Max Mustermann Ihre Rechnung zur Bestellung NR942701334 vom 01.06.2017 von Rechnungsstelle Bank-Pay AG ([email protected])

Am Donnerstag, den 01. Juni 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Die E-Mail lädt ein Trojanisches Pferd nach, welches u. a. das Online-Banking befällt und die Anzeige des Online-Banking manipuliert! Öffnen Sie daher nicht die Anlage!

Betreff: Max Mustermann Ihre Rechnung zur Bestellung NR942701334 vom 01.06.2017
Absender: Rechnungsstelle Bank-Pay AG ([email protected])

Sehr geehrte(r) Max Mustermann,

zu unserem Bedauern haben wir festgestellt, dass die Erinnerung NR942701334 bislang ergebnislos blieb. Nun bieten wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten Bank-Pay AG zu decken.

Aufgrund des andauernden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die durch unsere Inanspruchnahme entstandene Gebühren von 84,57 Euro zu bezahlen. Bei Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 31.05.2017.

Hinterlegte Daten:

Max Mustermann
Musterstr. 1
12345 Muster

 

Bitte überweisen Sie den fälligen Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätestens zum 07.06.2017 auf unserem Konto verbuc ht wird. Können wird bis zum genannten Termin keine Zahlung einsehen, sind wir gezwungen Ihren Mahnbescheid an ein Inkasso zu übergeben. Alle damit verbundenen Zusatzkosten werden Sie tragen.

Die detaillierte Forderungsausstellung NR. 942701334, der Sie alle Buchungen entnehmen können, ist beigefügt.

Mit verbindlichen Grüßen

Rechnungsstelle Maxim Graf

Achtung: Es handelt sich um eine gefälschte Nachricht! Klicken Sie daher nicht auf die Anlage zur E-Mail! In der Anlage, die den Empfängernamen enthält, ist eine bösartige Software enthalten! 

Die betrügerische E-Mail behauptet, eine Rechnung sei nicht bezahlt worden und man hätte ein paar Tage Zeit, die Rechnung zu begleichen. Damit die E-Mails vertrauenswürdig erscheinen, ist neben einem bekannten Firmennamen außerdem der Name und die Anschrift des Empfängers enthalten.

Die E-Mail kommt mit unterschiedlichen Betreffzeilen und Absendern. Hier einige Beispiel aus 2017:

• 04.01.2017: Ihr vorliegendes Girokonto ist nicht ausreichend gedeckt von Rechnungsstelle Directpay GmbH ([email protected]), Automatische Konto-Lastschrift konnte nicht durchgeführt werden 03.01.2017 von [email protected] oder Offene Rechnung von Ebay 99379521 von Stellvertretender Rechtsanwalt Ebay AG ([email protected])
• 10.02.2017: Rechnung für Max Mustermann NR984234039 vom 10.02.2017, Offene Rechnung: Buchungsnummer 74178776 und verschiedene mehr von Abrechnung Amazon GmbH ([email protected]), [email protected] und anderen
• 08.03.2017: Rechnung für Max Mustermann noch offen: Nr. 36332726& von Stellvertretender Sachbearbeiter OnlinePayment GmbH ([email protected]) oder Die automatische Lastschrift von DirectPay konnte nicht durchgeführt werden Max Mustermann von Inkasso DirectPay GmbH ([email protected])
• 18.03.2017: Rechnung noch offen 18.03.2017 Nummer 88918807 von Rechnungsstelle Directpay GmbH ([email protected])
• 25.03.2017: (Vorname Nachname) Ihr vorliegendes Konto ist nicht ausreichend gedeckt von Rechnungsstelle GiroPay GmbH ([email protected]) oder Rechnung zur Bestellung vom 25.03.2017 Nummer 501057074 von Rechtsanwalt Bank-Pay GmbH ([email protected])
• 07.04.2017: Automatische Kontoabbuchung konnte nicht durchgeführt werden 06.04.2017 von Inkasso Directpay24 GmbH ([email protected])
• 15.05.2017: (Vorname Nachname) Ihre Rechnung zur Bestellung Nr. 367948987 vom 15.05.2017 von Rechtsanwalt OnlinePayment AG ([email protected])
• 08.06.2017: (Vorname Nachname) Konto-Lastschrift Nr. 51807560 konnte nicht durchgeführt werden 8 Juni 2017 von [email protected]

Als Anlage ist ein .zip-Archiv beigefügt, welches den Namen des Empfängers enthält (z. B. „01.06.2017 Max Mustermann.zip“).

Klicken Sie nicht auf die Anlage und führen Sie diese nicht aus! Sie würden Ihren Computer sonst mit Trojanischen Pferden infizieren! Nach der Ausführung des Trojaners würde zunächst folgende Meldung erscheinen:

Acrobat Reader

Can not view a PDF in a web browser, or the PDF opens outside the browser.

OK

Dieser Downloader lädt verschiedene Dateien nach (hier eine Auflistung der an mehreren Tagen nachgeladenen Dateien):

• ampacity-7/ampacity-25.exe (Erkennungsrate: 34/61)
• ascii-6/ascii-4.exe (Erkennungsrate: 32/61)
• baseband-8/baseband-8.exe (Erkennungsrate: 28/61)
• boost-72/boost-45.exe (Erkennungsrate: 30/61)
• booster-7/booster-99.exe (Erkennungsrate: 23/61)
• centroid-1/centroid-94.exe (Erkennungsrate: 34/61)
• componet-7/componet-2.exe (Erkennungsrate: 38/61)
• componet-48/componet-6.exe (Erkennungsrate: 41/61)
• cycles-61/cycles-5.exe (Erkennungsrate: 31/61)
• cycles-6/cycles-6.exe (Erkennungsrate: 32/60)
• ddram-6/ddram-34.exe (Erkennungsrate: 33/61)
• diode-03/diode-2.exe (Erkennungsrate: 30/61)
• dslam-19/dslam-7.exe (Erkennungsrate: 37/60)
• dynamics-47/dynamics-73.exe (Erkennungsrate: 41/61)
• ethernet-2/ethernet-5.exe (Erkennungsrate: 33/61)
• evkit-9/evkit-9.exe (Erkennungsrate: 30/61)
• fieldbus-1/fieldbus-56.exe (Erkennungsrate: 25/60)
• gigabit-9/gigabit-6.exe (Erkennungsrate: 42/60)
• hadron-1/hadron-8.exe (Erkennungsrate: 38/60)
• jedec-8/jedec-16.exe (Erkennungsrate: 25/61)
• mxtni-9/mxtni-5.exe (Erkennungsrate: 22/61)
• pcmcia-42/pcmcia-87.exe (Erkennungsrate: 39/61)
• physics-74/physics-25.exe (Erkennungsrate: 31/61)
• shutdown-63/shutdown-70.exe (Erkennungsrate: 36/61)
• sonet-82/sonet-5.exe (Erkennungsrate: 36/61)
• sound-12/sound-68.exe (Erkennungsrate: 29/61)
• watchdog-0/watchdog-61.exe (Erkennungsrate: 32/61)
• weber-43/weber-59.exe (Erkennungsrate: 36/61)
• wimax-5/wimax-51.exe (Erkennungsrate: 31/61)

 

Welche Änderungen das Trojanische Pferd am Online-Banking vornimmt, sehen Sie in der Warnung „Automatische Kontoabbuchung konnte nicht durchgeführt werden 06.04.2017 von Inkasso Directpay24 GmbH ([email protected])“ vom 07.04.2017.

Kommentar(e)