Ihre Rechnung zur Bestellung NR. 867340319 von Pay Online GmbH Rechtsanwalt ([email protected])
Am Samstag, den 16. September 2017 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet. Achtung: Es handelt es sich um eine betrügerische Nachricht! Das in der Anlage beigefügte .zip-Archiv enthält ein Programm, welches verschiedene Trojanische Pferde nachlädt, die u. a. im Online-Banking Geld klauen wollen! Öffnen Sie daher nicht die Anlage!
Betreff: Ihre Rechnung zur Bestellung NR. 867340319
Absender: Pay Online GmbH Rechtsanwalt ([email protected])Sehr geehrter Kunde,
unsere Anwalts-Kanzlei wurden von Pay Online GmbH gebeten Ihre finanziellen Interessen in Ihrer Angelegenheit zu schützen.
Damit fordern wir Sie nachdrücklich auf, den offenen Betrag unverzüglich bis zum 15.09.2017 zu begleichen. Falls wir bis zum genannten Datum keine Zahlung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen.
Die detaillierte Forderungsausstellung NR. 867340319, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.
Aufgrund des bestehenden Zahlungsausstands sind Sie gezwungen außerdem, die durch unsere Inanspruchnahme entstandene Gebühren von 48,85 Euro zu bezahlen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 11.09.2017.
Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.
Mit freundlichen Grüßen
Rechtsanwalt Lennard von Eulenhaus
Achtung: Es handelt sich um eine gefälschte Nachricht! Klicken Sie daher nicht auf die Anlage! In der Anlage ist eine bösartige Software enthalten!
Der betrügerischen E-Mail ist ein ZIP-Archiv enthalten, welches ein weiteres ZIP-Archiv enthält. Darin ist dann eine ausführbare Datei. Führen Sie die Datei nicht aus!
14.09.2017.zip
Rechnung vom 14.09.2017.zip
14.09.2017 Rechnung.com
Virustotal zeigt für die 14.09.2017 Rechnung.com eine Erkennungsrate von 24/64.
Nach einer Infektion würden Sie folgenden Hinweis sehen:
Adobe PDF Document
There is a problem with Adobe Acrobat/Reader. If it is running, please exit and try again. (0:104)
OK
Ihr Rechner wurde aber vom Trojanischen Pferd infiziert! Die Warnung soll davon vermutlich nur ablenken.
Der Trojaner lädt täglich diverse weitere Trojaner nach. Diese bekommen unterschiedliche Namen wie z. B,
ampere-68.exe
booster-3.exe
lepton-19.exe
Im aktuellen Beispiel wären z. B. die Dateien ampere-68.exe (Virustotal zeigt eine Erkennungsrate von 9/64), booster-3.exe (Virustotal zeigt eine Erkennungsrate von 10/64) oder lepton-19.exe (Virustotal zeigt eine Erkennungsrate von 9/64) nachgeladen worden.
In der Registry werden entsprechende Einträge vorgenommen, damit die Dateien beim Start des Rechners ausgeführt werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: shell
Daten: C:\ProgramData\lepton-7\lepton-19.exe -h,explorer.exeSchlüsselname: HKEY_USERS\S-1-5-21-3868219734-106862797-3769715540-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: shell
Daten: C:\ProgramData\lepton-7\lepton-19.exe -h,explorer.exe
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: ampere-26
Daten: C:\Users\blume\AppData\Local\ampere-72\ampere-68.exe -jfSchlüsselname: HKEY_USERS\S-1-5-21-3868219734-106862797-3769715540-1000\Software\Microsoft\Windows\CurrentVersion\Run
Name: ampere-26
Daten: C:\Users\blume\AppData\Local\ampere-72\ampere-68.exe -jf
Achtung: Es handelt sich um ein Trojanisches Pferd, welches das Online-Banking verändert. Wenn beim Aufruf der Online-Banking-Seite ein solches Zahnrad erscheint, welches sich dreht, dann ist Vorsicht geboten!
Nach der Anmeldung im Online-Banking würde das Trojanische Pferd eine angebliche Fehlüberweisung des Finanzamtes einblenden. Das stimmt aber nicht! Das Finanzamt hat weder Geld überwiesen, noch fordert es welches zurück! Das Trojanische Pferd verhindert allerdings viele Online-Banking-Funktionen, um Sie zur Rücküberweisung zu bewegen. Folgen Sie nicht der Aufforderung! Es ist eine betrügerische Meldung! Das Geld geht nicht an das Finanzamt, sondern an unbekannte Dritte (Finanzagenten).
Sehr geehrter Kunde,
aufgrund der SEPA-Umstellung ist eine Fehlüberweisung auf Ihr Konto xxxxxxxxxx verbucht worden. Die Struktur des Sicherheitssystem von unserem Onlinebanking lässt nur Zahlungen mit Ihrer Freigabe zu. Damit Sie Ihr Konto weiterhin wie gewohnt nutzen können, muss die Rückzahlung der Fehlüberweisung von Ihnen freigegeben werden.
Ihr Guthaben, alle weiteren Unterkonten und Sparguthaben sind davon nicht betroffen. Es entstehen keine Transaktionskosten oder andere Nachteile für Sie. Bis zur Rückzahlung können Sie Ihr Konto nicht benutzen. Falls Sie keine online Rückzahlung tätigen, erhalten Sie in den nächsten Tagen einen Brief, mit dem Sie zu Ihrer Filiale gehen müssen, um die Überweisung auszuführen.
Bitte erledigen Sie dies umgehend um Ihren Zugang sofort wieder frei zu schalten.
Informationen der Fehlgutschrift:
Auftraggeber Finanzamt
IBAN DE5625010030xxxxxxxxxx
BIC PBNKDEFFXXXX
Betrag 7.440,00 EUR
Verwendungszweck Steuererstattung 2017
Kontoauszug anzeigen Rückbuchung durchführen
(siehe auch die Warnung „Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden von Stellvertretender Sachbearbeiter GiroPay AG ([email protected])“ vom 01.08.2017)
Informieren Sie in einem solchen Fall unbedingt Ihre Bank! Lassen Sie ggf. außerhalb der Öffnungszeiten den Online-Banking-Zugang über die zentrale Sperr-Hotline 116 116 sperren!