Informationen über Besteuerungssystem und Schulden oder Schulde auf Vermögenssteuer von Manager ([email protected])

Am Donnerstag, den 27. Juli 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Klicken Sie nicht auf den Anhang und führen Sie den Inhalt nicht aus!

Betreff: Informationen über Besteuerungssystem und Schulden oder Schulde auf Vermögenssteuer
Absender: Manager ([email protected])

Sehr geehrter Bürger,

Mein Name ist Günther Brown, ich bin der offizielle Vertreter der deutschen Steuerbehorde, Abteilung der Immobiliensteuer.

Meine Abteilung ist verantwortlich, die Bürger zu informieren, ihnen das Steuersystem zu aufklären, sie in allen Fragen im Zusammenhang mit Steuerprozeduren, Schulden, Zahlungen usw. zu unterstutzen.

Bei Ihrem Fall muss ich Ihnen Bescheid sagen, dass Sie namhafte Schulde auf Vermogenssteuer haben. nämlich, es ist eine ernste Schuld auf die Grundsteuer. In der Regel ignorieren wir solche Schulden fur 4-6 Monate, aber in Ihrer Situation, die Verzögerungsperiode beträgt 7 Kalendermonate. demgemäß sollen wir geeignete Maßnahmen ergreifen, um die Lage zu beheben.

Speziell für Ihre Bequemlichkeit haben unsere Spezialisten einen individuellen Bericht vorbereitet. Er enthält alle Informationen über das Besteuerungsverfahren auf Grundsteuer, auf Ihre Schulden (einschließlich Gesamtsumme), sowie eine Tabelle der ausstehenden Betrage fur jeden Monat der Zeit der Schulden.

Der Bericht ist in der beigefügten Datei

Bitte lesen Sie das Dokument in kurzester Frist. Nach dem Empfang dieser Nachricht haben Sie einen Tag, um mit Ihrem Wirtschaftsprufer zu kontaktieren und ihm die Angaben in diesem Bericht erhalten zu mitteilen, um das Problem zu lösen. Andernfalls konnen namhafte Sanktionen (Bußgelder und Strafen) folgen.

Mit freundlichen Grüßen,

Gunther Braun,
Abteilung fur Grundsteuer,
Die Steuerbehörde Deutschlands

Achtung: Es handelt sich um eine gefälschte E-Mail! Die E-Mail-Adresse von PrintPlanet gehört sicher nicht zur „Steuerbehörde Deutschlands“! Klicken Sie deswegen nicht auf den Anhang und führen Sie den Inhalt nicht aus! Das Unternehmen PrintPlanet wird durch den Missbrauch/die Fälschung deren E-Mail-Adresse selbst zum Opfer.

Bösartige E-Mails mit diesem Absender hat es bereits am 22.06. gegeben (siehe Warnung „Herr (Vorname Nachname) Neuanschaffung!, neue Ordnung! oder -bestellen von printplanet.de ([email protected])“). Leiten Sie solche oder ähnliche gefälschte E-Mails an [email protected] weiter. Vielen Dank.

Die E-Mails kommen mit ähnlichen Formulierungen. Hier ein weiteres Beispiel:

Sehr geehrter Bürger,

Ich heiße Günther Brown, ich bin der offizielle Vertreter der deutschen Steuerbehorde, Abteilung der Immobiliensteuer.

Meine Abteilung ist haftbar, die Staatsangehörigen zu informieren, ihnen das Steuersystem zu aufklären, sie in allen Angelegenheit im Zusammenhang mit Steuerverfahren, Schulden, Zahlungen usw. zu unterstutzen.

Bei Ihrem Fall muss ich Ihnen mitteilen, dass Sie namhafte Schulde auf Vermogenssteuer haben. nämlich, es ist eine schwere Schuld auf die Grundsteuer. In der Regel ignorieren wir solche Schulden fur 4-6 Monate, aber in Ihrer Lage, die Verzögerungsperiode beträgt 7 Kalendermonate. deshalb mussen wir entsprechende Maßnahmen einleiten, um die Situation zu beheben.

besonders für Ihre Bequemlichkeit haben unsere Fachleute einen individuellen Bericht vorbereitet. Er enthält alle Informationen über das System der Steuern auf Grundsteuer, auf Ihre Schulden (einschließlich Gesamtsumme), sowie eine Tabelle der nicht bezahlten Betrage fur jeden Monat der Zeit der Schulden.

Der Bericht befindet sich in der beigefügten Datei

bitte sehr lesen Sie das Dokument in der nahen Zukunft. Nach dem Empfang diesen Bericht haben Sie einen Tag, um mit Ihrem Steuerinspektor zu kontaktieren und ihm die Angaben in diesem Bericht erhalten zu mitteilen, um das Problem zu lösen. im anderen Fall konnen erhebliche Sanktionen (Bußgelder und Strafen) folgen.

Mit freundlichen Grüßen,

Gunther Braun,
Abteilung fur Grundsteuer,
Die Steuerbehörde Deutschlands

Allen E-Mails ist eine Datei „Datei.zip“ beigefügt, die ein JavaScript („Datei.js“) enthält:

Datei.zip

Datei.js

Das JavaScript würde wie folgt beginnen:

function RgTES(){ function RgTES(){
var DTmKZAnD = new ActiveXObject(‚Scripting.FileSystemObject‘); mywSSON = DTmKZAnD.GetSpecialFolder(2);    var tAoc = DTmKZAnD.OpenTextFile(mywSSON + ‚/‘ + ‚KafNnLa.txt‘, 1); if(PablG.FileExists(‚SBJMo.txt‘))PablG.DeleteFile(mywSSON + ‚/‘ + ‚SBJMo.txt‘); var pzZqbPOR =  tAoc.ReadAll(); if(PablG.FileExists(‚SBJMo.txt‘))PablG.DeleteFile(mywSSON + ‚/‘ + ‚SBJMo.txt‘); tAoc.Close(); if(PablG.FileExists(‚SBJMo.txt‘))PablG.DeleteFile(mywSSON + ‚/‘ + ‚SBJMo.txt‘); return pzZqbPOR; }

Auch wenn nach der Ausführung des JavaScript u. U. eine oder mehrere Fehlermeldungen angezeigt werden, so ist das System vermutlich dennoch infiziert. Das JavaScript setzt sich u. a. mit 185.154.53.126/logo.img?ff1 und mit araxisstart.at/x32.bin in Verbindung.

