Gefälschte Rechnungen von (angeblich) 1&1 unterwegs!
Aktuell geht eine Welle gefälschter Rechnungen durch das Internet. Als Absender ist 1&1 angegeben, von wo sie aber nicht kommen! Ich habe heute Morgen eine bekommen und wäre sogar drauf reingefallen.
So sieht diese Mail aus:
(Screenshot aus kmail)
Diese Mail landete bei mir im Spamverdachtsordner, markiert als “Vermutlich Spam”. Von dort habe ich sie als “Nicht-Spam” markiert und in meinen normalen Posteingang verschoben. Die Summe 59,99 Euro entsprach in ungefähr einer Drei-Monats-Abrechnung. Was natürlich nicht hinkommt, denn 59,99/3 ist? Genau, eine gebrochene Zahl. Aber da ich eine Rechnung von 1&1 erwartete, war mein Blick getrübt. Daher ist mir auch nicht aufgefallen, dass diese Mail an eine Adresse von mir ging, bei der eigentlich gar keine 1&1-Rechnungen ankommen dürften. Aber wie gesagt, getrübter Blick… Die Aufmachung der Fälschung war ja auch fast perfekt, so dass ich sogar das Rechnung.pdf.exe übersehen habe.
Erst Dank Dr. Web habe ich die Fälschung überhaupt bemerkt.
Ok, spätestens der Versuch, die EXE unter Linux zu öffnen, hätte mich wohl aufmerksam werden lassen, aber was hätte ich als Windowsuser getan? Also das mal kurzerhand ausprobiert. Für diesen Zweck habe ich mir eine virtuelle Maschine (vmware) von WindowsXP geklont und die Rechnung.pdf.exe da hineinkopiert.
An dieser Stelle meldete sich der Virenscanner:
(Avira AntiVir PersonalEdition Classic)
Was wäre aber ohne Virenscanner passiert? Also alle Netzwerkverbindungen der virtuellen Maschine gekappt und die Datei gestartet.
Das geschah:
Und an dieser Stelle wäre es für den Windows-User zu spät gewesen!
Man sagt ja, 95% aller Computerfehler sitzen davor. Bei mir hätte es hier fast geklappt. “Gerettet” haben mich nur noch der Virenscanner und Linux. Aber auch für den Windowsuser dürfte kein Schaden entstehen, wenn er mindestens seinen Scanner aktuell hält (Was noch keine Garantie für einen Fund ist) und den Kopf vorher einschaltet. Wie man aber an mir sieht, klappt Letzteres nicht immer. 
Ich habe die Datei mal zu virustotal.com hochgeladen.
Das ist das Ergebnis:
(Screenshot nach dem Scannen von virustotal.com)
PS: Die infizierte virtuelle Maschine habe ich nach Gebrauch gelöscht.
UPDATE:
Bericht bei heise online
21 Reaktionen
Von Monrose am 7. Jan 2007 um 10:51 Uhr
Danke für den hinweis, bei mir ist diese Mail auch angekommen.
Von Paule am 7. Jan 2007 um 11:18 Uhr
Diesmal mag dich Linux und das “.exe” noch gerettet haben, Bufferoverflowlücken funktionieren aber prinzipiell überall. Lieber mal bei 1und1 beschweren, dass die es nicht schaffen, ihre Rechnungen zu signieren.
Von Alex Winter am 7. Jan 2007 um 12:59 Uhr
Mich hat sie letzte Nacht beinahe kalt erwischt. Ich bin Kunde bei 1&1 und die erste Fakemail ist sogar im richtigen Postfach eingegangen. Auch hat der Virenscanner sie nicht markiert – obwohl der drei Stunden zuvor aktualisiert worden war. Erst die darauffolgenden Exemplare wurden von ihm erkannt und er hat sie bereinigt.
Indes sind meine Reflexe so ausgelegt, dass ich “absolut nie” gedankenlos auf einen Dateianhang klicke. Was mich sofort stutzig werden ließ war, dass der “Rechnungsbetrag” schon im Anschreiben vermerkt war. Klar – er war sowieso zu hoch und sollte wohl um sofortigen Anklicken animieren. Ich habe zwar erst vor einigen Tagen eine Rechnung von 1&1 erhalten. Da ich aber andererseits einige Angebote gekündigt hatte, habe ich durchaus noch mit einer Abschlussrechnung zu rechnen. Aber auch der Hinweis, dass es sich bei dem Anhang um eine “pdf-exe”-Datei handele, löste bei mir Verwunderung aus. Danach habe ich mir die Mail mal genauer angesehen. 1&1 verwendet zum einen andere Betreffs, andere E-Mail-Absender und auch andere Namen für die angehängten Rechnungen, die natürlich nicht als Exe-Datei versendet werden. Schließlich konnte ich erkennen, dass die Mail ursprünglich über die Turk Telecom versendet worden war. Danach habe ich mich von der Mail nebst Anhang getrennt.
