Mail enthält manipulierte Word-Datei oder lädt entsprechende Word-Datei über Verlinkung nach. Update 21.02.2019 – Nun auch als Mobilfunkrechnung für Februar 2019

Aktuell sind massenhaft gefälschte Telekom-Rechnungen per Mail im Umlauf. Die Täter nutzen wie so oft den typischen Zeitraum für den Versand echter Telefonrechnungen aus, um Ihre gefälschten Mails mit Schadsoftware im Gepäck zu verbreiten.

Hierbei werden die echten Rechnungsmails der Telekom ziemlich gut kopiert. Dennoch sind diese, nicht so wie die echten Mails persönlich, also mit Kundenname, Adresse und zugehöriger Buchungskontonummer versehen. Die Täter bauen aber weitere Informationen der Telekom (z.B. Werbung für die neue Sprach-ID bei der Telekom oder Hinweise auf gefälschte Rechnungen) mit ein.

Beispiel für die gefälschte Rechnung:

Im Anhang (siehe unterer Bildrand) ist bereits eine manipulierte Datei im Wordformat enthalten.

Ein Klick auf „RechnungOnline ansehen“ führt ebenfalls zum Download der gleichen Datei (siehe Bild weiter unten).

Kopierte Bereiche aus echten Rechnungsmails führen auch in den Fälschungen zu echten Telekomseiten:

Nach Klick auf Download wird die manipulierte Datei aus dem Netz geladen.

Eine Überprüfung der Datei in virustotal.com ergab, dass derzeit (12.02.2019, ca. 13:30 Uhr) nur 16 von 56 Antivirenprodukten die Gefahr erkennen.

Bei der gelieferten Schadsoftware handelt es sich um sogenannte Makroviren, die erst durch die Ausführung der Datei unter Microsoft Office (inkl. Ausführung von Makros) entsprechende Schadsoftware laden/ausführen. Öffnen Sie die Datei nicht auf Ihrem Computer.

Die angehängte Datei sollte dennoch nicht auf anderen Systemen ausgeführt werden. Inzwischen sind auch Sicherheitslücken in alternativen Office-System bekannt, die ggf. ebenfalls angreifbar sein könnten. (Siehe Beitrag bei heise.de). Da auch das Download-Ziel durch die Täter jederzeit verändert werden kann, ist nicht auszuschließen, dass auch andere Betriebssystem neben Windows früher oder später zum Ziel werden.

Wer bereits in die Falle getappt ist, sollte umgehend seinen Computer vom Netzwerk trennen, um nicht weitere System im gleichen Netzwerk zu infizieren. Antivirensoftware oder mögliche Zusatztool bei www.botfrei.de können ggf. noch helfen. Hierfür können wir aber keine Zusagen geben. Im schlimmsten Fall hilft nur eine Neuinstallation.

Zudem sollten Sie bei Ihrer örtlichen Polizeidienststelle Anzeige erstatten.

Sollten Sie sich bei Ihrer zugeschickten Rechnung nicht sicher sein, so fragen Sie persönlich bei Ihrem Provider nach. Folgen Sie aber keinen Links aus solchen Mails.

Besonders misstrauisch sollten Sie werden, wenn Sie die Mail auf einem anderen Mailaccount als sonst erhalten oder die Ihnen sonst typische Ansprache innerhalb der Mail nicht bekannt vorkommt. Vergleichen Sie auch die Mails mit vorherigen echten Rechnungen, bevor Sie unüberlegt handeln.

Update vom 21.02.2019:

Inzwischen kursieren auch angebliche Mobilfunkrechnungen.

Hier wird z.B. ein hoher Rechnungsbetrag behauptet und eine PDF-Datei als Anhang beigefügt. Zudem führt ein Link in der Mail zu einem Download eines Word-Dokumentes. Dieses Dokument lädt dann über die Makrofunktion die Schadsoftware „emotet“ nach.

Öffnet man die PDF, so sieht man zunächst eine einseitige Rechnungsübersicht, die jedoch keine kundespezifischen Daten enthält. In der PDF ist der gleiche Link enthalten, der auch bereits in der Mail eingefügt ist.

Auch für diese Variante gelten die gleichen Sicherheitstipps und Verhaltenshinweise wie oben beschrieben.