Damit das Programm bei jedem Start ausgeführt wird, trägt es sich in die Registry ein

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: ctl3spci
Daten: C:\Users\user\AppData\Roaming\Microsoft\BWCo32gt\batt2022.exe

Virustotal zeigt für die „batt2022.exe“ eine Erkennungsrate von 8/61.

Es handelt sich um ein Trojanisches Pferd, welches nach dem Start sofort damit beginnt, im System vorhandene Passwörter auszuspähen (u. a. auch das der E-Mail-Adresse) oder Eingaben zu protokollieren und an die Betrüger zu übermitteln.

Es handelt sich auch um einen Online-Banking-Trojaner. Einige Minuten nach der Ausführung lädt das Programm entsprechenden Code nach, um die Online-Banking-Seiten der deutschen Banken zu verändern (hier am Beispiel einer Sparkasse). Achtung: Es handelt sich um eine gefälschte Einblendung. Diese stammt nicht von Ihrer Bank! Folgen Sie nicht der Aufforderung! Geben Sie TAN-Nummern niemals ein, wenn Sie keine Transaktion (z. B. Überweisung) tätigen und kontrollieren Sie immer die Auftragsdaten (z. B. im TAN-Generator)!

(Vorname Nachname),
Aufgrund der wiederholten Betrugsfälle mit Bankkonten bzw.-Karten der Kunden führt die Bank ein neues System der Echtheitsprüfung von Transaktionsnummern (TANs) ein.
Für die verbindliche Überprüfung Ihres Accounts hinsichtlich des Abfangens von smsTAN (gefälschter TAN-Generator) werden Sie auf ein Demo-Konto umgestellt. Nach dem Login in das Demo-Konto werden Ihnen die speziell generierten Daten zur Verfügung gestellt. Es ist erforderlich, dass Sie diese Daten aus der SMS-Nachricht (TAN-Generator) mit den Daten abgleichen, die auf dem Bildschirm vom Online-Banking dargestellt werden bzw. diese mit der Eingabe der TAN bestätigen.
Je nach Häufigkeit der Benutzung vom Online-Banking muss die Echtheitsprüfung mehrmals ausgeführt werden.
Für die Fortsetzung klicken Sie auf „Weiter“.

Würden Sie auf „Weiter“ klicken, dann blendet das Trojanische Pferd folgende Seite ein. Achtung: Es handelt sich nicht um den echten Demo-Zugang Ihrer Bank! Da Sie sich nicht abgemeldet haben, befinden Sie sich immer noch in Ihrem Online-Banking! Folgen Sie daher nicht den Anweisungen!

Demo-Konto

Testen Sie selbst. Verwenden Sie dazu bitte folgende Zugangsdaten:
Legitimations-ID: DEMO
PIN: 12345

Mit dem Senden Ihrer Anmeldedaten erkennen Sie die Sicherheitshinweise an.

Online-Banking Login

Danach tätigt das Trojanische Pferd einige Abfragen im Online-Banking. Während dieser Zeit dreht sich ein Zahnrad in der Mitte der Seite:

Anschließend fordert das Trojanische Pferd zur Bestätigung einer DEMO-Überweisung auf. Folgen Sie niemals dieser Aufforderung! Würde es sich um ein echtes DEMO-Konto handeln, dann könnten Sie jede X-beliebige TAN eingeben und würden niemals dazu aufgefordert, die TAN mit Hilfe Ihrer echten Karte zu erzeugen!

Herzlich Willkommen zum Demo-Konto. Sie haben die zweite Testphase der verbesserten Online-Banking-Schutzanlage eingegeben.
Bitte drücken „Weiter“ um fortzufahren.

Demo-Überweisung

Begünstigter (Name oder Firma)* : Hans Muller
IBAN*: DEXX XXXX XX0 0645 3030 2
Betrag* : 8000 EUR
Verwendungszweck : Demo
Ausführung : TT.MM.JJJJ
Auftraggeberkonto* : 123456 – Mustermann, Max

Weiter >

Danach würde die betrügerische Einblendung zur Erzeugung der TAN auffordern. Folgen Sie nicht der Aufforderung! Geben Sie TAN-Nummern niemals ein, wenn Sie keine Transaktion (z. B. Überweisung) tätigen und kontrollieren Sie immer die Auftragsdaten (z. B. im TAN-Generator)!

Gratulieren!
Sie haben die zweite Testphase der verbesserten Online-Banking-Schutzanlage eingegeben.
Überprüfen Sie genau die Übereinstimmung der Daten im TAN-Generator mit den Daten auf dem Bildschirm. Bestätigen Sie die Korrektheit der Daten mit dieser TAN.

Sie werden für eine Demo-Überweisung niemals Ihre echte Bankkarte benötigen! Folgen Sie daher niemals dieser Aufforderung!

 

Haben Sie eine betrügerische Buchung bestätigt? Wenden Sie sich in diesem Fall umgehend an Ihre Bank oder lassen Sie Ihren Online-Banking-Zugang über die zentrale Sperr-Hotline 116 116 sperren und wenden Sie sich dann zur Öffnungszeit an Ihre Bank!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert