Schlagwort-Archive: Spam

Fake-Rechnung von Fake-Telekom

Wie schon früher einmal erwähnt (”Trojaner als IKEA-Rechnung getarnt“) bekomme ich regelmäßig allerlei interessante Emails. Darunter sind natürlich nicht nur private Mitteilungen, Grüße und Veranstaltungshinweise, sondern auch viele geschäftliche Anfragen, Erkundigungen zu technischen Feinheiten und allerlei dies und das. Ich bin inzwischen auch (wieder) Fan von Newslettern geworden – und auch meine Rechnungen versuche ich zu 100% per Email abzuwickeln. Das heißt ich verschicke Rechnungen an meine Kunden per Email – und ich versuche, alle mir zugestellten Rechnungen ebenfalls als EMail zu erhalten.

Das hat verschiedene Vorzüge – der größte Vorteil besteht für mich wohl darin, das ich alles ziemlich einfach suchen – und vor allem auch finden kann. Bei meiner Zettelwirtschaft war das nicht immer der Fall.

Es bringt aber auch Nachteile mit sich. Immer wieder versuchen böse Buben (oder sind auch böse Mödchen darunter?!) mir täuschend echt aussehende Emails bzw. Rechnungen zu schicken, weil sie meinen, so allerlei Unfug anstellen zu können. Und manchmal bin ich auch kurz davor, solche Emails bzw. Email-Anhänge zu öffnen – allein schon wegen der Routine.

Gerade weil ich aber ein recht routinierte Email-Leser (und -Löscher) bin, fallen mir zum Glück schnell auch die kleinsten Ungereimtheiten auf. Warum würde mich Firma X plötzlich duzen? Wieso stimmt das Datum nicht? Was haben die chinesischen Schriftzeichen am Ende der Mail zu bedeuten?!

Vor einiger Zeit bekam ich eine täuschend echt gestaltete “IKEA-Rechnung”, die sich aber schon bei oberflächlicher Betrachtung als Fälschung entpuppte. Ich hatte den Falls damals gründlich dokumentiert – und seitdem eigentlich keine so gut gemachten Rechnungsemail-Fälschungen erhalten.  Bis heute. Und den heutigen Vorfall nehme ich mal wieder zum Anlass, etwas ausführlicher über das Thema zu berichten. Immerhin ergaunern sogn. Internet-Kriminelle nach wie vor Millionen mithilfe solcher Tricks.

Heute kam also per Mail eine “Telekom-Rechnung” in meine Mailbox geflattert. Und darin waren schon die ersten drei Fehler dieser fiesen Viren-Trojaner-Mail begründet:

1. Ich bekomme meine Telekom-Rechnung immer am 20. des Monats. Heute ist aber der 21. und somit hatten sich die “Hacker” das falsche Datum ausgesucht.
2. Ich bekomme meine Telekom-Rechnung immer an eine bestimmte Email-Adresse (”Y”) geschickt – die “Angreifer” hatten sich die falsche Email-Adresse (”X”) ausgesucht.
3. Ich bekam zweimal innerhalb von 10 Minuten jeweils zwei Rechnungs-Mails – die Telekom verschickt immer nur eine Email. Der Absender der Fake-Rechnung hatte es ein wenig übertrieben.

Hier ein paar weitere Details, sowie ein Screenshot der Mail, in der Hoffnung, dass dies vielleicht dem einen oder anderen helfen könnte, solche fiesen Fake-Rechnungsmails als echte Fälschung zu erkennen:

fake Telekom-Rechnung per Email

  • Absender falsch: es müsste heißen “Telekom Deutschland GmbH {NoReply}” mit der dazugehörigen Email-Adresse “rechnungonline@telekom.de” – hier fehlt der Name und die Email-Adresse hat einen Punkt vor dem @-Zeichen
  • Betreffzeile enthält keine Monatsangabe und keine Kundennummer
  • In der Anrede fehlt der Name – die Telekom begrüßt ihre Kunden immer mit Namen – also in diesem Falle hätte da stehen müssten “Guten Tag, Herr Bortels”
  • Falsche Monatsangabe: die Telekom verschickt ihre Rechnungen kurioser weise immer im voraus – also die mir im Februar zugestellte Rechnung trägt die Überschrift “Ihre Rechnung für März 2013″
  • Die Fake-Mail zeigt Promo-Aktionen, die bereits abgelaufen sind. Es handelt sich um Promo-Aktionen, die die Telekom bereits im November in ihren Rechnungs-EMails aufgeführt hatte. Der Aktionszeitraum ist bereits abgelaufen – im Kleingedruckten steht z.B. “bei Online-Abschluss eines Neu-Vertrages bis 31.01.2013 wird der Grundpreis für die Dauer der Mindestvertragslaufzeit um 10% reduziert”
  • Der Dateiname des Attachmentmens – also der vermeintlich gezippten Rechnung entdet hier mit einer Fantasienummer – bei der Telekom wird aber immer die Vertrags- bzw. Kundennummer im Dateinamen eingesetzt
  • Und last but not least: bei Anzeige des kompletten Email-Headers teauchen jede Menge verdächtiger Absender-Adressen auf – Email-Adressen, die sich aus 20-30-40 stelligen Buchstabenkombinationen zusammen setzen und rein gar nichts mit der Telekom zu tun haben.

…so – genug der Email-Forensik. Ich muss zugeben, diese fiese Fake-Mail ist schon ziemlich gut gemacht. Aber mit ein bisschen Übung und Mißtrauen läßt sie sich schnell als Fake enttarnen. Also werden nun schnell wieder die virtuellen Gummihandschuhe übergestreift, und diese Trojaner-Mail mit spitzen Fingerchen in den Müll geworfen.

…viel Vergnügen!

PS: Ob es sich bei dem Anhang nun um einen Virus oder einen Trojaner handelte kann ich nicht sagen – soweit reicht meine Geduld dann doch nicht. Eine kurze Web-Recherche brachte leider auch keine weiteren Details zum Inhalt der angehängten ZIP-Datei… Für sachdienliche Hinweise bin ich aber dankbar!

Superspam: Trojaner kam als ‘IKEA Rechnung’

Vorab: weder dieser Beitrag ,noch die Email, um die es in diesem Beitrag geht, hat irgendetwas mit dem Schwedischen Möbelhaus IKEA zu tun. Allerdings wollte ‘jemand’ wohl die Bekanntheit des blau-gelben Möbelriesen missbrauchen, um einen möglichst ‘authentischen’ Eindruck zu machen, um so seine Viren und Trojaner unters Volk zu bringen – oder was auch immer.

fake IKEA-Rechnung

Ich bekomme ja eine ganze Menge Spam – dazwischen auch immer wieder die unterschiedlichsten Viren- und Trojaner-Mails. So fanden neulich sowohl die berühmte ‘BKA-Mail’, als auch die vermeintlichen ‘1und1-Rechnungen’ ihren Weg in mein Email-Postfach – vielleicht schreibe ich später auch mal was dazu..

Jedenfalls fand ich heute schon vor dem Frühstück mal wieder einen besonderen Leckerbissen in meiner Inbox: ‘jemand’ schickte mir einen schicken Trojaner, ‘getarnt’ als angebliche ‘IKEA-Rechnung’. Im Text der bösen Spam-Mail wird darauf hingewiesen, daß ich im Anhang meine ‘detaillierte Rechnung’ im ‘PDF-Format’ finden würde, besonderer Wert wird scheinbar darauf gelegt, Vertrauen über eine “Digitale Signatur” aufzubauen, mit der das angebliche PDF-Dokument ‘unterzeichnet’ worden sei. Ist natürlich alles Quatsch mit ohne Soße. Und das läßt sich hier auch wieder einmal ziemlich einfach enttarnen: der Verfasser dieser kleinen gemeinen Lügengeschichte hat an verschiedenen Stellen grammatikalische und stilistische Fehler eingebaut, die sich ein Multinationaler Möbelkonzern sicherlich nicht leisten würde. Kurios.

