(Vorname Nachname) Ihr vorliegendes Konto ist nicht ausreichend gedeckt von Rechnungsstelle GiroPay GmbH ([email protected]) oder Rechnung zur Bestellung vom 25.03.2017 Nummer 501057074 von Rechtsanwalt Bank-Pay GmbH ([email protected])
Am Samstag, den 25. März 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Achtung: Die E-Mail lädt ein Trojanisches Pferd nach, welches u. a. das Online-Banking befällt und die Anzeige des Online-Banking manipuliert! Öffnen Sie daher nicht die Anlage!
Betreff: (Vorname Nachname) Ihr vorliegendes Konto ist nicht ausreichend gedeckt
Absender: Rechnungsstelle GiroPay GmbH ([email protected])Sehr geehrte/r (Vorname Nachname),
zu unserem Bedauern haben wir festgestellt, dass die Zahlungserinnerung NR667687136 bislang erfolglos blieb. Jetzt geben wir Ihnen hiermit letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten GiroPay GmbH zu begleichen.
Aufgrund des andauernden Zahlungsausstands sind Sie angewiesen zuzüglich, die durch unsere Tätigkeit entstandene Kosten von 54,11 Euro zu bezahlen. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 23.03.2017.
Gespeicherte Personalien:
(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)Tel. (Telefon-Nr.)
Bitte überweisen Sie den aussehenden Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätestens zum 30.03.2017 auf unserem Konto eingeht. Können wird bis zum genannten Datum keine Zahlung verbuchen, sind wir gezwungen Ihre Forderung an ein Inkasso zu übergeben. Alle damit verbundenen zusätzliche Kosten werden Sie tragen müssen.
Die vollständige Forderungsausstellung Nummer 667687136, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.
Mit freundlichen Grüßen
Rechnungsstelle Noel Carlstadt
Daneben ist zeitgleich auch diese Version unterwegs:
Betreff: Rechnung zur Bestellung vom 25.03.2017 Nummer 501057074
Absender: Rechtsanwalt Bank-Pay GmbH ([email protected])Sehr geehrte/r (Vorname Nachname),
bedauerlicherweise haben wir festgestellt, dass unsere Aufforderung NR501057074 bis jetzt ergebnislos blieb. Nun bieten wir Ihnen damit letztmalig die Chance, den ausbleibenden Betrag der Firma Bank-Pay GmbH zu begleichen.
Aufgrund des bestehenden Zahlungsrückstands sind Sie gezwungen zusätzlich, die durch unsere Beauftragung entstandene Kosten von 62,01 Euro zu tragen. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 23.03.2017.
Personalien:
(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)Tel. (Telefon-Nr.)
Überweisen Sie den nun fälligen Betrag unter Angaben der Artikelnummer so rechtzeitig, dass dieser spätestens zum 28.03.2017 auf unserem Konto eingeht. Können wird bis zum genannten Datum keine Überweisung einsehen, sind wir gezwungen unsere Forderung an ein Inkasso zu übergeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.
Die detaillierte Kostenaufstellung NR. 501057074, der Sie alle Positionen entnehmen können, befindet sich im Anhang.
Mit verbindlichen Grüßen
Rechtsanwalt Maximilian Treitzsaur
Auch diese Version wurde am 25.03.2017 versendet:
Betreff: Konto-Lastschrift konnte nicht vorgenommen werden 25.03.2017
Absender: Beauftragter Rechtsanwalt GiroPay AG ([email protected])Sehr geehrte(r) (Vorname Nachname),
bedauerlicherweise mussten wir gerade feststellen, dass unsere Erinnerung Nummer 360089266 bis jetzt ohne Reaktion Ihrerseits blieb. Jetzt geben wir Ihnen damit letztmalig die Chance, den nicht gedeckten Betrag der Firma GiroPay AG zu decken.
Aufgrund des bestehenden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Kosten von 70,44 Euro zu bezahlen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden. Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 23.03.2017.
Vertragliche Personalien:
(Vorname Nachname)
(Strasse und Haus-Nr.)
(PLZ und Wohnort)Tel. (Telefon-Nr.)
Überweisen Sie den nun fälligen Betrag unter Angaben der Artikelnummer so rechtzeitig, dass dieser spätestens zum 28.03.2017 auf unserem Bankkonto eingeht. Können wird bis zum genannten Termin keine Zahlung verbuchen, sind wir gezwungen unsere Forderung an ein Inkasso zu übergeben. Sämtliche damit verbundenen Kosten werden Sie tragen müssen.
Eine vollständige Forderungsausstellung ID 360089266, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.
Mit besten Grüßen
Beauftragter Rechtsanwalt Niklas Neumann
Achtung: Es handelt sich um eine betrügerische E-Mail Klicken Sie daher nicht auf die Dateianlage!
Die E-Mail behauptet, eine Rechnung sei nicht bezahlt worden und man hätte ein paar Tage Zeit, die Rechnung zu begleichen. Damit die E-Mail vertrauenswürdig erscheint, ist neben einem bekannten Firmennamen außerdem der Name, die Anschrift und die Telefon-Nr. des Empfängers enthalten.
Als Anlage ist ein .zip-Archiv beigefügt, welches das aktuelle Datum sowie den Namen des Empfängers enthält (z. B. „25.03.2017 Max Mustermann.zip“). In der ersten .zip-Datei ist ein weiteres .zip-Archiv (z. B. „Max Mustermann 25.03.2017.zip“), welches aber eine ausführbare Datei enthält (z. B. „Max Mustermann 25.03.2017.com“).
Klicken Sie nicht auf die Anlage und führen Sie diese nicht aus! Sie würden Ihren Computer sonst mit Trojanischen Pferden infizieren!
Nach der Ausführung des Trojaners würde zunächst folgende Meldung erscheinen:
Acrobat Reader
Can not view a PDF in a web browser, or the PDF opens outside the browser.
OK
Nach der Infektion des Computers werden diverse Dateien nachgeladen und auf dem Rechner abgespeichert / ausgeführt. Unter anderem können dabei folgende Dateien darunter sein (die Zahl / Nummer im Verzeichnisnamen weicht in der Regel von der Zahl / Nummer im Dateinamen ab):
- albedo-94.exe (Virustotal zeigt eine Erkennungsrate von 8/61)
- milliamp-65.exe (Virustotal zeigt eine Erkennungsrate von 20/61)
- floating-75.exe (Virustotal zeigt eine Erkennungsrate von 30/61)
- matrix-0.exe (Virustotal zeigt eine Erkennungsrate von 19/61)
Wie das Trojanische Pferd sich beim Online-Banking zeigen würde, sehen Sie z. B. in der Warnung „Rechnung für Max Mustermann NR984234039 vom 10.02.2017, Offene Rechnung: Buchungsnummer 74178776 und verschiedene mehr von Abrechnung Amazon GmbH ([email protected]), [email protected] und anderen“ vom 10.02.2017