Die Falle steckt in einem Word-Dokument

Phishing: Gefälschte Telekom-Rechnung mit Trojaner-Download

Von | 6. Februar 2019, 14:57

Der Anfang des Monats ist immer die Zeit, in der Betrüger gefälschte Rechnungen auf den Weg schicken, wie auch in diesem Falle.

Jene optisch echt aussehende Telekom-Rechnung finden viele Nutzer in ihrem Email-Postfächern:

Screenshot: mimikama.at

Screenshot: mimikama.at

Guten Morgen,

für Buchungskonto 1354271876 erhalten Sie mit dieser E-Mail Ihre aktuelle Rechnung.

Freundliche Grüße
Ihre Telekom

Von der nicht vorhandenen namentlichen Anrede mal abgesehen, ist es schon sehr skurril, dass in dieser Phishing-Mail gleichzeitig vor gefälschten Rechnungen gewarnt wird: Die Betrüger warnen vor sich selbst!

Klickt man nun auf dewn Link, um sie die Rechnung online anzusehen, soll man ein Word-Dokument herunterladen:

Screenshot: mimikama.at

Screenshot: mimikama.at

Solange man es nur herunterlädt und nicht öffnet, ist noch alles gut. Doch möchte man als Nutzer natürlich sehen, was in der vermeintlichen Rechnung steht.

Screenshot: mimikama.at

Screenshot: mimikama.at

Dort findet sich eine Bild, welches den Anschein erweckt, ein Hinweis von Microsoft Office zu sein, dass die Datei mit einer älteren Version von Word erstellt wurde, weswegen man erst die Bearbeitung und dann die enthaltenen Makros aktivieren müsse.
An diesem Punkt schnappt die Falle dann zu!

Durch die Aktivierung der enthaltenen Makros wird nämlich die Attacke ausgelöst:
In dem Dokument befinden sich Skripte, die im Hintergrund einige Trojaner und Malware auf den PC herunterladen und installieren. Für den Nutzer ist dieser Vorgang nicht sichtbar, er sieht weiterhin nur das Bilddokument und glaubt wahrscheinlich, dass etwas mit seinem Word nicht stimmt.

Nutzer von Open Office und Libre-Office dürften vor solchen Schadscripten sicher sein, da Scripte in diesen Programmen anders funktionieren als in Word. Dies ist allerdings keine hundertprozentige Garantie.

An dieser Stelle warnte uns dann auch Kaspersky vor den schädlichen Scripten, stoppte die Ausführung dieser, schloss Word und löschte die Datei.

Screenshot: mimikama.at

Screenshot: mimikama.at

Fazit

Auch wenn eine Mail sehr echt aussieht, ist es ratsam, auch bei dem kleinsten Zweifel immer sich direkt auf der Seite eines Unternehmens einzuloggen und niemals einen Link in einer dubiosen Mail anzuklicken.

 

 

- Wir brauchen deine Unterstützung -
An alle unsere Leserinnen und Leser! Wir haben keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten offen halten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben
. Hier kannst Du unterstützen: via
PayPal und Steady
- Werbung -
- Werbung -