Rechnung 394811 von Meri Rigby, Arboritec AB, Sweden ([email protected]) bringt einen Online-Banking-Trojaner und versucht aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM unter dem Vorwand eines neuen Verschlüsselungsalgorithmus Geld zu klauen!
Am Donnerstag, den 22. Februar 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Klicken Sie nicht auf den Link und führen Sie den Inhalt nicht aus! Es würde ein Online-Banking-Trojaner nachgeladen, der anschließend aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM unter dem Vorwand eines neuen Verschlüsselungsalgorithmus Geld zu klauen!
Betreff: Rechnung 394811
Absender: Meri Rigby, Arboritec AB, Sweden ([email protected])guten Tag
Entdecken Sie die angehängte Datei (https://arboritec.us3.list-manage.com/track/click?u=0a7a6f9deb913c9f2bc2cc0b3&id=4150666064&e=5a34c1480b) , die Rechnung in Höhe von EUR 2.300https://arboritec.us3.list-manage.com/track/click?u=0a7a6f9deb913c9f2bc2cc0b3&id=3090376872&e=5a34c1480b below.
For our list to remain compliant with MailChimp’s policies, we need you to verify your subscription settings and expressly let us know you want to receive our emails. If you take no action, your address will be removed from our list and you won’t receive email from us again. To remain on our list, please confirm your subscription:
Confirm Subscription (https://arboritec.us3.list-manage.com/subscribe/confirm?u=0a7a6f9deb913c9f2bc2cc0b3&id=baf2f82518&e=5a34c1480b)
© 2018 Arboritec AB
We are looking for potential distribution partners in Spain and would be keen to hear your feedback!
Arboritec AB
Olof Wijks väg 9
Jörlanda 44465
Sweden
Unsubscribe (https://arboritec.us3.list-manage.com/unsubscribe?u=0a7a6f9deb913c9f2bc2cc0b3&id=baf2f82518&e=5a34c1480b&c=356d2e079e)
Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie deswegen nicht auf den Link und führen Sie den Inhalt nicht aus!
Leiten Sie solche oder ähnliche gefälschte E-Mails an [email protected] weiter. Vielen Dank.
Die Adresse arboritec.us3.list-manage.com/track/click?u=0a7a6f9deb913c9f2bc2cc0b3&id=4150666064&e=5a34c1480b leitet auf nrservicesgroup.com/rechung2223018.zip weiter.
Von dieser Adresse wird die Datei „rechnung2223018.zip“ geladen. Diese Datei enthält ein JavaScript mit gleichem Namen:
rechnung2223018.zip
rechnung2223018.js
Das JavaScript sieht wie folgt aus:
Führen Sie das Script nicht aus! Von der Adresse istanawin.com/WInPAD_01.scr würde eine bösartige Datei geladen, die anschließend Ihren Rechner infiziert und Ihnen u. a. im Online-Banking Geld klauen möchte.
Laut Virustotal liegt die Erkennungsrate für die „WInPAD_01.scr“ bei 25/64.
Beim Aufruf des Online-Banking würde das Trojanische Pferd eine Sicherheitsüberprüfung vorgaukeln, bei der Sie sich in einem Demo-Zugang anmelden und eine Testüberweisung bestätigen sollen. Achtung: Es handelt sich um eine gefälschte Einblendung. Diese stammt nicht von Ihrer Bank! Folgen Sie nicht der Aufforderung! Geben Sie TAN-Nummern niemals ein, wenn Sie keine Transaktion (z. B. Überweisung) tätigen und kontrollieren Sie immer die Auftragsdaten (z. B. im TAN-Generator)!
(Vorname Nachname),
Achtung!
Aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM führt unsere Bank als erste einen neuen Verschlüsselungsalgorithmus für Banküberweisungen ein. Um sicherzustellen, dass die erforderlichen Updates installiert sind bzw. dass Ihr Browser die neue Version des Verschlüsselungsalgorithmus unterstützt, ist es erforderlich, dass Sie zum Demo-Account übergehen, wo Ihnen angeboten wird, eine Testüberweisung mit einer verbindlichen Eingabe der Transaktionsnummer (TAN) zu tätigen.
Der Zugang zum Online-Banking bleibt eingeschränkt, bis die erforderliche Verifizierung fertig ist.Folgen Sie den folgenden Anweisungen.
Schritt 1.
Klicken Sie auf Weiter, um sich im Demo-Account einzuloggen.Weiter >
Würden Sie auf „Weiter“ klicken, dann blendet das Trojanische Pferd folgende Seite ein. Achtung: Es handelt sich nicht um den echten Demo-Zugang Ihrer Bank! Da Sie sich nicht abgemeldet haben, befinden Sie sich immer noch in Ihrem Online-Banking! Folgen Sie daher nicht den Anweisungen!
Demo-Konto
Testen Sie selbst. Verwenden Sie dazu bitte folgende Zugangsdaten:
Legitimations-ID:
DEMOPIN:
12345Anmeldename oder
Legitimations-ID*:PIN*:
Mit dem Senden Ihrer Anmeldedaten erkennen Sie die Sicherheitshinweise an.
Online-Banking Login
Danach tätigt das Trojanische Pferd einige Abfragen im Online-Banking. Während dieser Zeit dreht sich ein Zahnrad in der Mitte der Seite:
Anschließend fordert das Trojanische Pferd zur Bestätigung einer DEMO-Überweisung auf. Folgen Sie niemals dieser Aufforderung! Würde es sich um ein echtes DEMO-Konto handeln, dann könnten Sie jede X-beliebige TAN eingeben und würden niemals dazu aufgefordert, die TAN mit Hilfe Ihrer echten Karte zu erzeugen!
Schritt 2.
Auf dem Bildschirm sehen Sie die zufällig generierten Angaben für die Überweisung. Klicken Sie auf Weiter, um zum nächsten Schritt überzugehen.
Demo-Überweisung
Demo-Überweisung
Begünstigter (Name oder Firma)*: Hans Muller
IBAN*: DEXX XXXX XXX0 6624 8859 8
Betrag*: 0
EURVerwendungszweck: Demo
Ausführung:Auftraggeberkonto*: 123456, Mustermann, Max
* Pflichtfeld
Weiter >
Danach würde die betrügerische Einblendung zur Erzeugung der TAN auffordern. Folgen Sie nicht der Aufforderung! Geben Sie TAN-Nummern niemals ein, wenn Sie keine Transaktion (z. B. Überweisung) tätigen und kontrollieren Sie immer die Auftragsdaten (z. B. im TAN-Generator)!
Schritt 3.
Nutzen Sie Ihr Gerät für die Generierung der Transaktionsnummer (TAN), z.B. den TAN-Generator oder smsTAN. Folgen Sie den Anweisungen auf dem Bildschirm.
Demo-Überweisung
Sie werden für eine Demo-Überweisung niemals Ihre echte Bankkarte benötigen! Folgen Sie daher niemals dieser Aufforderung!
Haben Sie eine betrügerische Buchung bestätigt? Wenden Sie sich in diesem Fall umgehend an Ihre Bank oder lassen Sie Ihren Online-Banking-Zugang über die zentrale Sperr-Hotline 116 116 sperren und wenden Sie sich dann zur Öffnungszeit an Ihre Bank!