Schlagwort-Archive: Viren

Superspam: Trojaner kam als ‘IKEA Rechnung’

Vorab: weder dieser Beitrag ,noch die Email, um die es in diesem Beitrag geht, hat irgendetwas mit dem Schwedischen Möbelhaus IKEA zu tun. Allerdings wollte ‘jemand’ wohl die Bekanntheit des blau-gelben Möbelriesen missbrauchen, um einen möglichst ‘authentischen’ Eindruck zu machen, um so seine Viren und Trojaner unters Volk zu bringen – oder was auch immer.

fake IKEA-Rechnung

Ich bekomme ja eine ganze Menge Spam – dazwischen auch immer wieder die unterschiedlichsten Viren- und Trojaner-Mails. So fanden neulich sowohl die berühmte ‘BKA-Mail’, als auch die vermeintlichen ‘1und1-Rechnungen’ ihren Weg in mein Email-Postfach – vielleicht schreibe ich später auch mal was dazu..

Jedenfalls fand ich heute schon vor dem Frühstück mal wieder einen besonderen Leckerbissen in meiner Inbox: ‘jemand’ schickte mir einen schicken Trojaner, ‘getarnt’ als angebliche ‘IKEA-Rechnung’. Im Text der bösen Spam-Mail wird darauf hingewiesen, daß ich im Anhang meine ‘detaillierte Rechnung’ im ‘PDF-Format’ finden würde, besonderer Wert wird scheinbar darauf gelegt, Vertrauen über eine “Digitale Signatur” aufzubauen, mit der das angebliche PDF-Dokument ‘unterzeichnet’ worden sei. Ist natürlich alles Quatsch mit ohne Soße. Und das läßt sich hier auch wieder einmal ziemlich einfach enttarnen: der Verfasser dieser kleinen gemeinen Lügengeschichte hat an verschiedenen Stellen grammatikalische und stilistische Fehler eingebaut, die sich ein Multinationaler Möbelkonzern sicherlich nicht leisten würde. Kurios.

Eigentlich wandern solche eher plumpen Versuche, meinen Rechner mit Viren+Trojanern zu besiedeln umgehend im Müll – diesmal dachte ich aber, ich schreibe vielleicht doch ein paar Zeilen zu dem Thema – vielleicht hilft’s ja dem einen oder der anderen, solcherlei Datenmüll in Zukunft selbst zu enttarnen.. oder so. Hier jedenfalls erstmal ein paar Kostproben der eher kuriosen ‘Fehlerchen’, die in der vermeintlichen ‘IKEA-Mail’ zu finden sind, und an denen man eine solche ‘verseuchte’ Email ziemlich schnell erkennen kann:

  • in der Subject-Zeile der Email steht “IKEA Rechnung10.2.20073″
    • was soll die ‘3′ am Ende..?
    • kein Leerzeichen zwischen ‘Rechnung’ und ‘Datum’ einzubauen ist zwar kein Fehler, kommt aber irgendwie nicht so hübsch daher..
  • Im Header der Mail findet sich dann als Return-Path eine Email-Adresse, die so, wie sie dargestellt wird, meiner Meinung nach überhaupt keinen Sinn macht:
    Wilberforce’szucchini’s@(entfernt).cz

