Heute erreichte mich eine fingierte Rechnung der Telekom per E-Mail. Diese sah auf den ersten Blick gar nicht mal so unecht aus.
Von daher ist bei E-Mails von vertrauten Anbietern stets Vorsicht angesagt. Statt der üblichen PDF-Rechnung, war ein virenverseuchtes Word-Dokument im Anhang mit dabei.
Hier sieht man die E-Mail:
Auf den ersten Blick sieht sieht die E-Mail aus, wie eine normale Telekomrechnung. Die Nummer des eigenen Buchungskontos hat man eh nicht im Kopf und der Betrag stimmt auch in etwa mit der monatlichen Rechnung überein. Im Anhang befindet sich die Rechnung, diese ist aber kein PDF, sondern eine infizierte Word-Datei.
Die Original-E-Mail sieht übrigens so aus:
Neben dem Buchungskonto wird hier noch die Adresse teilweise angegeben. Dies fehlt in der falschen E-Mail, da die Versendet die eigene Anschrift nicht haben. Beim Original ist die Rechnung als PDF beigefügt.
Hier ist der Unterschied:
Die Word-Datei habe ich nun genommen und bei VirusTotal.com hochgeladen. Dies sollte man bei allen Dateianhängen machen, denen man nicht trauen kann. Interessanterweise haben nur 12 von 56 Scannern den Virus erkannt. Gut möglich, dass der Virus noch recht neu ist und die Virenscanner diesen noch nicht erkennen.
Ein installiertes Antivirenprogramm hilft also oft nicht weiter, hier hilft nur Vorsicht. Hier kann man sich auch anzeigen lassen, was der Virus genau macht:
Im ersten Schritt nutzt der Virus eine Sicherheitslücke in Microsoft Word. Über diese wird die Eingabeaufforderung geöffnet. Diese lädt aus dem Internet eine .exe Datei herunter.
Diese wird anschließend als Service in das System eingebunden, so dass diese immer automatisch startet.
Was diese Datei im System macht ist mir nicht bekannt. Vermutlich wird eine Backdoor installiert und man wird Teil eines Botnetzes. Der Betreiber des Botnetzes entscheidet dann, was der Rechner macht. Vom Bitcoin-Mining, Spamverwand, Abfischen von Bankdaten bis hin zu Denial-of-Service Angriffen ist alles drinnen.
Am Ende sollte man bei jeder E-Mail Vorsicht walten lassen. Stimmt der Absender, der Empfänger, die Daten in der E-Mail. Oft werden Rechnungen mit überteuerten Beträgen gezeigt, so dass man als Anwender erschreckt draufklicken. In diesem Beispiel war die E-Mail gut gemacht und nur Kleinigkeiten haben nicht gepasst. Kleinigkeiten, welche auch schnell übersehen werden. Von daher im Zweifel VirusTotal.com bemühen um eine Datei zu testen.
