Achtung vor E-Mails mit Zahlungsaufforderungen!

Heute habe ich eine E-Mail erhalten, in der angeblich 565,- EUR zu zahlen habe. Ich war etwas verwundert, denn normalerweise wird solcher Spam/Scam eigentlich durch den Spam- und Virenfilter aussortiert. Wie auch immer es diese Mail zu mir geschafft hat, schauen wir uns diese mal etwas genauer an.

Zunächst fällt auf, dass die Firma eine GmbH und AG in einem sind 🙂 Siehe (1) und auch direkt von der Vorstandsdame „Selina Winter“ geschickt wurde (2 + 3). Da sieht man gleich, dort werden die Mahnungen noch vom Vorstand selbst erledigt – wohl eher nicht 🙂

Als nächstes ist mir die Absenderadresse ins Auge gefallen, seltsame Domain für eine Firma aus Deutschland (4). Hier sollte bereits klar sein, die Mail ist nur ein Phishing-Versuch!

Bewegt man nun die Maus über den Link, wo ich mir ein doch so wichtiges Dokument anschauen soll (ohne zu klicken!), so stellt man fest, hier wird auf wieder eine andere Domain (topikterkini.com) verlinkt und das Dokument soll ein ZIP-Archiv sein (5)

Spätestens jetzt sollten ALLE Alarmlampen im Kopf angehen! Diese Mail sollte jetzt gelöscht werden, auch wenn die innere Neugier einen nicht in Ruhe lässt und man unbedingt wissen will, was in diesem Dokument steht.

Ich habe mir das ZIP-Archiv heruntergeladen (bitte nicht nachmachen!) und entpackt – es war eine Datei namens „D-055353643492701K0.com“ enhalten. Die Endung .COM ist genau wie die Endung .EXE eine ausführbare Datei und enthält natürlich kein Dokument. Zur weiteren Anlayse habe ich die Datei dann auf virustotal.com hochgeladen. Hier musste ich feststellen, dass es sich womöglich um einen sog. zero-day Angriff handelt. Das heißt, die Schadsoftware ist noch so neu, dass nur ein Bruchteil der Virenscanner am Markt, diese auch als Schadsoftware erkennen. In diesem Fall, haben lediglich 20 von 71 Scannern, die Datei als schädlich erkannt. Man sieht also, nur weil man einen Virenschutz installiert hat, ist man noch lange nicht geschützt.

Meist handelt es sich dabei um ein Versuch an Zahlungsinformationen wie Kreditkartendaten, Konto-PIN, PayPal-Accounts etc. zu erhalten. Die Datei aus der Mail von oben sieht aller Wahrscheinlichkeit nach einem Crypto-Trojaner aus, der die Festplatte verschlüsselt, sobald die Datei per Doppelklick gestartet wird. Entsprechende Hinweise habe ich Code der Datei vorfinden können.

 
Kommentar hinterlassen...

HTML: Sie können diese Tags nutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>