‚Herr (Vorname Nachname) -Auftragsbestätigung‘ oder ‚Auftragsbestätigung für Herr (Vorname Nachname)‘ von ‚Tunay Öztunc und Alex Krügel‘ oder ‚Alex Krügel‘ ([email protected]) bringt ein Trojanisches Pferd!
Am Donnerstag, den 28. September 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Klicken Sie nicht auf die Links! Über einen Link laden Sie sich eine bösartige App auf das Android-Smartphone, die vermutlich Passwörter ausspäht und Online-Banking angreifen könnte! Über einen weiteren Link laden Sie sich ein manipuliertes Word-Dokument auf den PC, mit dem Sie sich ein Trojanisches Pferd einfangen!
Betreff: ‚Herr (Vorname Nachname) -Auftragsbestätigung‘ oder ‚Auftragsbestätigung für Herr (Vorname Nachname)‘
Absender: ‚Tunay Öztunc und Alex Krügel‘ oder ‚Alex Krügel‘ ([email protected])View this email in your browser
Sehr geehrte Damen und Herren,
anbei senden wir Ihnen die Auftragsbestätigung.
Bei Fragen stehen wir Ihnen gerne zur Verfügung
Theo Ott GmbH
Registergericht Traunstein HRB 2367
Geschäftsführer: Tunay Öztunc und Alex Krügel
Auftragsbestätigung zum mobile
Auftragsbestätigung zum PC
Achtung: Es handelt sich um eine gefälschte / betrügerische E-Mail! Die Nachricht stammt nicht von den in der E-Mail genannten Personen! Die Theo Ott GmbH warnt auf Ihrer Internetseite ebenfalls vor der E-Mail:
Sehr geehrte Damen und Herrn, liebe Kunden,
Sie haben von uns eine Auftragsbes�tigung erhalten, aber nichts bestellt?
Leider wird gerade �ber eine Australische Emailadresse in unserem Namen ein Massenemail versendet.
Bitte l�schen Sie die Email !!!!!!!!
�ffnen Sie nicht die angegebenen Links, da Sie sich sonst einen Virus bzw. Trojaner laden.
Rufen Sie uns nicht an!
Wir haben mit der Sache nichts zu tun. Danke!
Mit freundlichen Gr��en Ihr Theo Ott Team
Die Firma bittet auch von Anrufen oder E-Mails Abstand zu halten:
Sehr geehrte Damen und Herrn, liebe Kunden,
Sie haben von uns eine Auftragsbesätigung erhalten, aber nichts bestellt?
Leider wird gerade über eine Australische Emailadresse in unserem Namen ein Massenemail versendet. Bitte löschen Sie die Email folgen Sie nicht den angegebenen Links. Rufen Sie uns nicht an! Wir haben mit der Sache nichts zu tun. Danke!
Mit freundlichen Grüßen
Ihr Theo Ott Team
Klicken Sie daher nicht auf die Links!
Der Link „Auftragsbestätigung zum mobile“ würde eine .apk-Datei aus einer nicht vertrauenswürdigen Quelle laden (wildsage.com.au/Auftragsbestatigung%20mobile.apk).
Installieren Sie nicht die App! Laut Virustotal liegt die Erkennungsrate bei 15/59! Der dort genannte „Marcher“-Trojaner ist z. B. ein bösartiges Programm für Smartphones, welches Ihnen im Online-Banking Geld klauen will.
Der Link „Auftragsbestätigung zum PC“ würde ein Microsoft Word – Dokument herunterladen. Öffnen Sie nicht den Link (gallery.mailchimp.com/eaf55189a46e14d50caeffd2b/files/fe883b9e-fbf9-4a11-88e1-d4b5a02eade4/Auftragsbestätigung.docx)!
Die angebliche Auftragsbestätigung würde wie folgt aussehen:
Please enable editing mode to view included documents.
Auftragsbestätigung.DOC
Auftragsbestätigung.PDF
PS:* Wählen Sie das bevorzugte Format aus, um Ihre Auftragsbestätigung zu öffnen.
Angeblich soll im Word – Document eine .doc- und eine .pdf-Auftragsbestätigung enthalten sein. Das stimmt aber nicht! Klicken Sie nicht auf die beiden Symbole!
Nach einem Klick würde ein JavaScript extrahiert:
Das Script würde von der IP-Adresse 89.223.24.214 die Datei image_store.png herunterladen und ausführen. Dabei handelt es sich nicht um ein Bild, sondern eine bösartige Software! Laut Virustotal liegt die Erkennungsrate bei 27/64! Bei den dort genannten Cerber oder Locky würde es sich um sog. „Ransomware“, also Verschlüsselungs- und Erpressungstrojaner handeln. Allerdings könnte es auch ein anderes Trojanisches Pferd sein. Bisher hat es den Rechner noch nicht verschlüsselt, sondern nur die IP-Adresse des Opfer-PCs ermittelt (Aufruf von httpbin.org/ip).
Ich habe zwar auf den Link Auftragsbestätigung mobile gedrückt, allerdings hat sich kein Fenster zum Download der App geöffnet. Also brauche ich mir jetzt keine Sorgen machen oder ?
Hallo Dennis,
hast Du den Link auf einem Smartphone (und wenn ja, auf Android oder iOS) oder auf einem PC (z. B. Windows) angeklickt? Die .apk-Datei könnte ja nur auf Smartphones etwas anrichten. Eigentlich sollte Dein Smartphone so eingestellt sein, dass Apps nur aus den jeweiligen Stores (Google Play-Store oder iTunes/App-Store) installiert werden können. Hier wäre die Datei ja aus einer nicht vertrauenswürdigen Quelle geladen worden. Nur der Klick auf den Link dürfte daher nicht schädlich gewesen sein. Du hättest erst noch klicken müssen, was Du mit der Datei anstellen möchtest.
Viele Grüße,
Sebastian
Ich habe den Link auf meinem Android-Smartphone angeklickt, deshalb war ich erst besorgt. Aber wie gesagt, es hat sich lediglich der Browser geöffnet, der hat wiederum aber nichts geladen und es ist auch kein Fenster aufgeploppt. Ich bedanke mich schon einmal vielmals für die Hilfe und verbleibe mit
Freundlichen Grüßen
Dennis
Hallo, ich habe mit meinem iPhone 7 (iOS 11.0) ebenfalls auf den Link „Auftragsbestätigung zum mobile“ geklickt und wurde dann zu der Datei „Auftragsbestatigung.apk“ geleitet. Es war lediglich ein Logo und darunter der Schriftzug „Auftragsbestatigung.apk“ zu sehen. Ich habe daraufhin das Fenster geschlossen und die E-Mails gelöscht.
iOS kann nichts mit den .apk Dateien anfangen und daher besteht hier auch kein Risiko oder?
Danke für eine kurze Info.
Hallo Max,
bei iOS kannst Du doch ohne den iTunes/App-Store nichts installieren. Wenn ein Betrüger Dir (in Europa) auf Deinem iPhone etwas unterjubeln will, dann muss er schon über den iTunes/App-Store gehen und Apple prüft alle Apps vor der Veröffentlichung. Daher sind so gut wie alle bösartigen Apps (*.apk) nur für Android-Smartphones gemacht. Im Gegensatz zu Amerika gibt es hier bei uns mehr Android-Smartphones als iPhones, daher greifen Täter diese Geräte immer wieder an. Mit Deinem iPhone bist Du daher auf der sicheren Seite.
Viele Grüße,
Sebastian
Hi Sebastian,
das stimmt, aber ich war dennoch etwas besorgt, als ich auf den Link geklickt hatte. Denn es gab in der Vergangenheit ja mal Einzelfälle, wo auch normale (nicht gejailbreakte iPhones) angegriffen wurden und Apps dann unsichtbar im Hintergrund liefen. Das war bei iOS 7 meine ich.
Aber nach deinem Kommentar bin ich wieder beruhigt. Danke dir auf jeden Fall!
Viele Grüße,
Max
Hallo Max,
Lücken wird es immer irgendwo geben. Gerade in der heutigen Zeit bringt das Wissen um Lücken leider sehr viel Geld, weswegen die Lücken immer häufiger nicht an Hersteller gemeldet werden, sondern an Betrüger (evtl. auch Geheimdienste), die diese Lücken anschließend missbrauchen. Meiner Meinung nach wird das noch zunehmen.
Allerdings ist es so, dass die meisten Betrüger entweder die Masse angreifen (dann aber derzeit kein iOS/keine iPhones) oder je wichtiger Du als Einzelperson bist, gezielte Angriffe gegen Dich fahren. Bei gezielten Angriffen ist alles möglich, das schließe ich aber hier aus (dafür ist die E-Mail viel zu oft versendet worden). Es dürfte sich hier vermutlich um einen Online-Banking-Trojaner handeln, wie er dieses Jahr schon oft über Phishing-Mails verteilt wurde. Zumindest bei den letzten Versionen haben die Täter sich eher nur für Kreditkartendaten oder TAN’s (smsTAN) interessiert. Und da kommen die Täter bei iOS im Moment nicht weit, weswegen sie (auch schon von der Verbreitung der Betriebssysteme) in Deutschland so gut wie nur Android angreifen.
Solltest Du allerdings beruflich oder privat in Richtung China unterwegs sein, würde ich Dir auch bei iOS etwas anderes schreiben. 😉
Viele Grüße,
Sebastian
Alles klar, danke für deine Infos und deine sehr guten Ausführungen. Da bin ich ja echt beruhigt, dass zumindest in Europa iOS und das iPhone relativ sicher sind. Jetzt kann ich wieder beruhigt schlafen. 😉
Klasse, dass es deine Seite gibt. Man findet sonst kaum etwas zu diesem aktuellen Trojaner und du antwortest in Sekundenschnelle auf Kommentare. Echt super! Daumen hoch!
Beste Grüße,
Max
Vielen Dank.
Einen Hinweis ein eigener Sache möchte ich aber noch loswerden (vielleicht lesen es ja auch andere):
Es gibt verschiedene Möglichkeiten, etwas gegen Betrug zu unternehmen. Einige Unternehmen sind sehr engagiert, was den Schutz Ihrer Kunden betrifft. So versuchen diese Unternehmen z. B. Tag und Nacht alles, um betrügerische Internetseiten unschädlich zu machen, damit deren Kunden nicht mehr darauf hereinfallen können. Damit diese Unternehmen ihre Kunden vor solchen Seiten schützen können, müssen sie aber erstmal Kenntnis von den betrügerischen Seiten bekommen. Es wäre zwar wünschenswert, wenn jeder Internetteilnehmer eine betrügerische E-Mail als solche erkennen würde. Wir wissen aber alle, dass es leider bei jeder solchen E-Mail auch Opfer geben wird. Wer eine betrügerische E-Mail (z. B. Phishing) bekommt, sollte sie daher an das betreffende Unternehmen (oder mich) weiterleiten, damit etwas passiert. Je nach E-Mail-Anwendung muss man dazu die E-Mail ja nicht öffnen, sondern kann diese auch als Anlage weiterleiten.
Neben betrügerischen E-Mails, die in Richtung ‚Phishing‘ (Passwort-Klau) gehen, gibt es auch betrügerische E-Mails wie die oben gezeigte, die eine bösartige Software verteilen. Dabei ist es dann nicht mehr so einfach, den richtigen Empfänger zu finden. Auch bei solchen E-Mails empfehle ich aber eine Weiterleitung, weil es auch hier Personen gibt, die z. B. durch Hochladen der betrügerischen Dateien auf Virustotal oder ähnlichen Diensten den Virenscannern die neue bösartige Datei beibringen, damit der Virenscanner diese anschließend erkennen kann. Auch Virenscanner müssen lernen… 😉
Als Anwender sieht man einer E-Mail nicht an, welche bösartige Software verteilt wird. Die Firmen, auf die es die Täter mit dem Trojaner abgesehen haben (z. B. in diesem Fall die Banken, weil es vermutlich ein Online-Banking-Trojaner ist) interessieren sich aber auch dafür, weil sie entsprechende Gegenmaßnahmen ergreifen möchten. Aber auch das ist nur möglich, wenn sie die Angriffe kennen. Auch deswegen kann ich nur um eine Weiterleitung solcher E-Mails bitten. Mir ist bewusst, dass manche Provider schon die Weiterleitung verhindern. Aber man hat wenigstens versucht, die Welt ein wenig sicherer zu machen und hat nicht nur dabei zugeschaut, wie böse die Welt doch geworden ist.
Wer übrigens eine E-Mail bekommen hat, deren Daten (E-Mail-Adresse oder persönliche Daten, falls darin enthalten) nur bei einem bestimmten Anbieter gespeichert waren, der sollte auch solche Hinweise weitergeben. Wenn z. B. wie heute wieder eine Phishing-Mail versendet wird, die sogar Name, Anschrift und Konto-Nr. enthält, dann interessieren sich die angegriffenen Unternehmen auch dafür, wo die Daten her kommen. Vielleicht hat das Unternehmen, was virtuell bestohlen wurde, ja noch keine Kenntnis von dem Diebstahl. Ein Hinweis könnte zur Schließung der Sicherheitslücke führen, was dann wieder dem Schutz der Kunden dieses Unternehmens zu Gute kommt.
Vielen Dank.
Sebastian Brück
Hi Sebastian,
habe heute noch eine solcher Mails bekommen. Sonni Sanitär ist der Absender. Sowie 2 Nachrichten mit DHL Bezug von Daylesford. Leite ich gleich alle weiter an [email protected]
Viele Grüße,
Max
Hallo Max,
vielen Dank für Deine Weiterleitung. Ich habe die E-Mails auch bekommen. Diesmal werden aber nur betrügerische Apps für Android-Smartphones verteilt:
‚Glasplatte24 – Preise inkl. MwSt. – Amazon Payments -Herr (Vorname Nachname)‘ oder ‚Hallo Herr (Vorname Nachname)‘ von ‚Daylesford Tarot‘ ([email protected])
Rechnung-39528 zum Herr (Vorname Nachname) von Sonni Sanitär ([email protected])
Viele Grüße,
Sebastian Brück
Beim Weiterleiten kam leider die Meldung „Die Nachricht wurde blockiert“. An welche E-Mail soll ich die verdächtigen Trojaner Emails weiterleiten?
VG
Hallo Max,
hier auch für andere: Wer an [email protected] nicht senden kann, ich nehme unerwünschte E-Mails gerne auch über [email protected] oder [email protected] entgegen.
Vielen Dank für Deine Weiterleitung.
Sebastian Brück