Beigefügter Rechnungslink führt zu Schadsoftware
Aktuell ist eine enorme Spam-Welle im Umlauf, die die Mailempfänger mit gefälschten Rechnungen verunsichert.
Zahlreiche Mailempfänger, aber auch Inhaber der Firmen, deren Namen für den Mailversand missbraucht werden, kontaktierten uns per Mail und Telefon, um um Rat zu Fragen oder um auf die Masche hinzuweisen.
Die Cyberkriminellen benutzen als Firmenname im Briefkopf der Rechnung tatsächlich existierende Firmen aus ganz Deutschland. Hier werden Namen von Bauunternehmen, Handwerksbetrieben, Ingenieurbüros, Steuerkanzleien usw. benutzt, um die Rechnung echt wirken zu lassen. Auch die hinterlegten Kontaktdaten der Firmen sind weitestgehends korrekt.
Weiterhin greifen die Täter auf Adressdaten der Mailempfänger zu, die ebenfalls nahezu aktuell sind. So werden die Empfänger zusätzlich verunsichert und verleitet einen beigefügten Link zum Download der Rechnung auszuführen.
Die Rechnungsinhalte beziehen sich in unseren bisherigen Beispielen um angebliche Käufe von Hard- und/oder Softwareprodukten im Wert von mehreren tausenden Euro.
Der Betreff der Mails lautete z.B. „Kalkulation“, „Faktur“, „Bilanz“, „Kalkül“, „Rechnung“ oder „Rechexempel“.
Die Inhalte dieser Rechnungen sind jedoch gefälscht. Es gab keine solchen Bestellungen oder Käufe. Die Täter wollen lediglich, dass die Empfänger auf den Link klicken, der dann zu einem Download von Schadosoftware (Trojaner) führt. Klicken Sie unter keinen Umständen auf den Link oder öffnen Sie keine Dateien aus dem Anhang (wenn vorhanden).
Sie können diese Mail einfach löschen! Eine Kontaktaufnahme zu den Firmen ist nicht notwendig. Teilweise warnen diese bereits auf den eigenen Internetseiten vor der Gefahr.
Sollten Sie bereits in die Falle der Täter getappt sein, so sollten Sie Ihren Computer mit einer aktuellen Antivirensoftware auf Schadsoftware ausführlich prüfen. Zusätzlich können Sie für Windows den PC-Cleaner oder EU-Cleaner von www.botfrei.de nutzen. Weiter Tools für andere Betriebssysteme sind dort ebenfalls zum Teil vorhanden. Weitere Tipps finden Sie hier.
In der Vergangenheit hat sich die Schadsoftware, die die Täter verbreitet haben, in der Regel auf Windowsrechner beschränkt. Andere Betriebsysteme (auch mobile) waren bisher weniger das Angriffsziel. Über Downloadlinks lassen sich möglicherweise aber auch andere Endgeräte angehen, so dass hier bei jedem „Computersystem“ aufgepasst werden sollte.
Unsere Kollegen haben den Download einmal ausgeführt. Hier wurde zunächst eine .scr-Datei ausgeführt, welche eine .rtf-Datei (als Rechnugsdokument, jedoch blanko) öffnete. Im Hintergrund wurde jedoch eine Verbindung zum Tor-Netzwerk aufgebaute und gehalten. Kurz darauf wurde eine Meldung (siehe unten) auf dem Bildschirm angezeigt. Die getestete Downloadvariante betraf hier ein Windowssystem. Unter Android oder iOS kommt die Fehlermeldung „Content wird nicht unterstützt“ und unter MacOS oder Linux wird der Download der Windowsdatei gestartet.
Muster einer Rechnung (bereits anonymisiert):
Sperrbildschirm der Ransomware, die den Rechner verschlüsselt hat und Lösegeld erpresst: