Klarna Billpay GmbH Rechnung für (Vorname Nachname) Nummer 71907290 von Klarna Bank ([email protected]) bringt eines bösartige Software, die u. a. im Online-Banking als angebliche Fehlüberweisung des Finanzamtes Geld klaut

Am Montag, den 07. Mai 2018 wurden durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Die E-Mail lädt ein Trojanisches Pferd nach, welches u. a. auf die Nutzung des Online-Banking wartet und die Anzeige des Online-Banking manipuliert! Öffnen Sie daher nicht die Anlage!

Betreff: Klarna Billpay GmbH Rechnung für (Vorname Nachname) Nummer 71907290
Absender: Klarna Bank ([email protected])

Sehr geehrte(r) (Vorname Nachname),

Hinterlassene Rechnungsdaten:

(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)

Tel. (Festnetz- oder Mobilfunknummer)

Bitte überweisen Sie den fälligen Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätestens zum 11.05.2018 auf unserem Bankkonto verbucht wird.
Sie auch zur Zahlung der Zinsen in Höhe von 5,93 Euro verpflichtet. Berücksichtigt wurden alle Zahlungseingänge bis zum 03.05.2018.

Die detaillierte Kostenaufstellung Nummer 719072905, der Sie alle Positionen entnehmen können, ist beigelegt.

Falls Sie die oben erwähnte Frist nicht einhalten, sehen wir uns gezwungen die Betreibung gegen Sie einzuleiten sowie auch eine Anzeige gegen Bestellbetrug zu erstatten.

Mit verbindlichen Grüßen

Klarna Bank Jona Braun

Achtung: Es handelt sich um gefälschte Nachrichten! Klicken Sie daher nicht auf die Anlage zur E-Mail! In der Anlage ist eine bösartige Software enthalten! 

Die E-Mails kommen mit unterschiedlichen Texten. In der Warnung „Offene Rechnung von Klarna Inc. 45796365 von Klarna Rechnung ([email protected]) oder Klarna Billpay GmbH Rechnung für Max Mustermann Nr. 70846066 von Klarna Bank AB ([email protected]) verbreiten einen Online-Banking-Trojaner!“ vom 12.03.2018 finden Sie weitere Beispiele.

Die E-Mails stammen nicht von Klarna. Das Unternehmen hat dazu auch eine Pressemitteilung veröffentlicht.

Leiten Sie solche E-Mails an [email protected] (oder wenn nicht möglich an [email protected] oder [email protected] weiter). Vielen Dank.

Das ZIP-Archiv „(Vorname Nachname) 07.05.2018.zip“ enthält ein weiteres ZIP-Archiv „(Vorname Nachname) Klarna 07.05.2018.zip“. Darin ist dann die ausführbare Datei „(Vorname Nachname) 07.05.2018 Klarna.com“ enthalten.

Nach der Ausführung würde folgende Meldung erscheinen:

Acrobat PDF Document
There is a problem with Adobe Acrobat/Reader. If it is running, please exit and try again. (1014:1014)

Die Meldung soll nur von der Infektion des Rechners ablenken. Täglich werden diverse ausführbare Programme nachgeladen.

 

Insbesondere nach der Anmeldung zum Online-Banking sollte Vorsicht gelten. Bereits beim Aufruf der Internetseite der Bank könnten sich einige Veränderungen zeigen (hier am Beispiel einer Sparkasse):

  • Der Link zur Hauptseite fehlt (links oben in der grauen oberen Navigationsleiste)
  • Kontaktmöglichkeiten fehlen (rote Icons oben rechts)
  • Schaltflächen sind plötzlich leer (hier „paydirekt“)
  • Navigationspunkte fehlen (Wichtige Services und Fußzeile)

Spätestens nach der Anmeldung zum Online-Banking zeigt das Trojanische Pferd, was es möchte:

Sehr geehrter Kunde,

aufgrund der SEPA-Umstellung ist eine Fehlüberweisung auf Ihr Konto xxxxxxxxxx verbucht worden. Die Struktur des Sicherheitssystem von unserem Onlinebanking lässt nur Zahlungen mit Ihrer Freigabe zu. Damit Sie Ihr Konto weiterhin wie gewohnt nutzen können, muss die Rückzahlung der Fehlüberweisung von Ihnen freigegeben werden.

