Weitere Mahnung erfolgt in Ihre bank ([email protected]), Wir erwarten die Zahlung ([email protected] oder [email protected]), Sie haben eine ungedeckte Rechnung ([email protected]), Mahnung abhleichen ([email protected])

Am Donnerstag, den 11. August 2016 und in den folgenden Tagen wurden durch unbekannte Dritte die folgenden E-Mails in deutscher Sprache versendet:

20160811_weitere_mahnung_erfolgt_in_ihre_bank

Guten Tag!

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine
ungedeckte Rechnung bei Postbank AG.
Bitte laden Sie die Datei aus dem Link:
http://www.monparfum.it/payments/info.doc

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet
auberdem, die durch unsere Beauftragung entstandenen Kosten von 37,44
Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 25.08.2016
auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir
Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der
festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der
Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle
Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder
Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben
Zeitraums.

Auf Wiedersehen!

Die E-Mail kommt mit unterschiedlichen Betreffzeilen und Absendern wie z. B.

Die Anrede lautet entweder „Sehr geehrter Kunde! oder „Guten Tag!“.

Als angeblich ungedeckte Rechnung sind unterschiedliche Banken wie

  • Deutsche Bank
  • GLS Bank
  • Postbank AG
  • HSH Nordbank

genannt.

Die Links gehen auf

  • www.monparfum.it/payments/info.doc oder
  • www.monparfum.it/payments/history.doc oder
  • guestlistalamode.com/bank/report.doc.

Auch die Beträge und Fristen unterscheiden sich:

  • 18,23 Euro zum 18.08.2016
  • 36,19 Euro zum 19.08.2016
  • 37,44 Euro zum 25.08.2016
  • 38,34 Euro zum 19.08.2016
  • 47,98 Euro zum 20.08.2016
  • 75,43 Euro zum 20.08.2016

Die Grußzeile lautet entweder „Leben Sie wohl!“ oder „Auf Wiedersehen!“.

 

Klicken Sie nicht auf den Link und laden / speichern / öffnen Sie nicht das Word-Dokument! Im Word-Dokument wird auf eine angeblich veraltete Microsoft Word – Version hingewiesen. Damit das Dokument doch betrachtet werden kann, soll ein Makro ausgeführt werden.

20160811_weitere_word

Klicken Sie nicht auf „Inhalt aktivieren“! Anschließend wird über die IP-Adresse 88.119.179.160 die Datei 1biycuhoqetzowaawneab.exe geladen und ausgeführt.

Virustotal zeigt eine Erkennungsrate von 11/54.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.