Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Verfolgung starten Optionen

Rechnungsmails angeblich von 1und1 mit Malware unterwegs

xafford / 39 Antworten / Flachansicht Nickles

Gerade erhielt ich eine gefälschte Mail von 1&1 mit meiner "Rechnung". Oberflächlich betrachtet sah die Mail erst einmal relativ normal aus, was jedoch stutzig macht ist der Umstand, der fehlenden persönlichen Ansprache im Text. Spätestens wenn man dann sieht, dass der Anhang der Mail nicht, wie üblich, die Rechnung in Form einer angehängten PDF-Datei ist sollten dann aber die Alarmglocken ganz laut schrillen.

Anstatt die Mail direkt zu löschen wollte ich in diesem Fall aber einmal genauer schauen, was da anhängt, auch wenn der Verdacht nahe liegt, dass es sich wieder einmal um einen der üblichen Verdächtigen aus der Reihe der Verschlüsselungstrojaner handelt - also erst einmal den Anhang auf einer RAM-Disk abgelegt damit nach einem Neustart alle Spuren davon beseitigt sind und nicht eventuell in den Schattenkopien noch eine Version davon schlummert und den Virenscanner kirre macht.

Windows Defender meint, dass mit dieser Datei alles in Ordnung ist!

Als erstes habe ich dann mal den Windows Defender sein Glück an der ZIP-Datei versuchen lassen und - ja, wer hätte das gedacht - die Datei ist sauber... oder doch nicht? Also ab zu Virustotal und die ZIP hoch geladen. Das Ergebnis war recht überraschend und ernüchternd: Erkennungsrate liegt nur bei 15 von 57 Engines, also wohl eine ziemlich neue Version eines Schädlings.

Virustotal ist da anderer Meinung...

Aus Neugier habe ich dann die ZIP-Datei entpacken lassen (es handelt sich nicht um ein selbstextrahierendes Archiv) und mir den Inhalt angeschaut. Auch das war ernüchternd. Offensichtlich setzen die Angreifer hier auf sehr kooperative Opfer, denn in dem Archiv befindet sich eine wenig vertrauenserweckende "RG170415602348.pdf.hml.exe" (der Name dürfte variieren, die Dateierweiterungen dürften aber immer die selben sein). Da muss man dann schon neben dem "sich über die ZIP-Datei wundern" und dem "diese leichtsinnigerweise entpacken" auch noch den Anhang doppelt klicken, der so gar nicht nach einer Rechnung aussehen will.

Abschließend ließ ich den Windows Defender auch noch einmal die entpackte Datei prüfen, aber auch die ist (laut Defender) absolut sauber - na sauber!

Der wenig einladende Inhalt

PS: Die EXE-Datei des Schädlings hat übrigens 71kB - die Programmierer von Schadsoftware waren auch schon einmal platzsparender vorgegangen in früheren Tagen.

NACHTRAG: Gerade kam der gleiche Schädling noch einmal in einer anderen Mail - eine angebliche DHL-Versandbenachrichtigung mit angehängter "Rechnung", diesmal enthielt die ZIP-Datei eine "Ihre Rechnung in elektronischer Form.PDF.exe" - mit dem identischen Schädling.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Danke für die Information! Denn auch 1und1 könnte jederzeit beginnen, seine Rechnungen in anderem Format zu verschicken. ... gelöscht_323936
Sorry, das war ein Fehler beim Erstellen des Beitrages. Das ist jetzt repariert. Nein, die kam an einen Account, der ... xafford
Hi, Ein Bekannter ist auch bei 1 1. Er bekommt seine Rechnungen an seine freenet-emailadresse mit Anhang. Das macht er ... ullibaer
Hallo Anne, Ich kann die Snapshots klar und deutlich sehen. Bin mit Chrome derzeit online. Gruß Ulli ullibaer
Das konnte ich auch sofort ab 19:15 , nachdem xafford meine Nachricht gelesen hatte... Ja, ich lese meist auch nicht alle ... gelöscht_323936
Welcher Provider verschickt schon Mails mit Anhang ? Also ich bekomme bei Kabel Deutschland, jetzt Vodafone immer nur ne ... ObelixSB
Hi! Ausgerechnet 1 1, auch wenn es hier ursprünglich um eine Schadlingsmail ging. Ich habe meine Haupt-Emailadresse bei 1 ... Andreas42
Hallo Andreas, Auch Telekom macht das so mit der Rechnung Online. Die bekomme ich immer an meinen Emailaccount mit den 3 ... ullibaer
1und1 - mit Rechnung im Anhang als pdf Ausschnitt : Wie man sieht, war die Fälschung recht echt nachgemacht. Aber der ... gelöscht_323936
Aber hallo !! Ich kenne keine Original 1 1 Rechnung Zumindestens steht doch ganz unten RG150......pdf. Wobei das RG für ... ullibaer
Hallo Ulli, die Rechnung in meinem Post ist original. Das ist eben eine echte Rechnungs-Mail von 1und1 im Gegensatz zu der ... gelöscht_323936
Warst Du 1991 überhaupt schon im Web? Wenigstens gelegentlich? Gruß, mawe2 mawe2
Na sag mal, zweifelst Du an meinen Worten? Ja, 1991 war ich in einer Firma, in der ich auch gelegentlich Daten aus dem ... gelöscht_323936
Ja. Ich sprach nicht vom Internet das zu dem Zeitpunkt schon fast 20 Jahre alt war sondern ich sprach vom Web das zu dem ... mawe2
Jetzt bin ich natürlich geknickt. Aber meine Arbeit bestand nicht vorrangig in solchen Dingen, und privat schon gar ... gelöscht_323936
Internet Explorer kam viel viel später 1995 ! Und bis er soweit war, dass man ihn auch ernsthaft nutzen konnte, dauerte ... mawe2
Hmmm, da habe ich bei den aufregenden Anfang 90er-Jahren wohl einiges durcheinander gemixt. Nach vielen Jahren Arbeit als ... gelöscht_323936
Hallo Anne, die Entstehung des Internets https://www.youtube.com/watch?v EKm6pJSI-aQ und was zum schmunzeln ... ullibaer
ullibaer gelöscht_323936 „Hallo Ulli, die Rechnung in meinem Post ist original. Das ist eben eine echte Rechnungs-Mail von 1und1 im Gegensatz zu der ...“
Optionen

Hallo Anne,

die Rechnung in meinem Post ist original. Das ist eben eine echte Rechnungs-Mail von 1und1 im Gegensatz zu der von xafford .   Bei xafford sieht man ja auch das .zip im Anhang und bei mir ist es wie üblich .pdf.

Hatte ich wohl übersehen, wegen Schlafmangel.

Der Text in der Viren-Mail sieht aber im Vergleich gut gemacht wie original aus, bis auf das Fehlen der "persönlichen Ansprache im Text" (s. Startbeitrag). Und das finde ich eben so gefährlich, weil es so zum "üblichen Zeug" gehört, das man auch mal nicht so genau anguckt, Anhang speichert oder irgendwann sogar öffnet.

Ja das stimmt allerdings.

Dazu passt auch:

Popcorn Time Ramsonware.

http://www.pc-magazin.de/news/popcorn-time-trojaner-ransomware-gratis-entschluesselung-code-referral-system-3197194.html

Ne gaaaaanz fiese Masche.

Oder Cerber-Ramsonware

http://winfuture.de/news,95432.html

Gruß Ulli

bei Antwort benachrichtigen
Na Ulli, der erste Link von Dir ist ja mal wieder eine Erinnerung an alte Zeiten. Meine Freunde und ich haben die ... gelöscht_323936
Viele. Und das ist auch OK, wenn man weiß, woher die Mail kommt. Und dass in diesem Zusammenhang eigentlich nur PDF in ... mawe2
Ich klick ja nicht auf den Link in der Mail. ObelixSB
Und genauso wenig würdest Du eine ZIP-Datei öffnen und die darin enthaltene EXE ausführen! Ich will damit sagen: Wer ... mawe2
Deswegen verwenden seriöse und auf Sicherheit bedachte Unternehmen auch die Formulierung, der Empfänger der Mail möge ... dalai
Und trotzdem können die Phisher das anders machen... Das ist definitiv so. Immer, wenn etwas bequemer wird, wird es ... mawe2
Ja, aber wenn alle Unternehmen so vorgehen würden, müssten sich die Phisher und andere Kriminelle andere Wege suchen, ... dalai
Wer sich das nötige Wissen nicht beschafft, wird immer wieder zum Opfer werden. Siehe den Hinweis von Anne0709 auf den ... mawe2
Ich mache es einfach mal kurz, bitte leitet eure liebe Phishing und Spampost wo so ein kleiner Nervengeist nur darauf ... XAR61
Dieser Beitrag ist gelöscht. fishermans-friend
Wie umsichtig, so einen Link scharf in ein Forum einzustellen... gelöscht_323936
Es muss aber auch gesagt werden, dass 1 1 nur am Monatsende seine Rechnungen verschickt. bei mir jedenfalls seit Jahren Wer ... luttyy
Seit 3,5 Jahren immer entweder am 26. oder am 27. eines Monats. Das muss zwar nicht immer so bleiben, gibt aber eine ... shrek3
Das Hilft nun aber auch nicht groß beim Erkennen wenn die Mailware auch zum Monatsende kommt. Maileingang am Monatsende ... Borlander
Das war ja auch nicht damit gemeint. Ich habe ja geschrieben, wenn so ein Teil irgendwann im Monat rein flattert, ist das ... luttyy
Alles viel zu kompliziert und viel zu unsicher... Eine Mailübermittlung kann auch mal verzögert ablaufen egal aus ... mawe2
Ich sehe da überhaupt keinerlei Probleme. 1 1 schickt mir eine Rechnung mit persönlicher Ansprache und weiter unten steht ... luttyy
Und das passiert natürlich nie, wenn Daten von 1 1 kopiert und missbraucht wurden... Ehrlich: Sowas mag vielleicht ein ... dalai
Ich mache mir da überhaupt keinen Kopf! Wenn absolut nichts mehr geht, meine aktuellen Spiegelungen gehen immer... Gruß luttyy
Das ist zwar im ersten Moment sicher eine gute Option. Wenn die Adresse aber erstmal hinreichend oft weitergereicht wurde, ... mawe2