Die Falle steckt in einem Word-Dokument
Die Falle steckt in einem Word-Dokument

Der Anfang des Monats ist immer die Zeit, in der Betrüger gefälschte Rechnungen auf den Weg schicken, wie auch in diesem Falle.

- Sponsorenliebe | Werbung -

Jene optisch echt aussehende Telekom-Rechnung finden viele Nutzer in ihrem Email-Postfächern:

Screenshot: mimikama.at
Screenshot: mimikama.at

Guten Morgen,

für Buchungskonto 1354271876 erhalten Sie mit dieser E-Mail Ihre aktuelle Rechnung.

Freundliche Grüße
Ihre Telekom

Von der nicht vorhandenen namentlichen Anrede mal abgesehen, ist es schon sehr skurril, dass in dieser Phishing-Mail gleichzeitig vor gefälschten Rechnungen gewarnt wird: Die Betrüger warnen vor sich selbst!

Klickt man nun auf dewn Link, um sie die Rechnung online anzusehen, soll man ein Word-Dokument herunterladen:

Screenshot: mimikama.at
Screenshot: mimikama.at

Solange man es nur herunterlädt und nicht öffnet, ist noch alles gut. Doch möchte man als Nutzer natürlich sehen, was in der vermeintlichen Rechnung steht.

Screenshot: mimikama.at
Screenshot: mimikama.at

Dort findet sich eine Bild, welches den Anschein erweckt, ein Hinweis von Microsoft Office zu sein, dass die Datei mit einer älteren Version von Word erstellt wurde, weswegen man erst die Bearbeitung und dann die enthaltenen Makros aktivieren müsse.
An diesem Punkt schnappt die Falle dann zu!

Durch die Aktivierung der enthaltenen Makros wird nämlich die Attacke ausgelöst:
In dem Dokument befinden sich Skripte, die im Hintergrund einige Trojaner und Malware auf den PC herunterladen und installieren. Für den Nutzer ist dieser Vorgang nicht sichtbar, er sieht weiterhin nur das Bilddokument und glaubt wahrscheinlich, dass etwas mit seinem Word nicht stimmt.

Nutzer von Open Office und Libre-Office dürften vor solchen Schadscripten sicher sein, da Scripte in diesen Programmen anders funktionieren als in Word. Dies ist allerdings keine hundertprozentige Garantie.

An dieser Stelle warnte uns dann auch Kaspersky vor den schädlichen Scripten, stoppte die Ausführung dieser, schloss Word und löschte die Datei.

Screenshot: mimikama.at
Screenshot: mimikama.at

Fazit

Auch wenn eine Mail sehr echt aussieht, ist es ratsam, auch bei dem kleinsten Zweifel immer sich direkt auf der Seite eines Unternehmens einzuloggen und niemals einen Link in einer dubiosen Mail anzuklicken.

 

 

-Sponsorenliebe-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal,via Steady