    • meines Wissens nach funktionieren Sonderzeichen und ‘Häckchen’ (’) in Email-Adressen überhaupt nicht
    • .cz wäre die TopLevelDomain von Tschechien – warum sollte ein Schwedischer Möbelhersteller Deutschen Kunden Emails von einem seltsamen Tschechischen Server aus schicken..?
  • im Header der Mail finden sich dann noch weitere quatschige Details (wie zB der Absender “IKEA Kiel”, ‘Microsoft Outlook Express 6.0′ als vermeintlicher X-Mailer), auf die ich aber nicht witer eingehen möchte..
  • widmen wir uns nun endlich dem eigentlichen Text der trojanischen Mail: der beginnt mit der Aufzählung verschiedener wild ausgedachter ‘Rechnungsdaten’, am Ende ist nochmal ein Datum zu finden: “10. Februar 2006″
    • genau 1 Jahr Unterschied zum Datum der Subject-Zeile..?!
  • es folgen dann noch diverse grammatikalische Fehler, die ich einem Schwedischen Touristen vielleicht noch zumuten würde, die aber einfach nicht in mein Bild von einer gewissenhaft arbeitenden Buchhaltungs-/Rechnungsabteilung passen wollen. Die ersten 2 Zeilen scheinen immerhin fehlerfrei zu sein, dann kommts aber ganz dicke. Hier nur schnell ein paar Kostproben aus dem ersten vollständigen Satz:
    • den detaillierten Rechnung” ..richtig wäre ‘die detaillierte Rechnung’
    • die alle anderen wichtigen Unterlagen” ..klingt einfach merkwürdig/untypisch/übertrieben. Warum dann nicht gleich sowas wie “alle alle anderen total supi-dupi mega-über-wichtigen Unterlagen”
    • zu Ihrem Bestellung im beigefügter ZIP Datei.” ..ist wiedermal kompletter Quatsch (mit ohne Soße): grammatikalisch richtig wäre “zu Ihrer Bestellung in beigefügter ZIP Datei.” ..aber wieso ZIP.-Datei..? ..vorhin ging’s doch noch um ein PDF-Dokument..? ..nun eine ZIP.-Datei..?!
  • weiter unten fogt dann noch anderer Quatsch – zum Beispiel diese Formulierung:
    Ihre Rechnung ist im PDF-Format erstellt und mit einer “Digitalen Signatur” unterzeichnet worden. Den entsprechenden Verifikationsbericht finden Sie im Anhang dieser E-Mail.
    Durch die “Digitale Signatur” wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

    Bitte was soll das sein..? Ein Signatur-Gesetz (SigG)..? Spätestens jetzt soll ich mir vermutlich denken “ach, wegen dem Signatur-Gesetz! ..alles klar, na dann kann ich ja die Rechnung …das PDF …äh das ZIP …bzw. diesen hübschen kleinen Trojaner einfach anklicken, und dann wird alles gut.”
    Au weia.
    Dann wird auch noch dezent auf eine angebliche Einzugsermächtigung hingewiesen.. Auch dieses Detail soll mich wohl nun dazu verleiten, endlich endlich endlich das angehängte Attachment zu öffnen.. – ..oder wie..?
    Im folgenden wird dann nochmal und nochmal verdächtig deutlich auf die ach-so-vertauenswürdige “Digitale Signatur” hingewiesen, und dass ich den Acrobat Reader benötige, um die “Signatur zu überprüfen” und dass ich weitere Infos zur “Digitalen Signatur” in den FAQs finden könnte…… – ..alles Quatsch!

Kommen wir nun zum eigentlichen Höhepunkt des ganzen:
zum Attachment:
Mir wurde erst ein “PDF-Dokument” versprochen, dann eine “ZIP.-Datei”, nichts von alledem hängt an der Mail – sondern ein Attachment (NICHT ANFASSEN!) mit dem völlig unverdächtigen Dateinamen “rechnung_n625n.rar”. Spätestens hier sollten die Alarmsirenen heulen! Auch wenn ich nicht weiss, was die Dateiendung “.rar” eigentlich darstellen soll – spätestens an dieser Stelle fasse ich die Mail lieber mit langen spitzen Fingerchen an und übergebe sie direkt dem Müll – Müll-entleeren nicht vergessen!

na dann – herzliche Gruesse, Till.

PS1: ..und nachher fahre ich zu IKEA und bezahle in bar.. – ..denn nur Bares ist wahres..:]
PS2: ..tjaa – wenn man mehrere Email-Konten benutzt, bekommt man auch mehrere Emails: gerade flattert mir noch eine weitere Kopie der ‘IKEA-Rechnung’ in die Mailbox: wieder mit denselben Datums- und Grammatik-Ungereimtheiten, aber diesmal mit einer etwas anderen Subject-Zeile: “IKEA Deutschland Rechnung” – und das Attachment der Trojaner heißt diesmal “ikea237rechnung.rar