Aktuelles

Malware in Mail einer „Soap-Box Ag“

Ralf Nowotny, 11. April 2019
Falsche Rechnung einer nicht existenten Firma
Falsche Rechnung einer nicht existenten Firma

Achtung vor der Mail einer fiktiven Firma namens „Soap-Box Ag“, diese enthält einen schädlichen Malware-Link!

Sehr schmucklos kommt diese Mail daher, das einzig Besondere ist, dass die Nutzer mit Vor- und Nachnamen angesprochen werden:

Screenshot: mimikama.at
Screenshot: mimikama.at

Sehr geehrter Kunde XXXX YYYY,

es wurde festgestellt, dass die Forderung Nummer 225298322 immer noch nicht gebucht wurde.

Wir geben Ihnen trotzdem noch eine letzte Chance, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Rechnung in Höhe von 569,00 EURO an uns zahlen.

Im Fall einer nicht Zahlung müssen wir laut Deutschem Recht die offenen Kosten beim Anwalt fordern.

Die Details Ihrer Bestellung und die Bankdaten können Sie in Ihrem Profil unter dem Link ansehen.

XXXX YYYY beachten Sie, über die Verzinsung der Forderung hinaus hat der Schuldner auch jeden weiteren durch den Verzug entstandenen Schaden zu ersetzen.

Soap-box Ag
68159 Mannheim

USt-Id Nr.: DE 386835827
Inhaber Jason Kaiser

„Woher kennen die meinen Namen?“

Immer wieder kommt es zu Datanbank-Hacks bei verschiedenen Unternehmen. Dabei geraten die Hacker neben den Email-Adressen auch häufig an die zugehörigen Namen, in manchen Fällen auch an die Passwörter.
Solche Datenbanken tauchen dann entweder frei zugänglich oder zum Verkauf im Darknet auf. Du kannst deine eigene Mailadresse auf Seiten wie Identity Leak Checker und Have I been Pwned überprüfen.

„Ich kenne dieses Unternehmen überhaupt nicht!“

Das mag daran liegen, dass es dieses Unternehmen gar nicht zu geben scheint. Eine Suche nach einer „Soap-Box Ag“ erbrachte keine Ergebnisse, auch die Umsatzsteuernummer existiert nicht.

Screenshot: mimikama.at
Screenshot: mimikama.at

„Was geschieht, wenn ich auf den Link klicke?“

Beim Klick auf den Link möchte der Browser eine ZIP-Datei herunterladen. Wir werden von Kaspersky sofort über die Gefährlichkeit des Links informiert:

Screenshot: mimikama.at
Screenshot: mimikama.at

Ohne Onlineschutz erhält man eine ZIP-Datei, welches nicht etwa ein Dokument, sondern eine ausführbare Datei enthält (erkennbar an der Dateiendung „.com“). Bei Ausführung der Datei wird Malware auf dem PC installiert, welche noch weitere Viren und Trojaner im Hintergrund aus dem Internet herunterlädt.

Screenshot: mimikama.at
Screenshot: mimikama.at

Zusammenfassung

Die Mail enthält zwar den vollen Namen des Mailempfängers, welcher wahrscheinlich aus seinem Datanbank-Hack stammt, die genannte Firma existiert aber nicht, auch die angegebene Umsatzsteuernummer, welche Seriosität vortäuschen soll, ist falsch.

Der Link soll Nutzer dazu bringen, eine vermeintliche Rechnung herunterzuladen, obwohl in der Mail selbst noch von einem Link zum Nutzerprofil die Rede ist. Jene Datei enthält ein schädliches Programm, welches den Rechner mit Malware infiziert.

Nutzer, die die Datei ausgeführt haben, sollten sofort ihren Rechner mit einer Schutzsoftware überprüfen und reinigen!


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel