allgemeine Warnung vor angeblichen Mahnungen / Rechnungen / Zahlungserinnerungen

In den letzten Jahren kommen angebliche Mahnungen / Rechnungen / Zahlungserinnerungen immer wieder vor, die ein ZIP-Archiv mitbringen. Im Juli 2017 wurden diese E-Mails durch unbekannte Dritte wieder verstärkt versendet. Die unbekannten Absender scheinen dabei ähnliche Texte zu nutzen. Die in der E-Mail enthaltenen (wenigen) Rechtschreibefehler fallen dabei vermutlich nicht auf. Außerdem stimmt – je nach Zusammenstellung – der Satzbau nicht. Dies wird wohl auch kaum auffallen. Der offensichtlichste Fehler ist die nicht zum genannten Unternehmen passende E-Mail-Adresse:

 

Betreff: Ihr gespeichertes Konto ist nicht genügend gedecktKonto-Lastschrift konnte nicht vorgenommen werden TT.MM.JJJJLastschrift Nummer (8-9stellige Zahl) konnte nicht vorgenommen werden TT.MM.JJJJRechnung noch offen: Nr. (8-9stellige Zahl)Rechnung noch offen TT.MM.JJJJ Nummer (8-9stellige Zahl)Rechnung vom TT.MM.JJJJRechnung zur Bestellung Nr. (8-9stellige Zahl)
Absender: DirectPay GmbHGiroPay GmbHOnlinePay24 GmbHOnlinePayment GmbHPay Online AG AbrechnungInkassoInkasso AbteilungRechnungsstelleSachbearbeiterStellvertretender Sachbearbeiter (adminbillinginkassorechnungsupport@amazon.comebay.comebay.degiropay.compaypal.com)

 

Guten Tag,Sehr geehrter Käufer,Sehr geehrter Kunde,

 

unser Inkasso Bürounsere Anwalts-Kanzleiwir wurden heute am TT.MM.JJJJ vom Unternehmenvonvon der Firma DirectPay GmbHGiroPay GmbHOnlinePay24 GmbHOnlinePayment GmbHPay Online AG beauftragtgebeten Ihre finanziellengesetzlichen InteressenRechte in Ihrem FallIhrer Angelegenheit zu schützenvertreten.

 

Die gesamte Überweisung erwarten wirDie Zahlung erwarten wirWir erwarten die ÜberweisungWir erwarten die Überweisung inbegriffen der GebührenWir erwarten die Überweisung zuzüglich der MahnkostenWir erwarten die Überweisung zuzüglich der ZusazgebührenWir erwarten die Zahlung bis spätestenszum TT.MM.JJJJ auf unser Bankkontoauf unser Girokonto. Falls wirKönnen wird bis zum genannten DatumTermin keine ÜberweisungZahlung bestätigeneinsehenverbuchen, sehen wir uns gezwungen Ihren FallIhren Mahnbescheidunsere Forderung an ein Gericht abzugeben. AlleSämtliche damit verbundenen KostenZusatzkosten gehen zu Ihrer Lastwerden Sie tragenwerden Sie tragen müssen.

 

DieEine detailliertevollständige ForderungsausstellungKostenaufstellung ID (9stellige Zahl)NR(9stellige Zahl)NR. (9stellige Zahl), der Sie alle BuchungenEinzelpositionenPositionen entnehmen können, fügen wir beiist beigefügt.

 

Aufgrund des andauerndenbestehenden ZahlungsausstandsZahlungsrückstandsZahlungsverzug sind Sie angewiesengezwungenverpflichtet außerdemdabeizusätzlich die durch unsere BeauftragungInanspruchnahmeTätigkeit entstandene GebührenKosten von xx,xx Euro zu bezahlentragen. Um weitetezusätzliche MahnkostenKosten auszuschließenzu vermeiden, bitten wir Sie den ausstehendenfälligen Betrag auf unser BankkontoKonto zu überweisen. Berücksichtigt wurden alle BuchungenBuchungseingängeZahlungenZahlungseingänge bis zum TT.MM.JJJJ.

 

Bei FragenRückfragen oder AnregungenReklamationenUnklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden48 Stundendrei Werktagen.

 

Mit bestenfreundlichen Grüßen

 

AbrechnungInkassoInkasso AbteilungRechnungsstelleSachbearbeiterStellvertretender Sachbearbeiter BenBraheEliasJohnKevinMattisMaxSebastian PirkheimerPirkenheimerQuadtSpalatinTucherWalter

 

Beispiele aus den letzten Tagen:

• 19.07.2017: Rechnung zur Bestellung Nr. 683567691 von OnlinePayment GmbH Inkasso Abteilung ([email protected])
• 18.07.2017: Rechnung noch offen: Nr. 28122631 von OnlinePayment GmbH Stellvertretender Sachbearbeiter ([email protected])
• 17.07.2017: Konto-Lastschrift konnte nicht vorgenommen werden 17.07.2017 von OnlinePay24 GmbH Inkasso Abteilung ([email protected]) oder Ihr gespeichertes Konto ist nicht genügend gedeckt von Pay Online AG Abrechnung ([email protected])
• 12.07.2017: Lastschrift Nummer 65593259 konnte nicht vorgenommen werden 12.07.2017 von GiroPay GmbH Sachbearbeiter ([email protected]) oder Rechnung noch offen 12.07.2017 Nummer 67405494 von Directpay GmbH Inkasso ([email protected])
• 10.07.2017: Rechnung vom 10.07.2017 von DirectPay GmbH Rechnungsstelle ([email protected])

 

Leiten Sie solche oder ähnliche E-Mails an [email protected] weiter, damit die E-Mails und Anlagen untersucht werden können. Vielen Dank.

