Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck

Derzeit kursiert eine fast perfekt gefälschte Telekom-Rechnung, die man – anders als das Original – ungeöffnet entsorgen sollte.

In Pocket speichern vorlesen Druckansicht 215 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Nach gefälschten Bahn-Buchungsbestätigungen sind nun auch nachgeahmte Telekom-Rechnungen im Umlauf, die man kaum vom Original unterscheiden kann. Der Dateianhang enthält einen Virus. Der Betreff lautet perfiderweise "RechungOnline Monat April 2013" – genau so eine Mail versendet die Telekom derzeit im Original an ihre Kunden. Auch inhaltlich ist die HTML-Mail kaum von ihrem Vorbild zu unterscheiden. Die Grafiken werden direkt vom Server der Telekom nachgeladen.

Bislang konnte man Viren- und Phishing-Mail in der Vergangenheit meist schon aufgrund der schlechten Grammatik auf den ersten Blick als Fälschung identifizieren. Derzeit sind jedoch verstärkt Malware-Mails im Umlauf, für die offenbar echte Mails bekannter deutscher Unternehmen Modell gestanden haben.

Bis auf die fehlende persönliche Anrede gleicht die virulente Telekom-Rechnung dem Original.

Der wichtigste Anhaltspunkt dafür, dass es sich um eine Fälschung handelt, ist die fehlende persönliche Anrede. Der Absender lautet bei dem uns vorliegenden Exemplar angeblich "rechnungonline.@telekom.de", es befindet sich also ein Punkt vor dem @-Zeichen, der dort nicht hin gehört. Spätestens aber bei dem Anhang sollte man misstrauisch werden: Es handelt sich um ein Zip-Archiv mit dem Namen Telekom-2013_04-Rechnung.zip, teilweise enthält der Dateiname noch eine gefälschte Auftragsnummer.

Der Dateiname des darin enthaltenen Schädlings hat zwei Erweiterungen, nämlich pdf.exe, was höchst verdächtig ist. Da Windows allerdings standardmäßig bekannte Dateinamen-Erweiterungen ausblendet, dürfte das vielen Windows-Nutzern nicht auffallen. Laut einer Analyse in der Anubis-Sandbox erstellt der Schädling eine Datei "C:\Documents and Settings\All Users\svchost.exe", die er mit der Bezeichung "SunJavaUpdateSched" als vermeintlichen Java-Updater in den Systemstart einhängt.

Man kann sich übrigens keinesfalls darauf verlassen, dass man Virenmails an den oben genannten Indikatoren erkennt. Der zusätzliche Punkt in der Absenderadresse etwa lässt sich spielend einfach korrigieren. Eine persönliche Anrede könnte die Cyber-Kriminellen mit gestohlenen Kundendaten umsetzen. Und der Anhang muss auch nicht zwangsläufig auf .exe enden – auf vielen Rechnern ist eine veraltete und somit verwundbare Version des PDF-Anzeigeprogramms Adobe Reader installiert. Diese Systemen könnten die Ganoven auch mit einem präparierten .pdf-Dokument knacken.

Darüber hinaus kursieren derzeit unter anderem recht gut gemachte Phishing-Mails, die angeblich von der Sparkasse stammen. Die Betreffzeilen lauten etwa "Konto Re-Aktivierung nötig!!" oder "Update Online Banking", als Absender ist zum Beispiel "info@sparkasse.de" oder die Sparkasse Erlangen angegeben. (rei)