Achtung! Drive-by-Download: Ihre Telekom-Meldung über die nichtbezahlte Schuld

Telekom Fake Mail"Von: Telekom Kundenservice [mailto:[email protected]

Gesendet: Sonntag, 16. Oktober 2016 23:40
An: To: <[email protected]>;
Betreff: Ihre Telekom-Meldung über die nichtbezahlte Schuld

Guten Tag,
Wir möchten Sie daran erinnern, dass Sie die Schuld haben - 99.42 Euro ist zur Zahlung am 12. Oktober 2016 fällig.
Um Ihre Rechnung zu überprüfen, klicken Sie auf die Rechnung von RechnungOnline.
Falls die Schuld nicht im vereinbarten Zeitraum beglichen wird, wird Ihrer mobiler Service ausgesetzt, und zusätzliche Gebühren können anfallen.
Für weitergehende Fragen schauen Sie bitte in unserer FAQ nach, chatten Sie mit uns auf unserem Online-Forum oder wenden Sie sich jederzeit an den Telekom-Kundenservice über unsere Online-Form.

Herzliche Grüße,
Telekom-Kundenservice
--------------------------------------------------------------------
To unsubscribe , please click here
**************ENGLISH SECTION *********
Dear customer,
We would like to remind you about your debt - EUR 99.42 is due for payment on 12. October 2016.
To view your invoice, just open bill document from Telekom Bill Page.
In case you will not pay debt on time, your mobile service will be suspended and additional fees will apply.
If you have any further queries, check out our helpful FAQ section, chat to us on our online forum, or feel free to contact Telekom Customer Care via our online form at any time.
Kind regards,
Telekom Customer Care
To unsubscribe from all events, please click here
The content of this e-mail may be confidential or legally privileged. If you are not the named addressee or the intended recipient please do not copy it or forward it to anyone. If you have received this email in error please destroy it. Email cannot be guaranteed to be secure or error-free, it is your responsibility to ensure that the message (including attachments) is safe and authorised for use in your environment.
Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
GERMANY
Think about the environment before printing this e-mail."
Heute Nacht bekam ich mal wieder eine Mail von der „Telekom“. Klickt man auf den Link, gelangt man auf eine Webseite, welche per Drive-by-Download automatisch eine Datei herunterlädt „telekom_rechnung_16019948.pdf.zip“. Diese enthält ein direkt ausführbares JavaScript. Das wiederum lädt dann den eigentlichen Virus herunter und infiziert den Computer. Welcher Virus es letztendlich ist, darüber sind sich die Scanner nicht so ganz einig. Ich gehe davon aus, das es Verschlüsselungstrojaner ist. Die sind zur Zeit wieder stark „im Kommen“.
Jedenfalls gilt auch hier: Ignorieren und Löschen!

comtech1

Trojaner im Anhang: Betreff: Auftrag Nr. 992829599 Comtech

comtech1"Von: Comtech [mailto:[email protected]

Gesendet: Mittwoch, 24. August 2016 12:38
An: [email protected]
Betreff: Auftrag Nr. 992829599
Ihre Kundennummer: 7725656
Auftragsnummer: 992829599
Auftragssumme: 93 Eur
Liebe Kundin,
Lieber Kunde,
Danke für Ihre Bestellung!
Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).
Mit freundlichen Grüßen
Ihr Comtech-Versand Team
Comtech GmbH
Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader."
Wieder Mal was neues: Eine angehängte Auftragsbestätigung, welche angeblich eine PDF Datei sein soll. Schaut man genauer hin, sieht man nach einigen Leerzeichen im Namen die Endung .vbe. Es ist also eine Visual Basic Datei, welche direkt ausgeführt werden kann. Angeklickt und schon zu spät. Glücklicherweise blockiert MS Outlook solche Dateien. Die meisten unbedarften Nutzer würden wohl klicken und dann noch mehrmals, weil sich das vermeindliche PDF nicht öffnet.
Wie immer gilt auch hier: Ignorieren und Löschen!

Komplett personalisierte Viren-Mail: Rechnung für Mein Name noch offen: Nr. 86850817

"Von: Sachbearbeiter GiroPay AG [mailto:[email protected]

Gesendet: Donnerstag, 9. Juni 2016 08:10
An: Mein Name <[email protected]>;
Betreff: Rechnung für Mein Name noch offen: Nr. e
Sehr geehrte/r Mein Name,
bedauerlicherweise mussten wir feststellen, dass die Zahlungsaufforderung Nummer 868508176 bis jetzt ergebnislos blieb. Jetzt gewähren wir Ihnen nun letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten GiroPay AG zu decken.
Aufgrund des andauernden Zahlungsrückstands sind Sie angewiesen außerdem, die durch unsere Inanspruchnahme entstandene Kosten von 82,45 Euro zu tragen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 08.06.2016.
Vertragsdaten:
Mein Name
Meine Straße
PLZ Ort
Tel. Meine Handynummer
Die Überweisung erwarten wir bis spätestens 15.06.2016. Können wird bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten gehen zu Ihrer Last.
Eine vollständige Forderungsausstellung ID 868508176, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.
Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Falls Sie Fragen haben, stehen wir Ihnen telefonisch gerne zur Verfügung.
Mit besten Grüßen
Sachbearbeiter Jamie Fuch"

Die E-Mail erreichte mich heute. Ich war überrascht, das alle meine Daten korrekt waren, sogar die Handynummer. Wie immer habe ich hier natürlich meinen Namen durch „Mein Name“ ersetzt und auch die Mail-Adresse abgeändert.
Im Anhang befindet isch eine ZIP.Datei (Mein Name Sachbearbeiter GiroPay AG 09.06.2016.zip), welche wiederum eine ZIP.Datei (Mein Name 09.06.2016 Mahnung Sachbearbeiter GiroPay AG.zip) enthielt. Darun war eine ausführbare Datei mitr dem Namen ‚Mein Name Rechnung Sachbearbeiter GiroPay AG.com‘ enthalten. Nur zwei von 57 Virenscannern bei Virustotal.com erkannten einen Virus. Gleichzeitig konnte ich feststellen, dass auch ähnliche Mails an andere Leute gegangen sind. Voan anderen Zahlungsdienstleistern, wie z.B: Directpay24.
Natürlich falle ich auf so etwas nicht herein.
Auch hier gilt: Mail Ignorieren und Löschen!

Kryptotrojaner 06 20161

Perfider Trojaner im Anhang: Offene Betrag – Franz Himmel, Rechnung-2016-05-05.doc

Kryptotrojaner 06 20161"Von: [email protected] [mailto:[email protected]]
Gesendet: Montag, 6. Juni 2016 15:17
Betreff: Offene Betrag
Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung.
Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
Mit freudliche Grüssen,
Franz Himmel"
Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

Kryptotrojaner im Anhang: Ihre Mai Rechnung – 0135382

"Von: Bela Takacs [mailto:[email protected]

Gesendet: Montag, 6. Juni 2016 09:35
An: [email protected]
Betreff: Ihre Mai Rechnung - 0135382
Sehr geehrter Kunde,
Wir kontaktieren Sie bezüglich der Rechnung MAI-173650-16 von Truffer Ingenieur-. Die Rechnung ist seit dem 15.Juni 2016 fällig und der ausstehende Betrag beträgt 1159.00 EUR. Wir möchten Sie höflichst bitten, den ausstehenden Betrag schnellstmöglich zu bezahlen.
Wir danken für Ihre prompte Begleichung des Betrages. Bitte kontaktieren Sie uns, wenn Sie weitere Fragen haben.
Mit freundlichen Grüssen.
Bela Takacs
Truffer Ingenieur- | 01 380 56 70"
Mich erreichte mal wieder eine Mail mit Word-Dokument (Rechnung_Mai-16-38877.doc) im Anhang. Angeblich eine Rechnung. Kurze Rede langer Sinn: Natürlich ein Makrovirus, der einen Download-Trojaner enthält. Immerhin 15 von 56 Scannern bei Virustotal erkannten ihn.
Jedenfalls gilt wie immer: Ignorieren, nicht Öffnen und Löschen!

