rechnung von Piano & Voice ([email protected]) oder Herr (Vorname Nachname) – Rechnung von Anna Kristina ([email protected]) bringt einen Online-Banking-Trojaner!

Am Freitag, den 23. Februar 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Klicken Sie nicht auf den Link und Offnen Sie nicht die Word-Datei! Ein Makro würde einen Online-Banking-Trojaner nachladen, der anschließend aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM unter dem Vorwand eines neuen Verschlüsselungsalgorithmus Geld zu klauen!

Betreff: rechnung
Absender: Piano & Voice ([email protected])

Guten Tag Herr/Frau (Vorname Nachname) ,
klicken Sie hier, um die beigefügte Rechnung herunterzuladen

Copyright © 2018 Augsburger Textekiste, All rights reserved.

Sie erhalten diese E-Mail, weil Sie dem Musikinstitut Piano & Voice angehören oder angehört haben oder weil Sie sich für Neuigkeiten aus unserem Haus interessiert haben. Wir informieren Sie mit diesem Newsletter über Termine, Neuigkeiten und Nachrichten aus unserem Institut. Sie könnnen den Newsletter jederzeit abbestellen. Antworten Sie dafür auf diese E-Mail mit „Abbestellen“. Danke!

Our mailing address is:
Augsburger Textekiste
Karwendelstr 12
Bobingen 86399
Germany

Add us to your address book

Want to change how you receive these emails?
You can update your preferences or unsubscribe from this list.

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie deswegen nicht auf den Link und Öffnen Sie nicht die Word-Datei! Es handelt sich nicht um eine Rechnung! Der Name des Absenders wird missbräuchlich verwendet.

Neben der o. g. E-Mail kommt auch folgendes Beispiel vor:

Betreff: Herr/Frau (Vorname Nachname) – Rechnung
Absender: Anna Kristina ([email protected])

Guten Tag Herr/Frau (Vorname Nachname), wir schicken Ihnen eine beigefügte Rechnung

Copyright © 2018 Augsburger Textekiste, All rights reserved.

Sie erhalten diese E-Mail, weil Sie dem Musikinstitut Piano & Voice angehören oder angehört haben oder weil Sie sich für Neuigkeiten aus unserem Haus interessiert haben. Wir informieren Sie mit diesem Newsletter über Termine, Neuigkeiten und Nachrichten aus unserem Institut. Sie könnnen den Newsletter jederzeit abbestellen. Antworten Sie dafür auf diese E-Mail mit „Abbestellen“. Danke!

Our mailing address is:
Augsburger Textekiste
Karwendelstr 12
Bobingen 86399
Germany

Add us to your address book

Want to change how you receive these emails?
You can update your preferences or unsubscribe from this list.

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie deswegen nicht auf den Link und Öffnen Sie nicht das Word-Dokument! Es handelt sich nicht um eine Rechnung. Der Name des Absenders wird missbräuchlich verwendet.

Leiten Sie solche oder ähnliche gefälschte E-Mails an [email protected] weiter. Vielen Dank.

 

Sowohl Piano & Voice wie auch die Augsburger Textekiste warnen bereits vor diesen E-Mails:

SPAM-ATTACKE
Momentan kursieren E-Mails, die angeblich von uns stammen. Bitte nicht öffnen, bitte nicht klicken. Danke für Ihr Verständnis! Wir arbeiten mit Hochdruck an einer Lösung.
In den Anhängen befindet sich wahrscheinlich Schad-Software, daher nicht klicken! Wenn doch, unebdingt ein aktuelles Virenprogramm benutzen.

Was ist passiert: Auf der Website des Anbieters, der für uns E-Mail-Newsletter verschickt, ist unser Account gehackt worden. Jemand hat Tausende von E-Mail-Adressen (uns unbekannten Ursprungs) hochgeladen und dann drei E-Mails mit angeblichen Rechnungen verschickt. Diese E-Mails sind nicht von uns. Es wurde nur unser Absender missbraucht.

Danke für Ihr Verständnis und auch Ihr Mitgefühl (wir haben schon viele sympathische Reaktionen bekommen). Aber bitte schreiben Sie uns KEINE E-Mails mehr. Wir werden überflutet. Danke für das Verständnis! Bald ist der Spuk vorbei.

Spam-Attacke

Wir sind leider Opfer einer Spam-Attacke geworden. Im Moment werden in unserem Namen Rechnungen per E-Mail verschickt. Dabei handelt es sich um Spam, evt. Malware. Bitte nicht öffnen, auf keinen der Links klicken und die E-Mail wegwerfen. Bitte entschuldigen Sie die Umstände!

 

Die E-Mail würde von Adressen wie gallery.mailchimp.com/1bf4500d271f34f5148ace1c6/files/de4a57a1-51b5-466f-8db5-69990eb18ab2/22.02.018.doc ein Microsoft Word – Dokument herunterladen:

22.02.018.doc

Die Word-Datei würde wie folgt aussehen:

Document created in earlier version of Microsoft Office Word

To view this content, please click „Enable Editing“ from the yellow bar and then click „Enable Content“.

Das stimmt aber nicht! Es handelt sich nicht um eine ältere Version! Die Betrüger wollen Sie dazu bewegen, dass Sie das betrügerische Makro ausführen. Folgen Sie nicht der Aufforderung!

