Facebook Phishing Mail: Jemand hat für dein Facebook-Konto ein neues Passwort angefragt

"Von: Facebook [mailto:[email protected]

Gesendet: Mittwoch, 30. Dezember 2015 21:36
An: Mein Name [email protected]
Betreff: Jemand hat für dein Facebook-Konto ein neues Passwort angefragt
Hallo Ronny, Jemand hat kürzlich darum gebeten, dein Facebook-Passwort zurückzusetzen. Klicke hier, um dein Passwort zu ändern. Alternativ dazu kannst du den folgenden Code zum Zurücksetzen des Passworts hier eingeben: 929649 Du hast diese Änderung nicht beantragt? Falls du kein neues Passwort beantragt hast, teile uns das umgehend mit .
Facebook

Hallo Ronny,
Jemand hat kürzlich darum gebeten, dein Facebook-Passwort zurückzusetzen.
Klicke hier, um dein Passwort zu ändern.
Alternativ dazu kannst du den folgenden Code zum Zurücksetzen des Passworts hier eingeben:
929649
Du hast diese Änderung nicht beantragt?
Falls du kein neues Passwort beantragt hast, teile uns das umgehend mit.
Passwort ändern

Diese Nachricht wurde auf deine Anfrage hin an [email protected] gesendet.
Facebook, Inc., Attention: Community Support, Menlo Park, CA 94025"

Heute habe ich etliche Facebook Phishing-Mails erhalten. Was der genaue Zweck der Mails ist, erschließt sich mir momentan noch nicht. Das es irregluläre Mails sind sehe ich daran, das die E-Mailadressen, an die die Mails gingen, keinerlei Verbindung zu Facebook-Konten haben.

Die Links führen zu offensichtlich zu Facebook. Auf jeden Fall ist hier Vorsicht geboten! Links nicht anklicken und Mails ertmal ignorieren.

PayPal-Phishing: Wichtige Anweisungen bezüglich der Vorratsdatenspeicherung.

"Von: [email protected] [mailto:[email protected]

Gesendet: Mittwoch, 23. Dezember 2015 02:31
An: [email protected]
Betreff: Wichtige Anweisungen bezüglich der Vorratsdatenspeicherung.
Datum
23. Dezember 2015
Wichtiger Hinweis zur Datenspeicherung
E-Mail Code: 083042
Sehr geehrte Damen und Herren,

Wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln.
Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren!

Zum Formular

Hilfe Kontakt Sicherheit App Angebote
Copyright © 1999-2015 PayPa1. Alle Rechte vorbehalten. PayPa1 (Europe) S.a r.l. et Cie, S.C.A., Societe en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg, RCS Luxembourg B 118 349."

Kein Tag ohne Betrugsversuch: Heute gab es einen neuen PayPal-Phishing Versuch per E-Mail zum Frühstück. Die Mail suggeriert das eine Aktion am PayPal-Konto nötig wäre, wegen der dämlichen Vorratsdatenspeicherung. Das ist natürlich Blödsinn, genau wie die Vorratsdatenspeicherung.
Der Link führt zu h**p://secm9.6te.net/security_check.html
E-Mail ignorieren und löschen, Link nicht anklicken.

Windows 10 Standardrucker

Windows 10 Standarddrucker verstellt sich von selbst

Windows 10 StandardruckerIhr wundert Euch, warum unter Windows 10 (auch Windows 10 mit Update 1511) ständig euer Standard-Drucker verstellt ist?

Nun das liegt an der besonderen Intelligenz von Windows 10, es merkt sich intelligenterweise, welchen Drucker man wie benutzt. Problem ist, das Niemand das will. Wofür stelt man sonst einen Standarddrucker ein?! In Windows 10 wird der Standarddrucker standardmäßig von Windows verwaltet, was natürlich meistens Quatsch ist. Bisher ist es mir an jedem PC, an welchem gedruckt wurde, nur negativ aufgefallen. Immer wird beim Drucken der falsche Drucker ausgewählt. Probleme macht das auch mit Programmen, hier besonders BNranchensoftware, welche oft Funktionen nutzen, welche einfach den Standarddrucker in Windows ansprechen.
Lösung: Häkchen (siehe Bild) entfernen. Ihr findet das unter Start – PC-Einstellungen -> Geräte und Drucker. Dort unterhalb der installierten Druckertreiber. Einfach Deaktivieren und fertig.