bornebusch2

Trojaner im Anhang: Bestellung 96149 von Fa. Bornebusch

bornebusch2"Von: Tobias Baum - Bornebusch [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 08:42
An: [email protected]
Betreff: Bestellung 96149
Mit freundlichen Grüßen
Tobias Baum Chacon
Bornebusch GmbH & Co. KG
Welterstr. 44
57072 Siegen
[email protected]
www.bornebusch.de
tel.: +49 (271) 77 25 9-0
fax: +49 (271) 4 45 08
Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.

Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
USt.-Id.-Nr.: DE 814585776
Steuer-Nr.: 342/5803/1390
HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer."

 

ACHTUNG! auch das ist keine echte Bestellung! Die angehängte Datei 20151216084136.doc einhält einen Makro-Virus, welcher den Krypto-/ Erpressungstrojaner nachlädt und installiert.

Mail einfach löschen! Anhang nicht öffnen!

Die Fa. Bornebusch weiß wahrscheinlich gar nicht das in Ihrem Namen solche Mails versendet werden. Telefonisch ist auch leider keiner zu erreichen dort.

Nur 4 von 52 Virenscannern erkennen diese Gefahr laut virustotal.com:

Arcabit: HEUR.VBA.Trojan
F-Secure: Trojan:W97M/MaliciousMacro.GEN
Fortinet: WM/Agent!tr
Qihoo-360: heur.macro.download.cc

Trojaner im Anhang: Ihre Telekom Festnetz-Rechnung November 2015

Von: Telekom Deutschland GmbH {NoReply} [mailto:[email protected]]
Gesendet: Montag, 16. November 2015 06:55
An: m[email protected]
Betreff: Ihre Telekom Festnetz-Rechnung November 2015
Blitzschutz Telekom hilft Community

Ihre Rechnung für November 2015

Guten Tag [email protected],
Hiermit erhalten Sie mit dieser E-Mail Ihre aktuelle Festnetz-Rechnung.
Die Gesamtsumme im Monat November 2015 beträgt: 838,87 Euro.
Im Zusammenhang mit Ihrer Schuld. Wenn die Zahlung bis zum 25. November 2015 nicht eingeht, haben wir das Recht, die Erbringung von Dienstleistungen zu verhindern.
Zu diese Schreiben ist angehängt Dokumente in Zip archive mit Angabe der Leistungen, sorgfältig zu lesen

Für weitere Fragen zu RechnungOnline, Ihrer Rechnung oder zur Bezahlung bieten wir Ihnen ein umfangreiches Hilfe-Angebot. Informationen zu den Sicherheitsmerkmalen von RechnungOnline finden Sie unter Sicherheitshinweise.
Mit freundlichen Grüßen

Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice
© Telekom Deutschland GmbH
Hinweis: Eine direkte Antwort auf diese E-Mail ist nicht moglich. Wenn Sie uns per E-Mail erreichen wollen, nutzen Sie bitte unser Kontaktformular.

 

ACHTUNG!! Im Anhang befindet sich eine Zip-Datei rechnung_772617.zip, welche eine Javascriptdatei enthält. Diese soll eine ausführbare Datei, welche den Schadcode enthält von einem Server in Indien laden.
Den Anhang nicht öffnen!
Die Mail einfach ignorieren und löschen!