Von der Adresse acaraapa.com/ewyue.exe würde eine ausführbare Datei geladen. Laut Virustotal beträgt die Erkennungsrate 19/66 (bzw. die Datei wird am Folgetag ausgetauscht, deren Erkennungsrate liegt nur noch bei 10/67).

kappa.exe

 

Nach der Ausführung wird auch eine „kappa.inf“ angelegt:

Die Datei hat folgenden Inhalt:

[Version]
signature = „$CHICAGO$“
AdvancedINF = 2.5, „You need a new version of advpack.dll“

[DefaultInstall]
RunPreSetupCommands = vmgwvnjqxuvckwzjuwmfupbasgxgafbwvyckhtzjqhttdtzibfoan:2

[vmgwvnjqxuvckwzjuwmfupbasgxgafbwvyckhtzjqhttdtzibfoan]
C:\Users\user\AppData\Local\Temp\kappa.exe

 

Beim Aufruf des Online-Banking würde das Trojanische Pferd eine Sicherheitsüberprüfung vorgaukeln, bei der Sie sich in einem Demo-Zugang anmelden und eine Testüberweisung bestätigen sollen. Achtung: Es handelt sich um eine gefälschte Einblendung. Diese stammt nicht von Ihrer Bank! Folgen Sie nicht der Aufforderung! Geben Sie TAN-Nummern niemals ein, wenn Sie keine Transaktion (z. B. Überweisung) tätigen und kontrollieren Sie immer die Auftragsdaten (z. B. im TAN-Generator)!

Guten Morgen Herr/Frau (Nachname),

Achtung!
Aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM führt unsere Bank als erste einen neuen Verschlüsselungsalgorithmus für Banküberweisungen ein. Um sicherzustellen, dass die erforderlichen Updates installiert sind bzw. dass Ihr Browser die neue Version des Verschlüsselungsalgorithmus unterstützt, ist es erforderlich, dass Sie zum Demo-Account übergehen, wo Ihnen angeboten wird, eine Testüberweisung mit einer verbindlichen Eingabe der Transaktionsnummer (TAN) zu tätigen.
Der Zugang zum Online-Banking bleibt eingeschränkt, bis die erforderliche Verifizierung fertig ist.

Folgen Sie den folgenden Anweisungen.

Schritt 1.
Klicken Sie auf Weiter, um sich im Demo-Account einzuloggen.

Weiter >

Würden Sie auf „Weiter“ klicken, dann blendet das Trojanische Pferd folgende Seite ein. Achtung: Es handelt sich nicht um den echten Demo-Zugang Ihrer Bank! Da Sie sich nicht abgemeldet haben, befinden Sie sich immer noch in Ihrem Online-Banking! Folgen Sie daher nicht den Anweisungen!

Demo-Konto

Testen Sie selbst. Verwenden Sie dazu bitte folgende Zugangsdaten:

Legitimations-ID:  DEMO

PIN: 12345

Anmeldename oder
Legitimations-ID*:

PIN*:

Mit dem Senden Ihrer Anmeldedaten erkennen Sie die Sicherheitshinweise an.

Online-Banking Login

Danach tätigt das Trojanische Pferd einige Abfragen im Online-Banking. Während dieser Zeit dreht sich ein Zahnrad in der Mitte der Seite:

Anschließend fordert das Trojanische Pferd zur Bestätigung einer DEMO-Überweisung auf. Folgen Sie niemals dieser Aufforderung! Würde es sich um ein echtes DEMO-Konto handeln, dann könnten Sie jede X-beliebige TAN eingeben und würden niemals dazu aufgefordert, die TAN mit Hilfe Ihrer echten Karte zu erzeugen!

Schritt 2.

Auf dem Bildschirm sehen Sie die zufällig generierten Angaben für die Überweisung. Klicken Sie auf Weiter, um zum nächsten Schritt überzugehen.

Demo-Überweisung

Demo-Überweisung

Begünstigter (Name oder Firma)*: Hans Muller

IBAN*: DEXX XXXX XXX0 6624 8859 8

Betrag*: 0
EUR

Verwendungszweck: Demo
Ausführung:

Auftraggeberkonto*: 123456, Mustermann, Max

* Pflichtfeld

Weiter >

Danach würde die betrügerische Einblendung zur Erzeugung der TAN auffordern. Folgen Sie nicht der Aufforderung! Geben Sie TAN-Nummern niemals ein, wenn Sie keine Transaktion (z. B. Überweisung) tätigen und kontrollieren Sie immer die Auftragsdaten (z. B. im TAN-Generator)!

Schritt 3.

Nutzen Sie Ihr Gerät für die Generierung der Transaktionsnummer (TAN), z.B. den TAN-Generator oder smsTAN. Folgen Sie den Anweisungen auf dem Bildschirm.

Demo-Überweisung

Sie werden für eine Demo-Überweisung niemals Ihre echte Bankkarte benötigen! Folgen Sie daher niemals dieser Aufforderung!

 

Haben Sie eine betrügerische Buchung bestätigt? Wenden Sie sich in diesem Fall umgehend an Ihre Bank oder lassen Sie Ihren Online-Banking-Zugang über die zentrale Sperr-Hotline 116 116 sperren und wenden Sie sich dann zur Öffnungszeit an Ihre Bank!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.