Malware-Spam

Falsche Rechnungs-Mails mit Malware-Link

Cyberkriminelle verbreiten derzeit massenhaft Spam-Mails verbreitet, die als Telefonrechnungen oder Bank-Mitteilung getarnt sind. Darin enthaltene Links führen zum Download eines Trojanischen Pferds.

Eine neue Spam-Welle sorgt für Unruhe und unsichere PCs.

© Frank Ziemann

Eine neue Spam-Welle sorgt für Unruhe und unsichere PCs.

Im letzten Jahr wurde viel Malware per E-Mail verbreitet, indem vorgebliche Rechnungen, Mahnungen oder Buchungsbestätigungen mit Anhang verschickt wurden. Inzwischen grassiert eine neue Masche. Die Mails kommen als Telefon- oder Mobilfunkrechnung der Anbieter Telekom oder Vodafone, zuweilen auch als Kreditzusage oder Transaktionsmitteilung der Sparkasse oder Volksbank.

Neben gefälschten Absenderangaben fällt dem aufmerksamen Empfänger auf, dass es keinen Anhang gibt, obwohl Betreff und Mail-Text auf einen solchen hinweisen. Stattdessen ist ein Link enthalten, über den man eine PDF-Datei mit der Rechnung herunter laden soll. Diese Links führen in aller Regel zu Unterverzeichnissen auf russischen Domains und lösen bei Aufruf automatisch den Download einer ZIP-Datei aus.

Bis dahin ist noch nichts passiert, das eine unmittelbare Gefahr darstellen würde. In dem ZIP-Archiv steckt jedoch eine EXE-Datei, ein Trojanisches Pferd. Wer sich auf die Suche nach der heruntergeladenen ZIP-Datei macht, ist nur noch zwei bis drei Mausklicks von einer Verseuchung des Windows-Rechners entfernt. Der Schädling aus der ZIP-Datei lädt weitere Malware aus dem Internet herunter und verwandelt den PC in eine fremdgesteuerte Spam-Schleuder. Er ist als Teil eins Bot-Netzes unter der Kontrolle der Online-Kriminalität.Die Deutsche Telekom weist auf ihrer Website auf die schädlichen Spam-Mails hin, spricht von Phishing-Mails. Zur Unterscheidung falscher von echten Telekom-Rechnungen gibt Bernd Eßer, Leiter des Cyber Emergency Response Teams (CERT) der Telekom, ein paar Tipps. Er betont, dass echte Rechnungs-Mail im Betreff stets die korrekte Buchungsnummer des Kunden enthielten. Außerdem würden Privatkunden mit ihrem Namen angesprochen und nicht mit "Lieber Telekom-Kunde". Eine echte Telekom-Rechnung enthält eine PDF-Datei als Anhang, die nicht in einem ZIP-Archiv steckt.

Wer sich darauf verlässt, dass sein Virenscanner den Schädling in der ZIP-Datei erkennt und blockiert, wird meist enttäuscht. Die zum Teil in den Mails enthaltenen Fußzeilen, die auf eine Virenprüfung durch eine namhafte Antivirus-Software verweisen, sind gefälscht. Die auf die beschriebene Weise verbreiteten Schädlinge werden zunächst nur durch wenige Antivirusprogramme erkannt. Die Täter ändern auch die Dateien, die hinter den Download-Links stecken, teilweise mehrmals am Tag, damit die Entdeckung durch Antivirus-Software gering bleibt.

Mehr zum Thema

Hacker schicken gefäschte Rechnungen mit Malware.
Rechnungen von Telekom & Co.

Die Polizei warnt vor einer neuen Phishing-Welle. Gefälschte E-Mail-Rechnungen von der Telekom und von Vodafone werden mit Viren-Anhang verschickt.
telekom, logo
Operation Treasure Map

Das Treasure-Map-Programm der NSA bietet Zugriff auf Handys, Tablets und Computer. Betroffen sind Provider wie Telekom, Netcologne und mehr.
Telekom-Blog dementiert NSA-Zugriffe
Operation Treasure Map

Der Spiegel hat über NSA-Spionage im Telekom-Netz berichtet. Zu den Vorwürfen im Rahmen des Treasure-Map-Programms hat die die Telekom Stellung…
Telekom-Logo
Telekom-Rechnung

Die Deutsche Telekom warnt wieder vor E-Mails, die sich als Telekom-Rechnungen tarnen. Mittlerweile existieren sogar Schreiben, in denen Betroffene…
Deutsche Telekom: Logo
Weniger Malware und Phishing

Wer den Dienst Rechnung Online der Telekom nutzt, kann sich auf Änderungen einstellen, die der Sicherheit vor Malware und Phishing dienen sollen.