 

Derzeit ist den E-Mails ein .zip-Archiv beigefügt, welches das Tagesdatum enthält und eine bösartige Software enthält.

Klicken Sie nicht auf die Anlage und führen Sie diese nicht aus! Sie würden Ihren Computer sonst mit Trojanischen Pferden infizieren! Nach der Ausführung des Trojaners würde zunächst folgende Meldung erscheinen:

Acrobat Reader

Can not view a PDF in a web browser, or the PDF opens outside the browser.

OK

 

Insbesondere nach der Anmeldung zum Online-Banking sollte Vorsicht gelten. Bereits beim Aufruf der Internetseite der Bank könnten sich einige Veränderungen zeigen (hier am Beispiel einer Sparkasse):

• Der Link zur Hauptseite fehlt
• Kontaktmöglichkeiten (oben rechts) fehlen
• Schaltflächen sind plötzlich leer (hier der Einkaufswagen „paydirekt“)
• Navigationspunkte fehlen (Wichtige Services und Fußzeile)

Spätestens nach der Anmeldung zum Online-Banking zeigt das Trojanische Pferd, was es möchte:

Sehr geehrter Kunde,

aufgrund der SEPA-Umstellung ist eine Fehlüberweisung auf Ihr Konto xxxxxxxxxx verbucht worden. Die Struktur des Sicherheitssystem von unserem Onlinebanking lässt nur Zahlungen mit Ihrer Freigabe zu. Damit Sie Ihr Konto weiterhin wie gewohnt nutzen können, muss die Rückzahlung der Fehlüberweisung von Ihnen freigegeben werden.

Ihr Guthaben, alle weiteren Unterkonten und Sparguthaben sind davon nicht betroffen. Es entstehen keine Transaktionskosten oder andere Nachteile für Sie. Bis zur Rückzahlung können Sie Ihr Konto nicht benutzen. Falls Sie keine online Rückzahlung tätigen, erhalten Sie in den nächsten Tagen einen Brief, mit dem Sie zu Ihrer Filiale gehen müssen, um die Überweisung auszuführen.

Bitte erledigen Sie dies umgehend um Ihren Zugang sofort wieder frei zu schalten.

Informationen der Fehlgutschrift:
Auftraggeber Finanzamt
IBAN DE1855350010xxxxxxxxxx
BIC MALADE51WOR
Betrag 7.960,00 EUR
Verwendungszweck Steuererstattung 2016
Kontoauszug anzeigen
Rückbuchung durchführen

Angeblich hat das Finanzamt aufgrund der SEPA-Umstellung eine Fehlüberweisung getätigt und bittet nun um Rücküberweisung. Allerdings sei das Konto bis zur Rückzahlung nicht mehr nutzbar. Dies wird u. a. dadurch untermauert, dass der Trojaner von den üblichen Funktionen des Online-Banking nur noch die Umsatzanzeige und die Überweisung anzeigt, alle anderen Funktionen blendet das Trojanische Pferd aus.

Bestätigen Sie niemals Meldungen nach der Anmeldung zum Online-Banking, die zur einer Überweisung auffordern oder aus sonstigen Gründen eine TAN verlangen!

Das Trojanische Pferd blendet nicht nur nach der Anmeldung die angebliche Fehlgutschrift ein, sondern fälscht auch die Umsatzanzeige:

Buchung Wertstellung Verwendungszweck Betrag
10.10.2016 10.10.2016 FEHLGUTSCHRIFT
Finanzamt
Steuererstattung 2016 7.960,00 EUR

Der auf dem infizierten PC angezeigte Kontostand ist um den Betrag der angeblichen Fehlgutschrift erhöht. Auf jedem anderen (nicht mit dem gleichen Trojanischen Pferd infizierten) Rechner oder Smartphone würde der Kontostand von dieser Anzeige abweichen. Im o. g. Beispiel weicht das Datum der Fehlgutschrift zwar von der Infektion ab, in den meisten Fällen handelt es sich aber um das aktuelle Tagesdatum.

Mit dem Überweisungsformular würde das Trojanische Pferd nur die geforderte Rücküberweisung zulassen. Es trägt bereits die angeblichen Daten des Finanzamtes ein:

In Wirklichkeit gehört die angezeigte Konto-Nr. aber nicht zum Finanzamt, sondern zu einem Finanzagenten, der das Geld anschließend an die Betrüger weiterleitet.

In der Seite zur Erzeugung der TAN würde die Bankverbindung in der Regel zwar nicht mehr angezeigt, aber auch hier ändert das Trojanische Pferd eine wichtige Kleinigkeit:

Eigentlich würde die Bank dazu auffordern,

1. Überprüfen Sie die Richtigkeit der letzten 10 Zeichen der IBAN des Empfängers bei dem Institut XYZ und bestätigen Sie diese mit der Taste OK.

Die Bank würde hier anzeigen, an welche andere Bank / welches Kreditinstitut die Überweisung abgesendet wird. Damit nicht auffällt, dass die Buchung nicht an das Finanzamt gesendet wird, entfernt das Trojanische Pferd den Hinweis auf die Bank.

Die aktuellen Sicherheitsverfahren im Online-Banking, egal ob chipTAN, smsTAN / mobile TAN, pushTAN bieten die Möglichkeit, die Konto-Nr. des Empfängers und den Betrag vor einer Ausführung des Auftrages zu kontrollieren. Wichtig ist, dass dieser Schutz genutzt wird. Wenn ich keine Überweisung tätigen möchte, dann darf im TAN-Generator / der SMS oder in der pushTAN-App auf meinem Smartphone keine IBAN (letzten 10 Stellen bzw. frühere Konto-Nr.) und kein Betrag erscheinen! 

Kommentar(e)