. Das ist natürlich Blödsinn.
Wie immer gilt auch hier: Ignorieren und wegwerfen!

Falls Sie Fragen zur DSGVO und deren Umsetzung haben wenden Sie sich gerne an mich: www.g-ds.de und www.kanzlei-gaengler.de 😉

Amazon Phishing: Ungewohnliche Aktivitaten

„Von: Kundenservice Amazon [email protected]
Gesendet: Donnerstag, 13. September 2018 01:22
An: [email protected]
Betreff: Ungewohnliche Aktivitaten
Guten Tag,
es wurde versucht, auf Ihr Konto zugreifen. Unser Sicherheitsdienst hat einen nicht befugten Login auf Ihr Konto festgestellt. Im folgenden Schritt finden Sie alle weiteren Details:
Hinweis:
Verdachtige Anmeldung
Datum:
Mittwoch, 12. September 2018
Uhrzeit:
09:15 (GMT +3)
Standort:
Casablanca, Marokko
IP-Adresse:
81.192.18.3
Browser:
Opera 54.0
Betriebssystem:
Windows 10.1
Wenn es sich bei diesem versuchten Login um Sie handelt, mussen Sie nichts weiter tun. Solite es sich bei diesem versuchten Login jedoch nicht um Sie gehandelt haben, dann ist es umgehend notig, Ihre daten zu uberprufen und Ihr Nutzerkonto wiederherzustellen. Um mit der Verizierung zu beginen, klicken Sie bitte auf den nach folgenden Link:
Kontozugriff wiederherstellen
Mit freundlichen Gruesseen,
Amazon Sicherheitscenter“

In den letzten Tagen erhielt ich mal wieder eine Amazon-Phishing E-Mail. Ich habe so Ähnliches schon öfter gepostet, aber ich höre immer wieder von Fällen, bei welchen Anwender auf so etwas reingefallen sind, auch in meinem Umfeld. Deshalb hier nochmals ein paar hinweise, woran man eine solche gefälschte E-Mail einfach erkennt:

Die Absender Mailadresse ([email protected]) ist indeutig als nicht von Amazon zu erkennen
Die eigene Mailadresse – gibt es überhaupt eine Amazon-Konto mit dieser Mailadresse?
Das fehlen der deutschen Umlaute (ü, ä, ö)
Die Adresse des Links hinter dem Butto „Kontozugriff wiederherstellen“: hps://meinsicherheitscenter.com/019827651 diese führt dann zu hps://sicherheitscenteramzn.com/Deutschland/schutz/abgleichen/data/
Wie immer gilt auch hier: Ignorieren und Löschen!

Vorsicht: Volksbank Phishing Mail „Sicherheits-Sperre“

"Von: Volks & Raiffeisenbanken <[email protected]>
Gesendet: Mittwoch, 1. August 2018 22:53
An: [email protected]
Betreff: Sicherheits-Sperre
Sehr geehrte Kundin, sehr geehrter Kunde, Datum: 01.08.2018
auf Grund neuer Sicherheitsbestimmungen, gemäß der DSGVO, können vereinzelt sicherheitsrelevante Probleme in Verbindung mit Volksbank-Kundendaten auftreten.
Daher bitten wir Sie, ihr Kundenportal auf den neusten Stand zu aktualisieren und sich kurz unserer Sicherheitsüberprüfung zu unterziehen.
Zur Sicherheitsüberprüfung gelangen Sie schnell und einfach über den unten folgenden Button.
Wenn Sie dieser Aufforderung nicht nachkommen, sind wir gezwungen nach einer Frist von 48 Stunden vorsorglich Ihren Zugang zu schließen.
Eine Entsperrung erfolgt mit einem Service-Mitarbeiter gegen eine Gebühr von 24,99 € und wird innerhalb von 3 Werktagen bearbeitet.
Sicherheitsprüfung"

Heute erhielt ich, ich glaube zum ersten Mal, eine Phishing Mail, welche direkt auf Volksbank / Raiffeisenbank Kunden abzielt. Der Link führt zu einer Eingabeseite, die aber der echten Seite nicht ähnlich sieht. Der Absender der E-Mail ist leicht als „Nicht Volksbank“ zu erkennen.
Wie immer gilt: Ignorieren und Löschen!

Telekom Login Phishing „Überprüfen Sie Ihr Postfach“

"Von: [email protected] <88d63[email protected]> Im Auftrag von © Telekom Deutschland GmbH
Gesendet: Montag, 11. Juni 2018 07:26
An: [email protected]
Betreff: Überprüfen Sie Ihr Postfach
Hallo 
Hiermit möchten wir Sie darüber informieren, dass Ihr Postfach am vorübergehend gesperrt wurde. Da wir Ihr Postfach während des letzten E-Mail-Updates nicht bestätigen konnten, besuchen Sie.
Überprüfen Sie Ihr Postfach
Freundliche Grüße
Telekom Hilfe
frankto 45, 75000, fr, Germany 
Vous pouvez vous désabonner ou modifier vos coordonnées à tout moment."

Gefälschte Telekom-Login Seite

Heute erhielt ich zum ersten Mal einen Phishing Versuch auf einen Telekom-Login. Besonders auffällig ist das Französisch im Footer. der Link führt zu
h**p://mintandpint.com/t-online/login.php. Abgesehen davon sieht man auch an der Absender-Adresse, dass die E-Mail ntürlich ein Fake ist.
Wie immer gilt: Nicht öffnen, ignorieren und Löschen!

Bloggen vom Smartphone

Eigentlich wollte ich schon immer mal versuchen, wie das ist mit dem Smartphone zu bloggen. Mit Joomla war das nicht so einfach möglich. Für WordPress gibt es aber eine wunderbare Android-App die ich hier jetzt auch gerade benutze. Man kann sogar recht einfach eben Fotos vom Handy einfügen. Insgesamt eine super Funktion wie ich jetzt bestimmt öfter nutzen werde.

Passwortmanager Enpass

Lange habe ich mich darum gedrückt, mich an einen Passwortmanager zu gewöhnen. Aber irgendwann muss man das wohl machen, um nicht den Überblick zu verlieren oder zu einfache Passwörter zu oft zu benutzen. Auf Empfehlung von @nullu habe ich mir dann Enpass angeschaut und bin eigentlich sehr zufrieden damit. Es gibt Clients für alle Systeme, die ich benutze, wie z.B: Windows, IOS und Android und die Daten können über verschieden Cloud-Dienste wie Dropbox, OneDrive oder GoogleDrive synchronisiert werden. Das klappt echt gut. Installiert man den EnpassNMHost und das für den benutzten Browser angepasste Enpass Plugin, kann Enpass auch die bereits im Browser gespeicherte Zugangsdaten übernehmen. Wenn man das irgendwann mal abgeschlossen hat, muss man die Benutzernamen und Kennwörter nicht mehr im Browser speichern. Enpass meldet sich über das Browserplugin, sobald man eine Seite aufruft, auf welcher Zugangsdaten beötigt werden, die Enpass gespeichert hat.
Im Programm selbst, kann man die Zugänge thematisch ordnen, um die Übersicht nicht zu verlieren.
Ich finde, zur Zeit ist Enpass eine wirklich praktikable Lösung. Es kann sichere Passwörter generieren, speichern und verwalten.

Breaky.de stellt CMS von Joomla auf WordPress um

Seit 2004, quasi seit Mambo, dem Joomla Vorläufer, bevorzugte ich Mambo/Joomla als CMS Grundlage für die meisten Webseiten, welche ich erstellt habe. Nun beschäftige mich schon länger mit dem Wechsel auf ein anderes CMS,einfach um mich weiterzubilden und neue Technologie zu lernen.

Zum Import benutzte ich Frédéric GILLES „FG Joomla To WordPress Premium“ Plugin. Das funktionierte reibungslos.

Mit der Umstellung von Breaky.de mittel einfachem Import von Joomla und einigen kleinen Anpassungen am Theme, ist der erste Schritt getan, und ich überlege, auch weitere Seiten nach und nach umzustellen.