DHL Mail mit Virus Download: „Ihr Paket zu der Postsendung 73289084762“

"Von: DHL.de [mailto:[email protected]

Gesendet: Mittwoch, 27. Mai 2015 13:48
An: [email protected]
Betreff: Ihr Paket zu der Postsendung 73289084762
Die Email enthält keinen Text nur ein PDF mit folgendem Inhalt:

Geschätzte Kundin, geschätzter Kunde,
die Sendung mit der Nummer 425627074665 wurde an DHL übergeben. Zustellung ist voraussichtlich am
Mittwoch, den 27.05., Zeitfester 13:00 und 16:30 Uhr.
h**ps://www.paket.de/pkp/appmanager/pkp/desktop?nfpb&sendungsnummer=425627074665.
(Adobe PDF Format)
Mit besten Grüßen,
Ihrem DHL-Team"

 

Das sieht interessant aus, ist aber natürlich absoluter Blödsinn. DHL schickt zwar Benachrichtigungen per Mail, aber nicht mit PDF Anhang.
Der Link im PDF hinter der URL wird intern zu h**t://www.crowntvbox.com/LrDw5p2AS umgebogen.
PDF nicht öffen, Mail löschen.

Trojaner im Anhang: Rechnung noch offen 26.01.2015 Nr. 53590608

„Von: Rechnungsstelle Bank Payment AG [mailto:[email protected]

Gesendet: Montag, 26. Januar 2015 03:01
An: Mich
Betreff: Rechnung noch offen 26.01.2015 Nr. 53590608
Sehr geehrter Kunde Ronny G?ngler,
Ihre Bank hat die Lastschrift storniert. Sie haben eine ungedeckte Rechnung bei Bank Payment AG.
Aufgrund des andauernden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Inanspruchnahme entstandenen Kosten von 46,21 Euro zu tragen. Die vollständige Zahlung erwarten wir bis spätestens 29.01.2015.
Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Die vollständige Kostenaufstellung, der Sie alle Positionen entnehmen können, fügen wir bei. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.
Namens unseren Mandanten ordnen wir Ihnen an, die noch offene Gesamtforderung schnellstens zu bezahlen.
Mit besten Grüßen
Rechnungsstelle Reuwich Benjamin“

 

Absoluter Quatsch! Im Anhang befindet sich wieder eine doppelt eingepackte ZIP-Datei (Forderung an Mein Name 26.01.2015 – Rechnungsstelle Bank Payment AG.zip und Ausgleich stornierten Lastschrift Ihrer Bestellung Bank Payment AG vom 26.01.2015.zip), welche dan wieder den Trojaner (Mein Name Forderung 26.01.2015 – Rechnungsstelle Bank Payment AG.com) enthält.
Mail einfach löschen und ignorieren.

Makrovirus in angeblicher Rechnung: „Rechnug vom 24.11.2014“ oder „Rechnungsnummer 24112014-278“

„Von: [email protected] oder [email protected]
Gesendet: Mittwoch, 21. Januar 2015 12:26
An: [email protected]
Betreff: Rechnug vom 24.11.2014 / Betreff: Rechnug vom 24.11.2014 /

Sehr geehrter Kunde,

Vielen Dank für die Bestellung.
Bitte überprüfen Sie die Bestellmenge, die Bestellsumme und die Lieferadresse.
Die Rechnung finden Sie im Anhang.

Bei Fragen stehen wir Ihnen gern zu Verfügung.

Mit freundlichen Grüßen

Geschäftsführer. Dirk Schirakowski ; Schütze Uwe
Vertreter Schütze Uwe ; Schirakowski Dirk
Umsatzsteuer-Identifikationsnummer gemäß § 27a
Umsatzsteuergesetz: DE189964006 Stnr.: 2636530279
Registernummer: KS HR A8707
Inhaltlich Verantwortlicher gemäß § 6 MDStV: Dirk Schirakowski“

 

Im Anhang befindet sich ein Microsoft Word Dokument mit dem Inhalt: „Please enable macroses to view the document“ und nautürlich dem Makrovirus. 😀
Was er genau macht habe ich nicht geprüft.
Rechnungen von Unternehmen, welche per E-Mail verandt werden, kommen IMMER als PDF Datei. Kein seriöses Unternehmen schreibt Rechnungen in Word. Außerdem vermeiden die meisten Unternehmen so Rechtschreibfehler wie im Betreff (Rechnug). Alle Angaben zum Unternehmen sind gefälscht, gestohlen oder erfunden.
E-Mail löschen und ignorieren!