Aktuelles

Falsche Telekom-Rechnung mit doppelter Falle

Ralf Nowotny, 11. Dezember 2018
In dieser Mail versteckt sich ein sehr bösartiger Trojaner!
In dieser Mail versteckt sich ein sehr bösartiger Trojaner!

Eine falsche Rechnung der Telekom will ganz sicher gehen: Nutzer haben gleich zwei Möglichkeiten, in die Falle zu tappen.

Unpersonalisiert präsentiert sich die Mail:

Screenshot: mimikama.at
Screenshot: mimikama.at

„Guten Tag,

für Buchungskonto 3315980151 erhalten Sie mit dieser E-Mail Ihre aktuelle Rechnung.

Freundliche Grüße
Ihre Telekom“

Falle 1:

Die Mail enthält einen Button, über den man die „RechnungOnline“ einsehen können soll. Klickt man nun auf diesen Button, gibt Kaspersky sofort eine Warnung raus:

Screenshot: mimikama.at
Screenshot: mimikama.at

An der URL in der Warnung erkennt man bereits, dass wir hier nicht auf den Seiten der Telekom landen würden. Zudem wird darauf hingewiesen, dass auf der gefälschten Seite wahrscheinlich ein Trojaner-Skript läuft. Sprich: Durch den Besuch der Seite wird ein kleines Script auf den PC heruntergeladen, welches zueinem späteren Zeitpunkt größere Trojaner auf den PC herunterlädt und installiert.

Öffnet man die Seite nun ohne Sicherheits-Software, wird man aufgefordert, eine Textdatei im Word-Format herunterzuladen:

Screenshot: mimikama.at
Screenshot: mimikama.at

Achtung! Keinesfalls die Textdatei dann öffnen! In ihr befindet sich ein Skript, welches den Trojaner „Foretype.A!ml“ installiert. Jener nistet sich tief im System ein und wird meist auch von Anti-Malware Programmen nur schwerlich aufgespürt, sobald er installiert ist, da er wichtige Systemdateien und die Registry so ändert, dass er als harmloses Programm angesehen wird.

Falle 2

Diese haben die Versender der Mail wohl eingerichtet, falls die Word-Datei vom Server verschwinden sollte: Die gleiche Datei, welche man sich in „Falle 1“ runterlädt, befindet sich auch in der Email als Anhang.
Und auch hier gilt: Keinesfalls öffnen!
Wenn der Trojaner einmal installiert ist, kommt man oftmals um eine allumfassende Neuinstallation nicht herum, da sich der Trojaner auch im Bootsektor festsetzt und somit eher geladen ist als jede Schutzsoftware.

Fazit

Solche Mails kann man sowieso löschen, wenn man kein Telekom-Kunde ist.
Aber auch wenn man Kunde ist, gilt: Immer direkt auf den Seiten des Unternehmens schauen, nie unbedarft Links in dubiosen Mails anklicken!
Am Besten natürlich eine Schutz-Software installieren, damit man gar nicht erst soweit kommt, eine solche Datei zu öffnen oder einen Link anzuklicken.


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel