Unbeglichene Rechnung 3 August 2017 Buchungsnummer 47152810 von Stellvertretender Rechtsanwalt OnlinePayment ([email protected]) oder Rechnung vom 02.08.2017 von Directpay24 GmbH Beauftragter Rechtsanwalt ([email protected])
Am Donnerstag, den 03. August 2017 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mail lädt ein Trojanisches Pferd nach, welches u. a. das Online-Banking befällt und die Anzeige des Online-Banking manipuliert! Öffnen Sie daher nicht die Anlage!
Betreff: Unbeglichene Rechnung 3 August 2017 Buchungsnummer 47152810
Absender: Stellvertretender Rechtsanwalt OnlinePayment ([email protected])Sehr geehrte(r) (Vorname Nachname),
bedauerlicherweise haben wir festgestellt, dass unsere Zahlungserinnerung NR471528100 bislang ergebnislos blieb. Nun bieten wir Ihnen nun letztmalig die Chance, den nicht gedeckten Betrag der Firma OnlinePayment GmbH zu begleichen.
Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die durch unsere Beauftragung entstandene Gebühren von 77,03 Euro zu bezahlen. Bei Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 02.08.2017.
Gespeicherte Daten:
(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)
Bitte überweisen Sie den aussehenden Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätestens zum 9 August 2017 auf unserem Konto verbucht wird. Können wird bis zum genannten Datum keine Überweisung bestätigen, sind wir gezwungen Ihren Mahnbescheid an ein Inkassounternehmen zu übergeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen.
Die vollständige Kostenaufstellung Nummer 471528100, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.
Mit besten Grüßen
Stellvertretender Rechtsanwalt Adrian Schwarz
Achtung: Es handelt sich um gefälschte Nachrichten! Klicken Sie daher nicht auf die Anlage zur E-Mail! In der Anlage ist eine bösartige Software enthalten!
Die Absenderadresse @newsletter.karstadt.de bzw. Antwort-Adresse [email protected] ist bei dieser Art der betrügerischen E-Mails neu. Die Nachricht stammt aber nicht von diesen Adressen. Karstadt hat mit der E-Mail nichts zu tun!
Den betrügerischen E-Mails mit persönlichen Angaben wie den Adressdaten ist eine Anlage „Vorname Nachname 3 August 2017.zip“ beigefügt, die nochmals den gleichen Dateinamen „Vorname Nachname 3 August 2017.zip“ enthält. Im zweiten ZIP-Archiv ist dann die ausführbare Datei „3 august 2017 vorname nachnamen.com“ enthalten. Führen Sie die Datei nicht aus!
Hier ein zweites Beispiel:
Betreff: Rechnung vom 02.08.2017
Absender: Directpay24 GmbH Beauftragter Rechtsanwalt ([email protected])Sehr geehrter Kunde,
unsere Kanzlei wurden heute am 01.08.2017 vom Unternehmen Directpay24 GmbH beauftragt Ihre gesetzlichen Rechte in Ihrem Fall zu vertreten.
Wir erwarten die Überweisung zuzüglich der Mahnkosten bis zum 08.08.2017 auf unser Bankkonto. Können wird bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen müssen.
Die vollständige Kostenaufstellung Nr. 286524219, der Sie alle Positionen entnehmen können, ist beigefügt.
Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 88,84 Euro zu bezahlen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 02.08.2017.
Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.
Mit verbindlichen Grüßen
Beauftragter Rechtsanwalt Till Hoffmann
Achtung: Es handelt sich um gefälschte Nachrichten! Klicken Sie daher nicht auf die Anlage zur E-Mail! In der Anlage ist eine bösartige Software enthalten!
Den betrügerischen E-Mails ohne persönliche Angaben ist eine Anlage „02.08.2017.zip“ beigefügt, die ein ZIP-Archiv „Rechnung 02.08.2017.zip“ enthält. Im zweiten ZIP-Archiv ist dann die ausführbare Datei „02.08.2017 Rechnung.com“ enthalten. Führen Sie die Datei nicht aus!
In der Warnung „Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden von Stellvertretender Sachbearbeiter GiroPay AG ([email protected])“ vom 01.08.2017 sehen Sie, welche Dateien das Trojanische Pferd nachlädt und wie das Programm versucht, im Online-Banking Geld zu klauen.
Als Absender war in 2017 meistens eine Person der folgenden Liste aufgeführt:
|
|
Daneben werden sowohl als Absender wie auch im Text der E-Mail folgende Firmen genannt, die mit dieser E-Mail nichts zu tun haben:
|
|
Die E-Mail-Adresse passt zwar oftmals nicht zum genannten Absender (wie auch bei der aktuellen E-Mail: siehe oben). Die unbekannten Absender verwenden die Adressen vermutlich deswegen, weil Sie vertrauenerweckend aussehen sollen. Die genannten Unternehmen haben die E-Mail nicht versendet!
Der Betreff solcher Nachrichten war in diesem Jahr in der Regel:
- Automatische Kontoabbuchung konnte nicht vorgenommen werden 31.07.2017
- Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden
- Ihr gespeichertes Konto ist nicht genügend gedeckt
- Ihr vorliegendes Konto ist nicht ausreichend gedeckt
- Ihre Rechnung zur Bestellung NR942701334 vom 01.06.2017
- Konto-Lastschrift konnte nicht vorgenommen werden 17.07.2017
- Lastschrift Nummer 65593259 konnte nicht vorgenommen werden 12.07.2017
- Offene Rechnung: Buchungsnummer 74178776
- Rechnung noch offen: Nr. 28122631
- Rechnung vom 02.08.2017
- Rechnung zur Bestellung Nr. 683567691
- Unbeglichene Rechnung 3 August 2017 Buchungsnummer 47152810
In der Warnung „Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden von Stellvertretender Sachbearbeiter GiroPay AG ([email protected])“ vom 01.08.2017 sehen Sie, welche Dateien das Trojanische Pferd nachlädt und wie das Programm versucht, im Online-Banking Geld zu klauen.
Bei mir das gleiche ,interessanterweise ist bei mir ein kleiner Rechtsschreibfehler im Adressfeld auch vorhanden,
die grossen Onlineversender nutzen alle die Paketdienste- vielleicht sitzt hier der Täter,er weiss wann sie schon mal
bei dem grossen Versand bestellt haben,kennt Ihre Email(Sendungsverfolgung) und die Lieferadresse ,die natürlich
diesen kleinen Rechtsschreibfehler enthält,und behält diesen dummerweise in seinem Anschreiben… na jetzt weiss Ich wo`s herkommt….Paketdienst??
so, viel Erfolg beim aufspüren!
Hallo zusammen,
was passiert nach dem öffnen der Datei?
Was ist in der zip-Datei? Wer weiß es? Wer kann mir helfen?
Lieber Gruß
lubi
Hallo lubi,
am Ende des Artikel habe ich einen Link auf eine andere Warnung eingefügt, wo Du sehen kannst, dass Dir der Trojaner beim Online-Banking Geld klauen will.
Wenn Du die ZIP-Datei öffnest, findest Du darin zunächst eine weitere ZIP-Datei und erst darin ist dann eine ausführbare Datei (*.com). Wenn Du die .com-Datei ausführst, zeigt Dir der Trojaner die Meldung „Can’t view a PDF in a web browser, or the PDF opens outside the browser.“. Wenn Du das siehst bzw. gesehen hast, musst Du davon ausgehen, dass Dein Rechner infiziert ist.
Im Prinzip handelt es sich bei der Datei zunächst um einen Downloader, der diverse Trojaner nachlädt. Je nach dem, wie lange Dein Rechner danach noch läuft, findest Du unter ProgramData und Local oder Roaming diverse Unterverzeichnisse mit komischen Dateinamen (auch im Temp-Verzeichnis legt er Dateien an, diese bekommen aber ein altes Datum, so dass Du vielleicht nicht den Zusammenhang zum Trojaner siehst). Dabei handelt es sich dann um die echten Trojaner, d. h. die Programme, die Dir Schaden zufügen. Mit normalen Mitteln (Virenscanner) kannst Du die nicht entfernen, weil die sich gegenseitig schützen.
Früher wurden z. B. Programme nachgeladen, mit denen SPAM versendet wurde, mindestens eines der Programme ist ein Banking-Trojaner (beim Online-Banking würde Dir eine Fehlgutschrift des Finanzamtes vorgegaukelt), …
Reicht das als Info?
Viele Grüße,
Sebastian
Ergänzung: Während der Trojaner bei der Infektion sonst immer die Meldung „Can’t view a PDF in a web browser, or the PDF opens outside the browser.“ gebracht hat, habe ich heute den abgewandelten Text
gezeigt bekommen. Ob das Zufall ist oder der Text dauerhaft im Trojaner (Downloader) geändert wurde, kann ich noch nicht sagen. Da er das System aber definitiv infiziert und Dateien nachgeladen hat, war es aber keine echte Fehlermeldung, sondern sollte wie bisher nur von der Infektion ablenken.
Die Dateinamen, die er beim Nachladen von ausführbaren Programmen vergibt, sind auf jedem Rechner unterschiedlich. Heute habe ich z. B.
ProgramData\vctxo-74\vctxo-21.exe (Virustotal: 17/64)
Roaming\cathode-83\cathode-66.exe (Virustotal: 20/64)
Roaming\evsys-5\evsys-93.exe (Virustotal: 19/64)
bekommen