Ihr Guthaben, alle weiteren Unterkonten und Sparguthaben sind davon nicht betroffen. Es entstehen keine Transaktionskosten oder andere Nachteile für Sie. Bis zur Rückzahlung können Sie Ihr Konto nicht benutzen. Falls Sie keine online Rückzahlung tätigen, erhalten Sie in den nächsten Tagen einen Brief, mit dem Sie zu Ihrer Filiale gehen müssen, um die Überweisung auszuführen.

Bitte erledigen Sie dies umgehend um Ihren Zugang sofort wieder frei zu schalten.

Informationen der Fehlgutschrift:
Auftraggeber Finanzamt
IBAN DE8410011xxxxxxx584963
BIC NTSBDEB1XXX
Betrag 4.750,00 EUR
Verwendungszweck Steuererstattung 2018
Kontoauszug anzeigen
Rückbuchung durchführen

Angeblich hat das Finanzamt aufgrund der SEPA-Umstellung eine Fehlüberweisung getätigt und bittet nun um Rücküberweisung. Allerdings sei das Konto bis zur Rückzahlung nicht mehr nutzbar. Dies wird u. a. dadurch untermauert, dass der Trojaner von den üblichen Funktionen des Online-Banking nur noch die Umsatzanzeige und die Überweisung anzeigt, alle anderen Funktionen blendet das Trojanische Pferd aus.

Bestätigen Sie niemals Meldungen nach der Anmeldung zum Online-Banking, die zur einer Überweisung auffordern oder aus sonstigen Gründen eine TAN verlangen!

Das Trojanische Pferd blendet nicht nur nach der Anmeldung die angebliche Fehlgutschrift ein, sondern fälscht auch die Umsatzanzeige:

Buchung Wertstellung Verwendungszweck Betrag
16.03.2018 16.03.2018 FEHLGUTSCHRIFT
Finanzamt
Steuererstattung 2018 4.750,00 EUR

Der auf dem infizierten PC angezeigte Kontostand ist um den Betrag der angeblichen Fehlgutschrift erhöht. Auf jedem anderen (nicht mit dem gleichen Trojanischen Pferd infizierten) Rechner oder Smartphone würde der Kontostand von dieser Anzeige abweichen.

Mit dem Überweisungsformular würde das Trojanische Pferd nur die geforderte Rücküberweisung zulassen. Es trägt bereits die angeblichen Daten des Finanzamtes ein:

In Wirklichkeit gehört die angezeigte Konto-Nr. aber nicht zum Finanzamt, sondern zu einem Finanzagenten, der das Geld anschließend an die Betrüger weiterleitet.

In der Seite zur Erzeugung der TAN würde die Bankverbindung in der Regel zwar nicht mehr angezeigt, aber auch hier ändert das Trojanische Pferd eine wichtige Kleinigkeit:

Eigentlich würde die Bank dazu auffordern,

1. Überprüfen Sie die Richtigkeit der letzten 10 Zeichen der IBAN des Empfängers bei dem Institut XYZ und bestätigen Sie diese mit der Taste OK.

Die Bank würde hier anzeigen, an welche andere Bank / welches Kreditinstitut die Überweisung abgesendet wird. Damit nicht auffällt, dass die Buchung nicht an das Finanzamt gesendet wird, entfernt das Trojanische Pferd den Hinweis auf die Bank.

Die aktuellen Sicherheitsverfahren im Online-Banking, egal ob chipTAN, smsTAN / mobile TAN, pushTAN bieten die Möglichkeit, die Konto-Nr. des Empfängers und den Betrag vor einer Ausführung des Auftrages zu kontrollieren. Wichtig ist, dass dieser Schutz genutzt wird. Wenn ich keine Überweisung tätigen möchte, dann darf im TAN-Generator / der SMS oder in der pushTAN-App auf meinem Smartphone keine IBAN (letzten 10 Stellen bzw. frühere Konto-Nr.) und kein Betrag erscheinen! 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.