Eigentlich wandern solche eher plumpen Versuche, meinen Rechner mit Viren+Trojanern zu besiedeln umgehend im Müll – diesmal dachte ich aber, ich schreibe vielleicht doch ein paar Zeilen zu dem Thema – vielleicht hilft’s ja dem einen oder der anderen, solcherlei Datenmüll in Zukunft selbst zu enttarnen.. oder so. Hier jedenfalls erstmal ein paar Kostproben der eher kuriosen ‘Fehlerchen’, die in der vermeintlichen ‘IKEA-Mail’ zu finden sind, und an denen man eine solche ‘verseuchte’ Email ziemlich schnell erkennen kann:

  • in der Subject-Zeile der Email steht “IKEA Rechnung10.2.20073″
    • was soll die ‘3′ am Ende..?
    • kein Leerzeichen zwischen ‘Rechnung’ und ‘Datum’ einzubauen ist zwar kein Fehler, kommt aber irgendwie nicht so hübsch daher..
  • Im Header der Mail findet sich dann als Return-Path eine Email-Adresse, die so, wie sie dargestellt wird, meiner Meinung nach überhaupt keinen Sinn macht:
    Wilberforce’szucchini’s@(entfernt).cz

    • meines Wissens nach funktionieren Sonderzeichen und ‘Häckchen’ (’) in Email-Adressen überhaupt nicht
    • .cz wäre die TopLevelDomain von Tschechien – warum sollte ein Schwedischer Möbelhersteller Deutschen Kunden Emails von einem seltsamen Tschechischen Server aus schicken..?
  • im Header der Mail finden sich dann noch weitere quatschige Details (wie zB der Absender “IKEA Kiel”, ‘Microsoft Outlook Express 6.0′ als vermeintlicher X-Mailer), auf die ich aber nicht witer eingehen möchte..
  • widmen wir uns nun endlich dem eigentlichen Text der trojanischen Mail: der beginnt mit der Aufzählung verschiedener wild ausgedachter ‘Rechnungsdaten’, am Ende ist nochmal ein Datum zu finden: “10. Februar 2006″
    • genau 1 Jahr Unterschied zum Datum der Subject-Zeile..?!
  • es folgen dann noch diverse grammatikalische Fehler, die ich einem Schwedischen Touristen vielleicht noch zumuten würde, die aber einfach nicht in mein Bild von einer gewissenhaft arbeitenden Buchhaltungs-/Rechnungsabteilung passen wollen. Die ersten 2 Zeilen scheinen immerhin fehlerfrei zu sein, dann kommts aber ganz dicke. Hier nur schnell ein paar Kostproben aus dem ersten vollständigen Satz:
    • den detaillierten Rechnung” ..richtig wäre ‘die detaillierte Rechnung’
    • die alle anderen wichtigen Unterlagen” ..klingt einfach merkwürdig/untypisch/übertrieben. Warum dann nicht gleich sowas wie “alle alle anderen total supi-dupi mega-über-wichtigen Unterlagen”
    • zu Ihrem Bestellung im beigefügter ZIP Datei.” ..ist wiedermal kompletter Quatsch (mit ohne Soße): grammatikalisch richtig wäre “zu Ihrer Bestellung in beigefügter ZIP Datei.” ..aber wieso ZIP.-Datei..? ..vorhin ging’s doch noch um ein PDF-Dokument..? ..nun eine ZIP.-Datei..?!
  • weiter unten fogt dann noch anderer Quatsch – zum Beispiel diese Formulierung:
    Ihre Rechnung ist im PDF-Format erstellt und mit einer “Digitalen Signatur” unterzeichnet worden. Den entsprechenden Verifikationsbericht finden Sie im Anhang dieser E-Mail.
    Durch die “Digitale Signatur” wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

    Bitte was soll das sein..? Ein Signatur-Gesetz (SigG)..? Spätestens jetzt soll ich mir vermutlich denken “ach, wegen dem Signatur-Gesetz! ..alles klar, na dann kann ich ja die Rechnung …das PDF …äh das ZIP …bzw. diesen hübschen kleinen Trojaner einfach anklicken, und dann wird alles gut.”
    Au weia.
    Dann wird auch noch dezent auf eine angebliche Einzugsermächtigung hingewiesen.. Auch dieses Detail soll mich wohl nun dazu verleiten, endlich endlich endlich das angehängte Attachment zu öffnen.. – ..oder wie..?
    Im folgenden wird dann nochmal und nochmal verdächtig deutlich auf die ach-so-vertauenswürdige “Digitale Signatur” hingewiesen, und dass ich den Acrobat Reader benötige, um die “Signatur zu überprüfen” und dass ich weitere Infos zur “Digitalen Signatur” in den FAQs finden könnte…… – ..alles Quatsch!