Im Folgenden gingen dann noch ca. 10 dieser “Rechnungen” auf anderen Mailkonten bei mir ein, so dass bereits von daher zu erkennen war, dass sie keine echten Rechnungen von 1&1 sein konnten. Aber die erste Mail -ausgerechnet auch noch an die richtige E-Mail-Adresse- war schon heavy. Beim genauen Hinsehen konnte man allerdings so viele Ungereimtheiten ausmachen, dass es eigentlich klar sein musste, dass es keine echte Rechnung war.
Was lehrt uns das? Erst denken, dann klicken.
Von wurzelkitt am 7. Jan 2007 um 13:00 Uhr
Nichts als Admin zu arbeiten hatte schon immer seinen Sinn. Da haette es auch keinen Virenscanner gebraucht.
Von tiefimwesten am 7. Jan 2007 um 13:01 Uhr
Hallo!
Liest Du an Dich gerichtete Mails nicht mehr??? Im Text steht doch schon drin was passieren wird! .
Zum entfernen des Schädlings wirst Du allerdings ein zusätzliches Programm benötigen.
Herzliche Grüße
tiefimwesten
Von sn0rt am 7. Jan 2007 um 13:39 Uhr
Es gibt ja tatsaechlich jemanden, der _freiwillig_ HTML eMails benutzt *sigh* Ich hab die eMail uebrigens auch bekommen. Als ich nur den Satz ‘Ihre Rechnung finden Sie als Anhang im PDF-EXE-Format’ gelesen hab, war schon alles klar.
Von Wiesel am 7. Jan 2007 um 14:27 Uhr
Habe die E-Mail auch erhalten, danke für den Hinweis!
Von Olaf Kerner am 7. Jan 2007 um 16:05 Uhr
Danke für die Vorwarnung. Die Email habe ich noch nicht erhalten.
Von Kristof am 7. Jan 2007 um 17:31 Uhr
Die pdf.exe-Nummer ist doch mitlerweile ein gaaaanz alter Hut… Das einzige was sich hin und wieder ändert, ist die “Hutnadel”, sprich der Inhalt der Mail. Es verwundert mich doch sehr, dass noch so viele Anwender auf diesen “Trick” hereinfallen.
Von Andreas am 7. Jan 2007 um 20:59 Uhr
Den Anhang als “PDF-EXE”-Format in der Mail anzukündigen ist wirklich so dreist, dass es klappt. Der Durchschnitts-DAU wird drauf reingefallen sein.
Von Kristof am 7. Jan 2007 um 22:38 Uhr
Muss ich mir merken, für den Fall, dass ich auch mal “was für’s Ego” brauche…
Von Robert am 8. Jan 2007 um 08:26 Uhr
Irgendwie tun mir die User leid, die keine Ahnung haben was die Dateiendung EXE überhaupt bedeutet. Von wo sollen sie es auch wissen, wenn im Windows Explorer die Dateiendungen per default ausgeblendet werden…
Von scyllo am 16. Jan 2007 um 11:30 Uhr
Hi!
Was mich wundert ist folgendes:
In einer Warnmail von 1&1, die mich mich auf diese gefälschten Rechnungen hinweist, ist zu lesen, dass die Mails von dem gefälschten Absender rechnungsstelle@1und1.de stammen….
Allerdings sind alle (regulären!) Rechnungen, die ich bis dato erhalten habe von rechnungsstelle@1und1.de ….
Was soll folglich daran gefälscht sein?
Gruß,
scyllo
Von Woschod am 16. Jan 2007 um 15:39 Uhr
Na diese Absender ist gefälscht. Wenn ich Dir einen nachgemalten Picasso verkaufe, ist das ja auch ein “gefälschter Picasso”, selbst wenn er aussieht wie das Original.
Von Wurstsuppe am 26. Jan 2007 um 14:33 Uhr
So mich hat er erwischt. Wer kann mir nun einen Tip geben
wie ich den Mist wieder loswerde ?
Von Woschod am 26. Jan 2007 um 14:38 Uhr
Es gibt nur einen sinvollen Tipp: Festplatten formatieren, System neu aufspielen, Backup einspielen.
Notfalls über eine saubere Notfall-CD einen Virenscanner auf das System loslassen.
Von Caspar am 12. Feb 2007 um 11:14 Uhr
@scyllo: Der Absender einer Email kann beliebig eingestellt werden, und ist damit keine Garantie für die Echtheit der Email.
Von Fake12345 am 7. Jul 2010 um 13:29 Uhr
Wiedern neu Fake Rechungen unterwegs. Habe eine Rechungen von einer spanischen Telefonfirma erhalten.Die Rufnummer auf dem Schreiben gibt es gar nicht. Es ist alles auf spanische geschrieben und sollte 79,25 Euro zahlen, da angeblich von meinem konto abgebucht wurde. Ist aber nie passiert. Auf Anfrage beim verbraucherschutz ist diese Firma bekannt und wird wohl mit Adressen von deutschen Urlaubern versorgt. Tipp der Verbraucherzentrale: Brief zurücksenden mit Empfänger unbekannt. Weiter nicht reagieren. Die verbraucherzentrale sagte mir, das die Adressen evtl noch weiter verkauft wurden und weitere Rechungen folgen könnten. Auch hier das gleiche Schema.
LG
Fake 12345