Aktuelles

Phishing: Gefälschte Telekom-Rechnung mit Trojaner-Download

Ralf Nowotny, 6. Februar 2019
Die Falle steckt in einem Word-Dokument
Die Falle steckt in einem Word-Dokument

Der Anfang des Monats ist immer die Zeit, in der Betrüger gefälschte Rechnungen auf den Weg schicken, wie auch in diesem Falle.

Jene optisch echt aussehende Telekom-Rechnung finden viele Nutzer in ihrem Email-Postfächern:

Screenshot: mimikama.at
Screenshot: mimikama.at

Guten Morgen,

für Buchungskonto 1354271876 erhalten Sie mit dieser E-Mail Ihre aktuelle Rechnung.

Freundliche Grüße
Ihre Telekom

Von der nicht vorhandenen namentlichen Anrede mal abgesehen, ist es schon sehr skurril, dass in dieser Phishing-Mail gleichzeitig vor gefälschten Rechnungen gewarnt wird: Die Betrüger warnen vor sich selbst!

Klickt man nun auf dewn Link, um sie die Rechnung online anzusehen, soll man ein Word-Dokument herunterladen:

Screenshot: mimikama.at
Screenshot: mimikama.at

Solange man es nur herunterlädt und nicht öffnet, ist noch alles gut. Doch möchte man als Nutzer natürlich sehen, was in der vermeintlichen Rechnung steht.

Screenshot: mimikama.at
Screenshot: mimikama.at

Dort findet sich eine Bild, welches den Anschein erweckt, ein Hinweis von Microsoft Office zu sein, dass die Datei mit einer älteren Version von Word erstellt wurde, weswegen man erst die Bearbeitung und dann die enthaltenen Makros aktivieren müsse.
An diesem Punkt schnappt die Falle dann zu!

Durch die Aktivierung der enthaltenen Makros wird nämlich die Attacke ausgelöst:
In dem Dokument befinden sich Skripte, die im Hintergrund einige Trojaner und Malware auf den PC herunterladen und installieren. Für den Nutzer ist dieser Vorgang nicht sichtbar, er sieht weiterhin nur das Bilddokument und glaubt wahrscheinlich, dass etwas mit seinem Word nicht stimmt.

Nutzer von Open Office und Libre-Office dürften vor solchen Schadscripten sicher sein, da Scripte in diesen Programmen anders funktionieren als in Word. Dies ist allerdings keine hundertprozentige Garantie.

An dieser Stelle warnte uns dann auch Kaspersky vor den schädlichen Scripten, stoppte die Ausführung dieser, schloss Word und löschte die Datei.

Screenshot: mimikama.at
Screenshot: mimikama.at

Fazit

Auch wenn eine Mail sehr echt aussieht, ist es ratsam, auch bei dem kleinsten Zweifel immer sich direkt auf der Seite eines Unternehmens einzuloggen und niemals einen Link in einer dubiosen Mail anzuklicken.

 

 


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel