Dieser Artikel ist eigentlich bereits über ein Jahr alt, aber immer noch aktuell, wie die Zugriffszahlen belegen. Darüber hinaus kommen die E-Mails mittlerweile mit umfassender Personalisierung, in ihnen stehen nicht nur die echten Namen der Adressaten, sondern sogar Adressdaten, die in manchen Fällen allerdings veraltet sind. Grund genug, den Artikel zu überarbeiten und mit aktualisiertem Datum neu zu veröffentlichen.
28. Mai 2018: In den letzten Tagen habe ich wieder einige personalisierte Mails des hier beschriebenen Typs bekommen, behaupteter Absender ist eine OnlinePayment Limited & Co. KG (gibt es so eine Firmierung überhaupt in Deutschland?). Die Masche ist grundsätzlich unverändert, auch wenn es jetzt um Zahlungsverzug geht: doppeltes ZIP-Archiv mit COM-Datei darin, welches eine Schadsoftware ist.
Seit über einem Jahr kursieren E-Mails wie diese:
E-Mail mit ZIP-Datei: Behauptung, ein Girokonto sei nicht gedeckt.
Bei Betrachtung der E-Mail fällt zunächst auf, dass ein Rechtsanwalt sicher vollständige Adressdaten und wohl keine AOL-Adresse benutzen würde; darüber hinaus stimmen Unterzeichner und Inhaber der E-Mail nicht überein.
Der Anhang ist eine ZIP-Datei. Diese enthält ihrerseits wiederum eine weitere ZIP-Datei. Doppelt gepackte Archive können von Schadsoftwarescannern nicht untersucht werden, auf diese Weise hofft der Absender dieser E-Mail also, Schadsoftware auf dem Rechner installieren zu können, ohne dass der Virenscanner anschlägt.
In der zweiten ZIP-Datei befindet sich schließlich eine Datei mit dem Namen „Ausgleich 05.01.2015 – Rechtsanwalt Directpay GmbH.com“. Auf Windowssystemen, bei denen die unsichere Standard-Einstellung „Ausblendung bekannter Dateiendungen“ aktiv ist, wird die Endung „.com“ nicht angezeigt, die auf eine ausführbare Befehlsdatei (command) hinweist.
Es gibt wie üblich Varianten dieser E-Mail mit anderen Absende-Adressen, anderen darin genannten Summen und Ansprechpartnern. Grundsätzlich ist bei solchen E-Mails äußerste Vorsicht geboten.
Des weiteren sind die augenscheinlichen Absender sowie die in solchen Mails genannten Ansprechpartner und Firmen, die häufig tatsächlich existieren, praktisch nie für die E-Mails verantwortlich und wissen wohl in der Regel nichts davon, dass ihre Namen missbraucht werden.
Selbst nach über einem Jahr ist diese Masche immer noch aktuell. Neben „Direct Pay GmbH“ werden jetzt Firmennamen wie „Pay Online24 GmbH“ oder „Bank Payment AG“ und weitere Varianten verwendet, alles andere ist fast identisch.
Ich habe die Datei damals auf virustotal.com hochgeladen, und dort wurde sie von fünf der verfügbaren Scanner bereits beanstandet. Laut Symantecs Antivirus handelte es sich um eine Variante des Online-Banking Trojaners Zeus, einem der erfolgreichsten Online-Banking Schadprogramme der letzten Jahre. Diese Trojaner können Bankseiten von Hunderten von Banken weltweit im Browser überzeugend fälschen und gelangen so an wertvolle Bankinformationen wie Kontonummern usw. und können benutzt werden, um Überweisungen zu fälschen oder Konten zu plündern. Vor allem wegen dieser Programme gehört Online Banking nicht in den Browser.
Es ist allerdings wahrscheinlich, dass heute ganz andere Schadprogramme an den E-Mails hängen, zum Beispiel Erpressungstrojaner, die zurzeit eine Hochsaison erleben.
Löschen Sie diese oder ähnliche E-Mails, falls Sie sie erhalten, ohne die Anhänge zu öffnen.
„Nicht gedecktes Girokonto“ – genau so eine Mail habe ich heute bekommen (15.12.2015), sie wurde durch meinen Scanner in den Junk-Mail-Ordner verschoben und als unsicher geblockt. Deshalb bin ich ihr nur auf dem Smartphone auf den Leim gegangen, aber das öffnet keine Zip-Dateien (puhh….). Das ist schon eine ätzende Masche und noch so kurz vor Weihnachten! Danke für die Darstellung oben, die hat mich noch mehr beruhigt!
Dem Smartphone kann diese E-Mail auch nicht gefährlich werden, da es sich dabei um ein völlig anderes System handelt, auf dem die Schadsoftware gar nicht lauffähig wäre. Aber es ist schon erstaunlich, dass genau diese Spam-Kampagne nun schon bald ein Jahr ununterbrochen läuft. Der im Text genannte Firmenname führt bis heute eine große Anzahl Besucher auf meine Seite.
…. heute Mi. 6. Jan. 2015 schon wieder Mail mit obigem Text erhalten. Das geht jetzt ca. seit drei Wochen so. Ich glaubne bald reicht es mir und ich werde Anzeige erstatten. Je mehr Infos die Staatsanwalt dazu erhält, je eher finden sie den „Verursacher“.
„Nicht gedecktes Girokonto“ – genau so eine Mail habe ich heute bekommen (15.12.2015), sie wurde durch meinen Scanner in den Junk-Mail-Ordner verschoben und als unsicher geblockt. Deshalb bin ich ihr nur auf dem Smartphone auf den Leim gegangen, aber das öffnet keine Zip-Dateien (puhh….). Das ist schon eine ätzende Masche und noch so kurz vor Weihnachten! Danke für die Darstellung oben, die hat mich noch mehr beruhigt!
Dem Smartphone kann diese E-Mail auch nicht gefährlich werden, da es sich dabei um ein völlig anderes System handelt, auf dem die Schadsoftware gar nicht lauffähig wäre. Aber es ist schon erstaunlich, dass genau diese Spam-Kampagne nun schon bald ein Jahr ununterbrochen läuft. Der im Text genannte Firmenname führt bis heute eine große Anzahl Besucher auf meine Seite.
…. heute Mi. 6. Jan. 2015 schon wieder Mail mit obigem Text erhalten. Das geht jetzt ca. seit drei Wochen so. Ich glaubne bald reicht es mir und ich werde Anzeige erstatten. Je mehr Infos die Staatsanwalt dazu erhält, je eher finden sie den „Verursacher“.
habe ebenfalls eine solche mail erhalten, die Bank bestätigt mir keine versuchten Abbuchungen, die nicht bedient werden konnten. sofort löschen!!!