Wie schon früher einmal erwähnt (”Trojaner als IKEA-Rechnung getarnt“) bekomme ich regelmäßig allerlei interessante Emails. Darunter sind natürlich nicht nur private Mitteilungen, Grüße und Veranstaltungshinweise, sondern auch viele geschäftliche Anfragen, Erkundigungen zu technischen Feinheiten und allerlei dies und das. Ich bin inzwischen auch (wieder) Fan von Newslettern geworden – und auch meine Rechnungen versuche ich zu 100% per Email abzuwickeln. Das heißt ich verschicke Rechnungen an meine Kunden per Email – und ich versuche, alle mir zugestellten Rechnungen ebenfalls als EMail zu erhalten.

Das hat verschiedene Vorzüge – der größte Vorteil besteht für mich wohl darin, das ich alles ziemlich einfach suchen – und vor allem auch finden kann. Bei meiner Zettelwirtschaft war das nicht immer der Fall.

Es bringt aber auch Nachteile mit sich. Immer wieder versuchen böse Buben (oder sind auch böse Mödchen darunter?!) mir täuschend echt aussehende Emails bzw. Rechnungen zu schicken, weil sie meinen, so allerlei Unfug anstellen zu können. Und manchmal bin ich auch kurz davor, solche Emails bzw. Email-Anhänge zu öffnen – allein schon wegen der Routine.

Gerade weil ich aber ein recht routinierte Email-Leser (und -Löscher) bin, fallen mir zum Glück schnell auch die kleinsten Ungereimtheiten auf. Warum würde mich Firma X plötzlich duzen? Wieso stimmt das Datum nicht? Was haben die chinesischen Schriftzeichen am Ende der Mail zu bedeuten?!

Vor einiger Zeit bekam ich eine täuschend echt gestaltete “IKEA-Rechnung”, die sich aber schon bei oberflächlicher Betrachtung als Fälschung entpuppte. Ich hatte den Falls damals gründlich dokumentiert – und seitdem eigentlich keine so gut gemachten Rechnungsemail-Fälschungen erhalten.  Bis heute. Und den heutigen Vorfall nehme ich mal wieder zum Anlass, etwas ausführlicher über das Thema zu berichten. Immerhin ergaunern sogn. Internet-Kriminelle nach wie vor Millionen mithilfe solcher Tricks.

Heute kam also per Mail eine “Telekom-Rechnung” in meine Mailbox geflattert. Und darin waren schon die ersten drei Fehler dieser fiesen Viren-Trojaner-Mail begründet:

1. Ich bekomme meine Telekom-Rechnung immer am 20. des Monats. Heute ist aber der 21. und somit hatten sich die “Hacker” das falsche Datum ausgesucht.
2. Ich bekomme meine Telekom-Rechnung immer an eine bestimmte Email-Adresse (”Y”) geschickt – die “Angreifer” hatten sich die falsche Email-Adresse (”X”) ausgesucht.
3. Ich bekam zweimal innerhalb von 10 Minuten jeweils zwei Rechnungs-Mails – die Telekom verschickt immer nur eine Email. Der Absender der Fake-Rechnung hatte es ein wenig übertrieben.

Hier ein paar weitere Details, sowie ein Screenshot der Mail, in der Hoffnung, dass dies vielleicht dem einen oder anderen helfen könnte, solche fiesen Fake-Rechnungsmails als echte Fälschung zu erkennen:

• Absender falsch: es müsste heißen “Telekom Deutschland GmbH {NoReply}” mit der dazugehörigen Email-Adresse “rechnungonline@telekom.de” – hier fehlt der Name und die Email-Adresse hat einen Punkt vor dem @-Zeichen
• Betreffzeile enthält keine Monatsangabe und keine Kundennummer
• In der Anrede fehlt der Name – die Telekom begrüßt ihre Kunden immer mit Namen – also in diesem Falle hätte da stehen müssten “Guten Tag, Herr Bortels”
• Falsche Monatsangabe: die Telekom verschickt ihre Rechnungen kurioser weise immer im voraus – also die mir im Februar zugestellte Rechnung trägt die Überschrift “Ihre Rechnung für März 2013″
• Die Fake-Mail zeigt Promo-Aktionen, die bereits abgelaufen sind. Es handelt sich um Promo-Aktionen, die die Telekom bereits im November in ihren Rechnungs-EMails aufgeführt hatte. Der Aktionszeitraum ist bereits abgelaufen – im Kleingedruckten steht z.B. “bei Online-Abschluss eines Neu-Vertrages bis 31.01.2013 wird der Grundpreis für die Dauer der Mindestvertragslaufzeit um 10% reduziert”
• Der Dateiname des Attachmentmens – also der vermeintlich gezippten Rechnung entdet hier mit einer Fantasienummer – bei der Telekom wird aber immer die Vertrags- bzw. Kundennummer im Dateinamen eingesetzt
• Und last but not least: bei Anzeige des kompletten Email-Headers teauchen jede Menge verdächtiger Absender-Adressen auf – Email-Adressen, die sich aus 20-30-40 stelligen Buchstabenkombinationen zusammen setzen und rein gar nichts mit der Telekom zu tun haben.

…so – genug der Email-Forensik. Ich muss zugeben, diese fiese Fake-Mail ist schon ziemlich gut gemacht. Aber mit ein bisschen Übung und Mißtrauen läßt sie sich schnell als Fake enttarnen. Also werden nun schnell wieder die virtuellen Gummihandschuhe übergestreift, und diese Trojaner-Mail mit spitzen Fingerchen in den Müll geworfen.

…viel Vergnügen!

PS: Ob es sich bei dem Anhang nun um einen Virus oder einen Trojaner handelte kann ich nicht sagen – soweit reicht meine Geduld dann doch nicht. Eine kurze Web-Recherche brachte leider auch keine weiteren Details zum Inhalt der angehängten ZIP-Datei… Für sachdienliche Hinweise bin ich aber dankbar!