Home  Kontakt  Impressum und Datenschutz 

Massenhaft gefälschte Rechnungen im Namen echter Firmen im Umlauf  vom 16.12.2016

Beigefügter Rechnungslink führt zu Schadsoftware

© H.-J. Henschel/LKA NI

Aktuell ist eine enorme Spam-Welle im Umlauf, die die Mailempfänger mit gefälschten Rechnungen verunsichert.

Zahlreiche Mailempfänger, aber auch Inhaber der Firmen, deren Namen für den Mailversand missbraucht werden, kontaktierten uns per Mail und Telefon, um um Rat zu Fragen oder um auf die Masche hinzuweisen.

Die Cyberkriminellen benutzen als Firmenname im Briefkopf der Rechnung tatsächlich existierende Firmen aus ganz Deutschland. Hier werden Namen von  Bauunternehmen, Handwerksbetrieben, Ingenieurbüros, Steuerkanzleien usw. benutzt, um die Rechnung echt wirken zu lassen. Auch die hinterlegten Kontaktdaten der Firmen sind weitestgehends korrekt.

Weiterhin greifen die Täter auf Adressdaten der Mailempfänger zu, die ebenfalls nahezu aktuell sind. So werden die Empfänger zusätzlich verunsichert und verleitet einen beigefügten Link zum Download der Rechnung auszuführen.

Die Rechnungsinhalte beziehen sich in unseren bisherigen Beispielen um angebliche Käufe von Hard- und/oder Softwareprodukten im Wert von mehreren tausenden Euro.

Der Betreff der Mails lautete z.B. "Kalkulation", "Faktur", "Bilanz", "Kalkül", "Rechnung" oder "Rechexempel".

Die Inhalte dieser Rechnungen sind jedoch gefälscht. Es gab keine solchen Bestellungen oder Käufe. Die Täter wollen lediglich, dass die Empfänger auf den Link klicken, der dann zu einem Download von Schadosoftware (Trojaner) führt. Klicken Sie unter keinen Umständen auf den Link oder öffnen Sie keine Dateien aus dem Anhang (wenn vorhanden).

Sie können diese Mail einfach löschen! Eine Kontaktaufnahme zu den Firmen ist nicht notwendig. Teilweise warnen diese bereits auf den eigenen Internetseiten vor der Gefahr.

Sollten Sie bereits in die Falle der Täter getappt sein, so sollten Sie Ihren Computer mit einer aktuellen Antivirensoftware auf Schadsoftware ausführlich prüfen. Zusätzlich können Sie für Windows den PC-Cleaner oder EU-Cleaner von Opens external link in new windowwww.botfrei.de nutzen. Weiter Tools für andere Betriebssysteme sind dort ebenfalls zum Teil vorhanden. Weitere Tipps finden Sie Initiates file downloadhier.

In der Vergangenheit hat sich die Schadsoftware, die die Täter verbreitet haben, in der Regel auf Windowsrechner beschränkt. Andere Betriebsysteme (auch mobile) waren bisher weniger das Angriffsziel. Über Downloadlinks lassen sich möglicherweise aber auch andere Endgeräte angehen, so dass hier bei jedem "Computersystem" aufgepasst werden sollte.

Unsere Kollegen haben den Download einmal ausgeführt. Hier wurde zunächst eine .scr-Datei ausgeführt, welche eine .rtf-Datei (als Rechnugsdokument, jedoch blanko) öffnete. Im Hintergrund wurde jedoch eine Verbindung zum Tor-Netzwerk aufgebaute und gehalten. Kurz darauf wurde eine Meldung (siehe unten) auf dem Bildschirm angezeigt. Die getestete Downloadvariante betraf hier ein Windowssystem. Unter Android oder iOS kommt die Fehlermeldung "Content wird nicht unterstützt" und unter MacOS oder Linux wird der Download der Windowsdatei gestartet.

Muster einer Rechnung (bereits anonymisiert):

Initiates file download

Sperrbildschirm der Ransomware, die den Rechner verschlüsselt hat und Lösegeld erpresst:

Initiates file download




Weitere Meldungen

11.01.2017 07:10

Gefälschte Rechnungen mit Schadsoftware im Anhang

Massenhafter Mailversand unter Nutzung persönlicher Adressdaten


23.12.2016 06:23

Frohe Weihnachten 2016

und wichtige Hinweise für den Silvestereinkauf!


22.12.2016 06:27

Warnung von Payback

Hinweis auf Phishingmails


21.12.2016 05:57

Epresserschreiben per Mail

Drohung mit Weitergabe von Daten an Strafverfolgungsbehörden


07.12.2016 05:35

Neuer Verschlüsselungstrojaner als Bewerbung getarnt

Goldeneye verbreitet sich massenhaft


Regionale Termine

Momentan keine Einträge