Gefälschte Rechnungen mit Schadsoftware im Anhang

HINWEIS: Dieser Artikel wurde vor über einem Jahr veröffentlicht. Daher kann es sein, dass Links und Bildbeispiele teilweise nicht mehr aktuell sind bzw. von uns oder dem Anbieter entfernt wurden. Aktuelle Updates werden hier mit Datum kenntlich gemacht.

Massenhafter Mailversand unter Nutzung persönlicher Adressdaten

Eine Bedrohung, die bereits die letzten Jahre massiv im Umlauf war, ist aktuell immer noch massenhaft per Mail im Netz unterwegs.

Mehrfach haben wir, insbesondere 2016, vor dieser Gefahr gewarnt und leider wird immer noch zu oft auf den beigefügten Anhang geklickt.

DIe Cyberkriminellen verschicken unter der Nutzung verschiedenster Namen von angeblichen und zum Teil auch real existierenden Firmen und Zahldiensten angebliche Rechnungen.
Hierbei ist das Grundmuster dieser Mails nahezu immer gleich:

Als Absender sind Firmen wie

Giropay
Giro Pay 24
Giro Pay 24 GmbH
Rechtsanwalt Bank Payment AG
Rechtsanwalt Amazon GmbH
Directpay GmbH
Inkassoabteilung Mail & Media AG
Rechtsanwalt Mail&Media AG
Rechnungsstelle Pay Online24 GmbH
Online24 Pay AG
Online Pay GmbH
GiroPay AG
Directpay
Paydirect
OnlinePayment AG
Online Payment GmbH
PayOnline
Bank-Pay AG
Direktpay24
Mail & Media AG
Amazon AG
Amazon GmbH

und viele mehr…

angegeben. Hier nutzen die Täter oft leider auch Namen von Firmen, die tatsächlich existieren. Somit werden deren Namen von den Tätern missbraucht.

In den Mails wird behauptet, dass es um Zahlungen, Rechnungen, Lastschriften usw. in Verbindung mit z.B. der Mail & Media AG, aber auch amazon und anderen Diensten gehen würde. Als Betreff finden sich u.a. nachfolgende Zeilen wieder:

Automatische Lastschrift konnte nicht vorgenommen werden
Rechnung für Bestellung Nr. …
Rechnung zur Bestellung
Die Automatische Kontoabbuchung von Mail & Media konnte nicht vorgenommen werden
Rechnung noch offen Nr. …
Rechnung für [echter Empfänger-Name] noch offen
Rechnung für [echter Empfänger-Name]
Die automatische Konto-Lastschrift konnte nicht gebucht werden
Ihr gespeichertes Girokonto ist nicht hinreichend gedeckt
Lastschrift konnte nicht vorgenommen werden
unbeglichene Rechnung
Kontolastschrift Nr. … konnte nicht durchgeführt werden
Rechnung zur Bestellung
und viele Varianten mehr….

Die Mailempfänger werden persönlich angesprochen. Hier nutzen die Täter Datensätze aus Hacks von Firmen, Phishingmails, Gewinnspielen und mehr. Unsere Besucher geben an, dass diese Daten in der Regel stimmen (Name, Adresse, Telefonnummer). Zum Teil sollen die Daten auch veraltet sein.

Eine dringende Begleichung der Rechnug sei, so der Mailinhalt, notwendig.

Alles weitere sei im beigfügten Anhang zu finden. Dieser ist in der Regel eine ZIP-Datei, die ungefähr diesen Aufbau hat:

[echter Empfänger-Name].zip
Datum [echter Empfänger-Name].zip
andere Varianten wie Rechnung Nr. … zip oder Dateitypen wir .doc oder .pdf sind denkbar.

Unterschrieben sind die Mails von angeblichen Rechtsanwälten oder Inkassodiensten (zum Teil in Verbindung mit den oben genannten Firmennamen).
Wichtig ist, dass diese Mail von der Aussage her komplett gefälscht sind. Die Inhalte sind frei erfunden! Es gibt keine entsprechenden Käufe oder Verträge, die nun bezahlt werden müssten. Den Tätern geht es hierbei lediglich darum, dass der Empfänger in voller Sorge und Angst den beigefügten Anhang ausführt. Dieser Anhang beinhaltet jedoch gefährliche Schadsoftware. Der Anhang sollte unter keinen Umständen geöffnet und ausgeführt werden!
Sollten Sie bereits den Anhang ausgeführt haben, werden Sie sehr wahrscheinlich zunächst nichts bemerken. Sie werden denken, dass der Anhang wohl defekt sei. Tatsächlich wird bereits im Hintergrund die Schadsoftware aktiv und kann u.a. Ihren Computer sperren ( Ransomware), diesen als Botnetz-Rechner missbrauchen und/oder Zugangsdaten und weitere sensible Daten ausspionieren/manipulieren (z.B. Onlinebanking, Soz. Netzwerke, Maildienste, Onlineshopping…).

Bisher haben es die Täter vermehrt auf Windowsrechner abgesehen. Andere Betriebssysteme sind in der Regel nicht betroffen. Wer also die ZIP-Datei auf seinem iPhone oder Android-Smartphone geöffnet hat, hat sehr wahrscheinlich Glück gehabt. Die Bedrohung für andere Betriebssysteme ist jedoch gegeben und somit sollte man die Regel verinnerlichen, keine Anhänge oder Links aus Mails (Messengernachrichten, Chats…) zu öffnen, die man nicht kennt oder nicht erwartet! Erste Hilfe für Android-Geräte finden Sie bei botfrei.de. iOS/MacOS-Geräte und Linux sind derzeit nur gering bis gar nicht betroffen.

Personen, die die Anhänge angeklickt haben und somit sehr wahrscheinlich Ihr Windows infiziert haben, sollten unbedingt den Rechner vom Internet trennen. Nutzen Sie Ihr Antivirenprogramm und scannen Sie ausführlich Ihr System. Sollte ein entsprechender Fund und Report generiert werden, so drucken Sie dieses für eine Anzeigenerstattung bei Ihrer örtlichen Polizei aus.

Zudem stehen Ihnen unter www.botfrei.de weitere Scanner (z.B. PC-Cleaner, EU-Cleaner) zur Verfügung!

Nutzen Sie an dem infizierten Computer vorerst keine sensiblen Dienste (Onlinebanking, Onlineshopping, Soz. Netzwerke, Mail, sonstige Logins…), da hier die Gefahr besteht, dass die Schadsoftware hier die Zugangsdaten ausspioniert oder weitere Daten manipuliert. Sollten Sie solche Dienste benutzt haben, raten wir dazu, die Zugangsdaten auf einem sauberen Computer zu ändern.

Ein Übersicht über erste Maßnahmen finden Sie auch hier bei uns.

Ich habe auf die Mail geantwortet!

Dies ist nicht notwendig und sollte sogar unterlassen werden, da hier entweder die Mail an die Täter zurückgeht, was somit Ihre Existenz bestätigt und Sie somit wertvoller für die Täter werden oder weil die Täter Adressen von echten Firmen nutzen, die nun mit wütenden Beschwerden oder Anfragen überschwemmt werden. Alternativ kann eine Mail auch ins Leere laufen. Sie brauchen auch keinen Anwalt in dieser Angelegenheit bemühen.

Woher haben die Täter meine richtigen Adressdaten?

Wir werden immer wieder gefragt, woher die Täter an die postalischen Adressen in den Mails kommen. Die Täter nutzen diese Daten, um die Mails echter wirken zu lassen. Die Empfänger fühlen sich persönlich angesprochen und bekommen somit mehr Sorge um eine mögliche Rechnung. Ein Klick auf den verseuchten Anhang ist somit noch schneller durchgeführt.

Woher die Täter diese Daten haben können wir leider auch nicht konkret beantworten. Hier gibt es verschiedene Möglichkeiten. Diese Daten können aus Phishingvorfällen stammen, von mit Schadsoftware manipulierten Rechnern (z.B. auch von veralteten Rechnern mit XP) oder von Dienstleistern, deren Datenbanken gehackt wurden. Immer wieder bekommt man über die Medien mit, dass millionenfach Kundendaten von Anbietern wie z.B. Yahoo durch Cyberkriminelle gestohlen und zum Verkauf angeboten wurden.

Sie können folgende Infoseiten nutzen, um Ihre Mailadressen zu testen. Möglicherweise ist die Quelle dort schon bekannt. Sollte dies der Fall sein, sollten Sie Ihre Zugangsdaten beim betroffenen Dienst ändern.

sec.hpi.uni-potsdam.de/leak-checker/searchoder

auf einer US-Seite: haveibeenpwned.com

Weiterhin sollten Sie folgende Maßnahmen dauerhaft beachten:

Erstellen Sie regelmäßig Backups Ihrer Systeme! Idealerweise auf abtrennbaren Datenträgern, die nur für die Backups am Rechner angeschlossen sind.

Nutzen Sie eine aktuelle Antivirensoftware, die u.a. auch das Surfen im Netz und den Mailverkehr überwacht. Scannen Sie auch regelmäßig Ihr System. Zudem sollte eine aktive Firewall Ihr System schützen.

Halten Sie Ihr Betriebssystem auf einem aktuellen Stand. (Windows XP wird z.B. seit längerer Zeit nicht mehr unterstützt). Gleiches gilt auch für die genutzten Programme (Office, Browser, PDF-Viewer…).

Nutzen Sie für jeden Internetdienst ein eigenes sicheres Passwort! Passwörter dürfen niemals mehrfach verwendet werden!

RATGEBER INTERNETKRIMINALITÄT

Ähnliche Beiträge: