Im Moment gibt es eine Welle von gefälschten Benachrichtigungen per E-Mail, in denen vorgetäuscht wird, DHL könne ein Paket nicht zustellen. Die Besonderheit dieser E-Mails ist, dass sie echtes Adressmaterial enthalten. Das Layout ist zwar nicht gerade professionell, aber die Adressinformationen könnten darüber hinwegtäuschen.
Die E-Mail kommt als schlichte Text-E-Mail ohne besondere Gestaltung, lediglich ein DHL-Logo weist auf den Absender hin. Die Antwortadresse ist email hidden; JavaScript is required, die Absendeadresse aber die (möglicherweise sogar existierende) Adresse eines Kai G. bei t-online – sicher nicht der Urheber der E-Mail.
Der Text der E-Mail ist leidlich formuliert:
Empfänger Name: …
Sehr geehrter Kunde,
Aufgrund der Lieferungsinformation, die wir in unserem System haben, können wir Ihre Sendung leider nicht liefern.
Falls die folgende Adresse falsch ist, werden Sie gebeten mit dem beigefügten Luftfrachtbrief der Sendung zu verfolgen und an der richtige Adresse umzuleiten.
Lieferadresse:
…
Sobald wir die richtige Information haben, werden wir Ihre Sendung unverzüglich liefern.Vielen Dank für die Nutzung unserer Dienste.
DHL – GLOBAL
Die roten Punkte markieren Stellen, an denen ich Adressinformationen entfernt habe. Im konkreten Fall der mir vorliegenden E-Mail wurde die Firma unter „Empfänger“ mit einer veralteten Firmierung angesprochen, auch die genannte Lieferadresse war veraltet, ebenso wie die E-Mail-Adresse, an die diese Nachricht gerichtet war. Das deutet aber nur darauf hin, dass die Versender dieser E-Mail auf alte irgendwo gespeicherte Daten zurückgreifen. Wäre die besagte Firma nicht umgezogen und hätte die Firmierung geändert, hätten die Daten genau gepasst – mit Ausnahme der Hausnummer, deren letzte Ziffer wiederholt wurde. Das wäre der Adressfehler, aufgrund dessen die Zustellung nicht gelungen ist.
Der Anhang der E-Mail ist eine einfache exe-Datei namens Luftfrachtbrief-084665313. Wenn ein Windows-System noch die unverantwortliche Standardeinstellung aufweist, dass Dateiendungen ausgeblendet werden, sieht man nicht, dass es sich um eine exe-Datei handelt, also ein ausführbares Programm.
Lesen Sie, wie man diese unsichere Windows-Standardeinstellung ändert.
Die Datei ist natürlich ein Trojaner, 20 der derzeit von virustotal.com verwendeten 57 Scanner erkennen dies bereits.
Öffnen Sie also keinesfalls solche E-Mail-Anhänge!