Rechnung für Max Mustermann NR984234039 vom 10.02.2017, Offene Rechnung: Buchungsnummer 74178776 und verschiedene mehr von Abrechnung Amazon GmbH ([email protected]), [email protected] und anderen
Am Freitag, den 10. Februar 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Achtung: Die E-Mail lädt ein Trojanisches Pferd nach, welches u. a. das Online-Banking befällt und die Anzeige des Online-Banking manipuliert! Öffnen Sie daher nicht die Anlage!
Betreff: Rechnung für Max Mustermann NR984234039 vom 10.02.2017
Absender: [email protected]
Sehr geehrte/r Max Mustermann,
bedauerlicherweise mussten wir gerade feststellen, dass die Zahlungserinnerung Nummer 984234039 bisher ergebnislos blieb. Nun gewähren wir Ihnen damit letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten OnlinePay24 AG zu begleichen.
Aufgrund des bestehenden Zahlungsausstands sind Sie angewiesen dabei, die durch unsere Beauftragung entstandene Gebühren von 66,98 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 08.02.2017.
Gespeicherte Daten:
Max Mustermann
Musterallee 12
55443 MusterdorfTel. 0123/456789
Bitte überweisen Sie den nun fälligen Betrag unter Angaben der Artikelnummer so rechtzeitig, dass dieser spätestens zum 13.02.2017 auf unserem Bankkonto verbucht wird. Falls wir bis zum genannten Datum keine Zahlung verbuchen, sind wir gezwungen Ihre Forderung an ein Inkassounternehmen zu übergeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.
Eine vollständige Kostenaufstellung NR. 984234039, der Sie alle Positionen entnehmen können, ist beigefügt.
Mit verbindlichen Grüßen
Rechnungsstelle Colin Capito
Achtung: Es handelt sich um eine gefälschte Nachricht! Klicken Sie daher nicht auf die Anlage zur E-Mail!
Die E-Mail kommt auch mit anderen Betreffzeilen, (gefälschten) Absenderangaben und Firmennamen. Hier ein weiteres Beispiel:
Betreff: Offene Rechnung: Buchungsnummer 74178776
Absender: Abrechnung Amazon GmbH ([email protected])Sehr geehrte/r Max Mustermann,
zu unserem Bedauern haben wir festgestellt, dass unsere Zahlungsaufforderung NR. 741787769 bislang erfolglos blieb. Nun geben wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Amazon GmbH zu decken.
Aufgrund des andauernden Zahlungsausstands sind Sie verpflichtet zuzüglich, die durch unsere Beauftragung entstandene Gebühren von 88,44 Euro zu tragen. Bei Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden. Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 08.02.2017.
Hinterlegte Daten:
Max Mustermann
Musterallee 12
55443 MusterdorfTel. 0123/456789
Bitte überweisen Sie den nun fälligen Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätestens zum 15.02.2017 auf unserem Konto verbucht wird. Können wird bis zum genannten Datum keine Überweisung verbuchen, sind wir gezwungen Ihren Mahnbescheid an ein Inkassounternehmen zu übergeben. Alle damit verbundenen Kosten werden Sie tragen müssen.
Die detaillierte Kostenaufstellung Nummer 741787769, der Sie alle Buchungen entnehmen können, ist beigefügt.
Mit freundlichen Grüßen
Abrechnung Samuel Krause
Auch hier handelt es sich um eine gefälschte E-Mail Klicken Sie daher nicht auf die Dateianlage!
Als Absender ist meistens eine Person der folgenden Liste aufgeführt:
Daneben werden sowohl als Absender wie auch im Text der E-Mail folgende Firmen genannt, die mit dieser E-Mail nichts zu tun haben:
|
Die E-Mail-Adresse passt zwar oftmals nicht zum genannten Absender (wie auch bei der aktuellen E-Mail: siehe oben). Die unbekannten Absender verwenden die Adressen vermutlich deswegen, weil Sie vertrauenerweckend aussehen sollen. Die genannten Unternehmen haben die E-Mail nicht versendet!
Die betrügerische E-Mail behauptet, eine Rechnung sei nicht bezahlt worden und man hätte ein paar Tage Zeit, die Rechnung zu begleichen. Bisher wurde in diesen E-Mails immer das aktuelle Datum (oder der Vortag) als Rechnungsdatum und das Zahlungsziel ein paar Tage später verwendet.
Damit die E-Mails vertrauenswürdig erscheinen, ist neben einem bekannten Firmennamen außerdem der Name, die Anschrift und die Telefon-Nr. des Empfängers enthalten.
Als Anlage ist ein .zip-Archiv beigefügt, welches das aktuelle Datum sowie den Namen des Empfängers enthält (z. B. „10.02.2017 Max Mustermann.zip“). In der ersten .zip-Datei ist meistens ein weiteres .zip-Archiv (z. B. „Max Mustermann 10.02.2017.zip“), welches aber eine ausführbare Datei enthält (z. B. „Max Mustermann 10.02.2017.com“).
Virustotal zeigt für die .com-Datei eine Erkennungsrate von 20/57.
Klicken Sie nicht auf die Anlage und führen Sie diese nicht aus! Sie würden Ihren Computer sonst mit Trojanischen Pferden infizieren! Nach der Ausführung des Trojaners würde zunächst folgende Meldung erscheinen:
Acrobat Reader
Can not view a PDF in a web browser, or the PDF opens outside the browser.