Kommen wir nun zum eigentlichen Höhepunkt des ganzen:
zum Attachment:
Mir wurde erst ein “PDF-Dokument” versprochen, dann eine “ZIP.-Datei”, nichts von alledem hängt an der Mail – sondern ein Attachment (NICHT ANFASSEN!) mit dem völlig unverdächtigen Dateinamen “rechnung_n625n.rar”. Spätestens hier sollten die Alarmsirenen heulen! Auch wenn ich nicht weiss, was die Dateiendung “.rar” eigentlich darstellen soll – spätestens an dieser Stelle fasse ich die Mail lieber mit langen spitzen Fingerchen an und übergebe sie direkt dem Müll – Müll-entleeren nicht vergessen!

na dann – herzliche Gruesse, Till.

PS1: ..und nachher fahre ich zu IKEA und bezahle in bar.. – ..denn nur Bares ist wahres..:]
PS2: ..tjaa – wenn man mehrere Email-Konten benutzt, bekommt man auch mehrere Emails: gerade flattert mir noch eine weitere Kopie der ‘IKEA-Rechnung’ in die Mailbox: wieder mit denselben Datums- und Grammatik-Ungereimtheiten, aber diesmal mit einer etwas anderen Subject-Zeile: “IKEA Deutschland Rechnung” – und das Attachment der Trojaner heißt diesmal “ikea237rechnung.rar

Free Online Party Poker

-oder-> Kommentare kommentieren – und andere Nebensächlichkeiten..

Sieht so aus, als hätten alle Domains den Server-Umzug heile überstanden. Endlich.
Bei der Gelegenheit habe ich auch gleich einen kleinen “Gefangegenaustausch” vorgenommen – bzw eine erste Anpassung von tillintallin.de und tillintallin.net: die Streichholzschachteln sind endlich auch in die englische Version eingebaut, und die “darLinks” sind im Gegenzug endlich auch hier zu finden. Hurra. Na denn..

Ausserdem juckt es mich, endlich einmal ein paar Kommentare zu kommentieren.. Soll ich..? Au ja..

Hier zuerst mal einige Kommentare, die ich neulich auf livetourdates.org finden durfte:

Kommentare, Spam, Free Online Poker

Spam-Kommentare: Free Online Poker

Einfach mal ein paar Stündchen Zeit nehmen, anderer Leute Internetseiten kommentieren – und über die so “einfach” in Schwung gebrachte Propaganda-Maschine über Nacht zum Millionär / Powerseller / Backlinkmonster werden. So die Hoffnung vieler Kommenar-Spammer – aber so einfach ist das mit dem “Free Online Party Poker” dann wohl doch nicht. Zum Glück kann man nämlich bei dem verwendeten CMS Drupal die automatische Veröffentlichung von  Kommentaren unterbinden. Und schon hat einen Kopfschmerz weniger.

Andere Leute scheinen hingegen die Kunst des Kommentierens widerum etwas verfuchster zu gebrauchen – dabei beziehe ich mich auf einen 10-Punkte-Plan, der halb ironisch, halb ernst zitiert und kommentiert wird – auf dass unser aller Einschaltquoten steigen… So verstehe ich zumindest diesen meiner Meinung nach etwas bizarren Comment-Battle beim Berliner Blog spreeblick.
Na da bin ich aber mal gespannt auf die Kommentare..:]

viel Vergnügen..! t..

ps.: Ganz großartig; Regel Nummer 3: Kommentieren ist wichtiger als eigene Artikel. Soll ich jetzt Regel Nummer 3 ‘vor Ort’ kommentieren..? ..masehn..