Makrovirus mit Trojaner-Download: Lieferschein Fa. Textilreinigung Klaiber

"Von: Textilreinigung Klaiber [mailto:[email protected]

Gesendet: Dienstag, 22. Dezember 2015 09:16
An: [email protected]
Betreff: Lieferschein

Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen

Textilreinigung Klaiber
Gewerbestrasse 39
78054 VS - Schwenningen
Telefon 07720 / 33238
Telefax 07720 / 33641
[email protected]"

Auch heute erreichten mich wieder zahlreiche Makroviren mit Trojaner-Download. Neu war z.B. dieser hier. Im Anhang die 11815–113686.doc enthält den Macro.Trojan-Downloader.Agent.KF. Das Schlimme ist, das nur 1 von 54 Virenscannern den Virus erkennt. Ichhoffe die Erkennungsrate verbessert sich schnell!

Vorsicht – Mail einfach Löschen Anhang nicht öffnen!

Trojaner per Makrovirus: Bestellung Fa. BERGES Antriebstechnik

"Von: Krell, Jürgen [mailto:[email protected]]
Gesendet: Freitag, 18. Dezember 2015 09:45
An: '[email protected]';
Betreff: Bestellung

Mit freundlichen Grüßen
BERGES Antriebstechnik/Einkauf
i.A. Jürgen Krell
Leiter Einkauf

Tel: +49 2264 17-145
Fax: +49 2264 17-144
E-Mail:[email protected]
--------------------------------------------
BERGES Antriebstechnik GmbH & Co. KG
Industriestr. 13, 51709 Marienheide
Tel.: +49 2264 17 0, Fax: +49 2264 17 125
E-Mail: [email protected]
Internet: http://www.berges.de
------------------------------------------------------------------------------------------------------
USt ID-Nr.: DE122 546 223
Handelsregister: Registergericht Köln HRA 16990
Komplementär: BERGES Antriebstechnik GmbH
Handelsregister: Registergericht Köln HRB 38484
Geschäftsführer: Dipl.-Kfm. Dietmar Sarstedt, Karl-Heinz Georg
-----------------------------------------------------------------------------------------------------"

Und der nächste Makrovirus mit Trojaner: 13042092.doc vom gefälschten Absender Berges Antriebstechnik.
Auch hier gilt: ungesehen löschen!
AVware LooksLike.Macro.Malware.gen!d3 (v)
Arcabit HEUR.VBA.Trojan
F-Secure Trojan:W97M/MaliciousMacro.GEN
GData Macro.Trojan-Downloader.Agent.KF
VIPRE LooksLike.Macro.Malware.gen!d3 (v)

Wieder Trojaner per Makrovirus: Rechnung 31074445 – Auftrag: 530655 – Ihre Bestellung: telef. Fa. Heitmann Metallhandel

"Von: [email protected] [mailto:[email protected]]
Gesendet: Donnerstag, 17. Dezember 2015 13:22
An: [email protected]
Betreff: Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef.
gesendet von
Celine Kollmorgen
Tel: 0221/7772-274 - Fax: 0221/7772-255
--
Heitmann Metallhandel GmbH
Hansekai 3
50735 Köln
Telefon: +49 (0)221 - 77 72 - 1
Telefax: +49 (0)221 - 77 72 - 234
Registergericht: Köln
Registernummer: HRB 24078
Geschäftsführer: Werner Heitmann"

Im Anhang wieder eine Doc-Datei mit Trojaner: 31074445.DOC. Angeblich eine Rechnung der Firma Heitmann Metallhandel GmBH aus Köln. Auch das ist wieder ein Makrovirus, der einen Trojaner nachlädt.
Mail Löschen Anhang keinesfalls öffnen. Nur 6 von 53 Scannern erkennen den aktuell:
AVware LooksLike.Macro.Malware.gen!d3 (v)
Arcabit HEUR.VBA.Trojan
ESET-NOD32 VBA/TrojanDownloader.Agent.AMS
F-Secure Trojan:W97M/MaliciousMacro.GEN
GData Macro.Trojan-Downloader.Agent.FV
VIPRE LooksLike.Macro.Malware.gen!d3 (v)

bornebusch2

Trojaner im Anhang: Bestellung 96149 von Fa. Bornebusch

bornebusch2"Von: Tobias Baum - Bornebusch [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 08:42
An: [email protected]
Betreff: Bestellung 96149
Mit freundlichen Grüßen
Tobias Baum Chacon
Bornebusch GmbH & Co. KG
Welterstr. 44
57072 Siegen
[email protected]
www.bornebusch.de
tel.: +49 (271) 77 25 9-0
fax: +49 (271) 4 45 08
Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.

Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
USt.-Id.-Nr.: DE 814585776
Steuer-Nr.: 342/5803/1390
HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer."

 

ACHTUNG! auch das ist keine echte Bestellung! Die angehängte Datei 20151216084136.doc einhält einen Makro-Virus, welcher den Krypto-/ Erpressungstrojaner nachlädt und installiert.

Mail einfach löschen! Anhang nicht öffnen!

Die Fa. Bornebusch weiß wahrscheinlich gar nicht das in Ihrem Namen solche Mails versendet werden. Telefonisch ist auch leider keiner zu erreichen dort.

Nur 4 von 52 Virenscannern erkennen diese Gefahr laut virustotal.com:

Arcabit: HEUR.VBA.Trojan
F-Secure: Trojan:W97M/MaliciousMacro.GEN
Fortinet: WM/Agent!tr
Qihoo-360: heur.macro.download.cc

Trojaner im Anhang: Paket angekommen.

„Von: DHL Paket [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 09:47
An: [email protected]
Betreff: Paket angekommen.
Guten Tag [email protected]
Ihr Paket id_61657147 ist empfangsbereit.
Diese e-mail ist eine Mitteilung für die Ankunft.
Lieferung durch den Absender gezahlt.
Die Hohe der Versicherungspaket € 1.670.
Um das Sendung zu bekommen , bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.
===
Herzliche Grüße
Ihr DHL Team
________________________________________
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn

Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787
Geschäftsführung:
Dr. Andrej Busch
Katja Herbst
Norman Chmiel
Heinrich Eilers
Dr. Thomas Ogilvie
Vorsitzender des Aufsichtsrates: Uwe Brinks © 2015 DHL“

In der angehängte ZIP-Datei befindet sich ein Javascript: DHL_ID_paket.js, welches vermutlich einen Trojaner, wo möglich sogar einen Kryto-Trojaner oder Erpressungs-Trojaner.
Grundsätzlich schickt DHL zwar Benachrichtigungen per E-Mail, aber immer ohne Anhang.
E-Mail also löschen und keinesfalls öffnen. Nicht alle Virenscanner erkennen Ransomware in Javascripten.

Verschiedene Scanner erkennen verschiedene Schädlinge:
ClamAV: Suspect.Bredozip-zippwd-2
Cyren: JS/Downldr.DB
ESET-NOD32: JS/TrojanDownloader.Agent.OEC
F-Prot: JS/Downldr.DB
TrendMicro: Possible_SCRDL
TrendMicro-HouseCall: Possible_SCRDL

Trojaner im Anhang: FW: Scan from a Samsung MFP

"Von: Gareth Evans [mailto:[email protected]]
Gesendet: Montag, 14. Dezember 2015 11:26
An: [email protected]
Betreff: FW: Scan from a Samsung MFP
Regards
Gareth
-----Original Message-----
Please open the attached document. It was scanned and sent to you using a
Samsung MFP. For more information on Samsung products and solutions, please
visit http://www.samsungprinter.com.
This message has been scanned for malware by Websense. www.websense.com"

In letzter Zeit erreichen mich oft E-Mails, welche so aussehen, als kämen sie von einem Dokumentenscanner. Manchmal sogar mit einer gefälschten Absender E-Mail-Adresse, welche mit einer meiner Domains endet. Meist sind .doc, .pdf oder .zip Dateien im Anhang. Hier z.B. findet sich im Anhang ein .Doc Word-Dokument, welches einen Makrovirus enthält. (w97.Downloader.AKJ)
Ob Canon, Kyocera oder Samsung – auf keinen Fall senden solche Geräte DOC oder ZIP Dateien.
Anhang nicht öffnen, Mail löschen!

PayPal-Phisching: Bestätigung Ihrer PayPal-Zahlung an Genossenschaftskellerei Rosswag-Mühlhausen eG

"Von: PayPal Inc. [mailto:[email protected]]
Gesendet: Montag, 14. Dezember 2015 01:30
An: mein Name <[email protected]>;
Betreff: Bestätigung Ihrer PayPal-Zahlung an Genossenschaftskellerei Rosswag-Mühlhausen eG

14. Dezember 2015 01:29:47 MEZ
Transaktionscode: 7EI934988C81474S

Guten Tag, Mein Name !
Sie haben eine Zahlung über €458,00 EUR an Genossenschaftskellerei Rosswag-Mühlhausen eG gesendet ([email protected]).
Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
________________________________________"
Auch das ist natürlich Quatsch. Einfach löschen und ignorieren.