OK
Nach der Infektion des Computers werden diverse Dateien nachgeladen und auf dem Rechner abgespeichert / ausgeführt. Unter anderem können dabei folgende Dateien darunter sein (die Zahl / Nummer im Verzeichnisnamen weicht in der Regel von der Zahl / Nummer im Dateinamen ab):
- pfmea-4/pfmea-88.exe (Virustotal zeigt eine Erkennungsrate von 8/56)
- weber-49/weber-33.exe (Virustotal zeigt eine Erkennungsrate von 22/55)
- ampacity-46/ampacity-1.exe (Virustotal zeigt eine Erkennungsrate von 8/56)
- physics-7/physics-19.exe (Virustotal zeigt eine Erkennungsrate von 14/57)
Insbesondere nach der Anmeldung zum Online-Banking sollte Vorsicht gelten. Bereits beim Aufruf der Internetseite der Bank könnten sich einige Veränderungen zeigen (hier am Beispiel einer Sparkasse):
- Der Link zur Hauptseite fehlt
- Kontaktmöglichkeiten (oben rechts) fehlen
- Schaltflächen sind plötzlich leer (hier der Einkaufswagen „paydirekt“)
- Navigationspunkte fehlen (Wichtige Services und Fußzeile)
Spätestens nach der Anmeldung zum Online-Banking zeigt das Trojanische Pferd, was es möchte:
Sehr geehrter Kunde,
aufgrund der SEPA-Umstellung ist eine Fehlüberweisung auf Ihr Konto xxxxxxxxxx verbucht worden. Die Struktur des Sicherheitssystem von unserem Onlinebanking lässt nur Zahlungen mit Ihrer Freigabe zu. Damit Sie Ihr Konto weiterhin wie gewohnt nutzen können, muss die Rückzahlung der Fehlüberweisung von Ihnen freigegeben werden.
Ihr Guthaben, alle weiteren Unterkonten und Sparguthaben sind davon nicht betroffen. Es entstehen keine Transaktionskosten oder andere Nachteile für Sie. Bis zur Rückzahlung können Sie Ihr Konto nicht benutzen. Falls Sie keine online Rückzahlung tätigen, erhalten Sie in den nächsten Tagen einen Brief, mit dem Sie zu Ihrer Filiale gehen müssen, um die Überweisung auszuführen.
Bitte erledigen Sie dies umgehend um Ihren Zugang sofort wieder frei zu schalten.
Informationen der Fehlgutschrift:
Auftraggeber Finanzamt
IBAN DE1855350010xxxxxxxxxx
BIC MALADE51WOR
Betrag 7.960,00 EUR
Verwendungszweck Steuererstattung 2016
Kontoauszug anzeigen
Rückbuchung durchführen
Angeblich hat das Finanzamt aufgrund der SEPA-Umstellung eine Fehlüberweisung getätigt und bittet nun um Rücküberweisung. Allerdings sei das Konto bis zur Rückzahlung nicht mehr nutzbar. Dies wird u. a. dadurch untermauert, dass der Trojaner von den üblichen Funktionen des Online-Banking nur noch die Umsatzanzeige und die Überweisung anzeigt, alle anderen Funktionen blendet das Trojanische Pferd aus.
Bestätigen Sie niemals Meldungen nach der Anmeldung zum Online-Banking, die zur einer Überweisung auffordern oder aus sonstigen Gründen eine TAN verlangen!
Das Trojanische Pferd blendet nicht nur nach der Anmeldung die angebliche Fehlgutschrift ein, sondern fälscht auch die Umsatzanzeige:
Buchung Wertstellung Verwendungszweck Betrag
10.10.2016 10.10.2016 FEHLGUTSCHRIFT
Finanzamt
Steuererstattung 2016 7.960,00 EUR
Der auf dem infizierten PC angezeigte Kontostand ist um den Betrag der angeblichen Fehlgutschrift erhöht. Auf jedem anderen (nicht mit dem gleichen Trojanischen Pferd infizierten) Rechner oder Smartphone würde der Kontostand von dieser Anzeige abweichen. Im o. g. Beispiel weicht das Datum der Fehlgutschrift zwar von der Infektion ab, in den meisten Fällen handelt es sich aber um das aktuelle Tagesdatum.
Mit dem Überweisungsformular würde das Trojanische Pferd nur die geforderte Rücküberweisung zulassen. Es trägt bereits die angeblichen Daten des Finanzamtes ein:
In Wirklichkeit gehört die angezeigte Konto-Nr. aber nicht zum Finanzamt, sondern zu einem Finanzagenten, der das Geld anschließend an die Betrüger weiterleitet.
In der Seite zur Erzeugung der TAN würde die Bankverbindung in der Regel zwar nicht mehr angezeigt, aber auch hier ändert das Trojanische Pferd eine wichtige Kleinigkeit:
Eigentlich würde die Bank dazu auffordern,
1. Überprüfen Sie die Richtigkeit der letzten 10 Zeichen der IBAN des Empfängers bei dem Institut XYZ und bestätigen Sie diese mit der Taste OK.
Die Bank würde hier anzeigen, an welche andere Bank / welches Kreditinstitut die Überweisung abgesendet wird. Damit nicht auffällt, dass die Buchung nicht an das Finanzamt gesendet wird, entfernt das Trojanische Pferd den Hinweis auf die Bank.
Die aktuellen Sicherheitsverfahren im Online-Banking, egal ob chipTAN, smsTAN / mobile TAN, pushTAN bieten die Möglichkeit, die Konto-Nr. des Empfängers und den Betrag vor einer Ausführung des Auftrages zu kontrollieren. Wichtig ist, dass dieser Schutz genutzt wird. Wenn ich keine Überweisung tätigen möchte, dann darf im TAN-Generator / der SMS oder in der pushTAN-App auf meinem Smartphone keine IBAN (letzten 10 Stellen bzw. frühere Konto-Nr.) und kein Betrag erscheinen!