Ganz aktuell und in Massen versendet, werden E-Mails mit Rechnungen im blau-weißen Design. Dabei werden sowohl unterschiedliche Betreffs als auch unterschiedliche Absenderfirmen genutzt. Eines haben diese Nachrichten aber gemeinsam. Der Link zur Rechnung führt zu einer Datei, welche einen Trojaner enthält. Hier erfahren Sie mehr.
Normalerweise würde man der E-Mail Glauben schenken. Denn Sie werden mit Ihren konkreten Adressdaten angeschrieben. Die genannten Firmen scheinen auch nicht ausgedacht zu sein. Aber eines lässt Sie sicher sofort stutzig werden: Die Rede ist von den zumeist utopischen Rechnungssummen von mehreren Tausend Euros. Aber Ausnahmen bestätigen auch hier die Regel. Es sind auch schon Rechnungen mit Summen von unter 100 Euro aufgetaucht.
Die gekauften Produkte variieren von E-Mail zu E-Mail. Auffällig ist, dass die Produkte oft nicht zu den Absenderfirmen passen. Auch die als Absender genutzten Namen und E-Mail-Adressen stimmen nicht überein und scheinen bei jeder E-Mail neu zu sein.
Diese Betreffs sind bisher bekannt
- Faktur #ECC6538310732YB
- Bilanz #WNN09943206274BU
- Rechnung #BCZF87992095XLV
- Zahlenaufgabe #TCHN325329XR
- Rechenaufgabe #MBI275313355VJA
- Kalkulation #ZUQN169778BUAT
Auch wenn der Teil hinter dem Rautezeichen variiert, so scheinen die Betrüger immer wieder auf den gleichen Anfang zurückzugreifen.
Gibt es die Firmen in den E-Mails wirklich?
Die Firmierungen scheinen wirklich zu existieren. Teilweise stimmen auch die Adressen mit der Firmierung über ein. Die angegebene Telefonnummer scheint jedoch mit den Firmen nichts zu tun zu haben. Teilweise stimmen die Vorwahlen für die Städte nicht überein. Trotzdem existieren die Rufnummern.
Achtung: Die oben genannten und als Absender angegebenen Unternehmen sind nicht der Versender, sondern selbst Opfer von Kriminellen geworden! Die Firmen selber wissen vermutlich gar nicht, dass ihr Name missbraucht wird. Es ist nicht zu empfehlen, die Firmen telefonisch zu kontaktieren, da dadurch der Geschäftsbetrieb im schlimmsten Fall zum Erliegen kommt. Woher die Firmendaten stammen, ist nicht klar.
Was passiert, wenn Sie die Rechnung laden?
Klicken Sie auf den Link „Rechnung herunterladen“, laden Sie sich die Schadsoftware auf Ihren Computer. Heruntergeladen wird eine ZIP-Datei, welche den Namen des Empfängers der E-Mail trägt. Die Cyberkriminellen geben sich hier sehr viel Mühe, den Dateinamen zu personalisieren.
Die ZIP-Datei enthält einen Trojaner. Dieser scheint weitere Schadsoftware auf Ihren PC nachzuladen. Betroffen von dem Angriff sind zunächst nur Windows-Rechner.
Haben Sie die ZIP-Datei ausgeführt, sollten Sie schnellstmöglich einen Virenscanner laufen lassen und versuchen, die Schadsoftware vom Rechner zu löschen. In diesem Artikel finden Sie die besten Virenscanner für Windows-Rechner.
Sobald wir weitere Informationen zur Art der Malware haben, werden wir den Artikel aktualisieren.
Woher stammen die Daten?
Viele Nutzer fragen sich, woher die Kriminellen die konkrete Adresse haben. Erste Anzeichen deuten daraufhin, dass diese von einem Datendiebstahl bei eBay stammen könnten, der schon länger zurückliegt. In diesem Zusammenhang hat Onlinewarnungen.de bereits über eine andere Spam-Welle mit gefälschten Rechnungen informiert.
Können Sie diese Vermutung bestätigen? Nutzen Sie die Kommentare unter dem Beitrag, um uns über Ihre Vermutungen zu informieren.
Haben Sie weitere Informationen?
Haben Sie diese E-Mail auch erhalten? Vielleicht von einer anderen Firma? Dann senden Sie uns diese Nachricht per E-Mail an [email protected]. Wenn Sie weitere Informationen zu der Schadsoftware haben, können Sie sich gern mit einer Nachricht an die Redaktion an uns wenden.
Bitte hinterlassen Sie einen Kommentar mit dem Namen Ihrer Antivirus-Software und dem Hinweis, ob die E-Mail als Spam oder die ZIP-Datei als Virus erkannt wurde.
Bekomme monatlich eine email mit Betreff -Ihre Monatsrechnung- und Anhang V7U420455-7.doc die vorgeblich aus einen Thüringer Ministerium von einer namentlich benannten Mitarbeiterin stammt.
Bislang habe ich die Anhänge noch nicht geöffnet.
Danke für Eure Warnungen!
Hallo,
der Trojaner hat sich inzwischen weiterentwickelt! Um noch vertrauensvoller zu erscheinen, zieht sich der Trojaner einen Kontakt aus dem persönlichen EMailadressbuch und nutzt zum versenden der EMail-Rechnung die eigene EMailadresse als Absender. Als Anhang werden Rechnungen (siehe: Diese Betreffs sind bisher bekannt) mit einem Link getarnt als word-Datei versendet. So ist es heute meinem Arbeitgeber passiert. Hauptangriffziel sind nicht die Exchange-Server, sondern Windows Server und Terminalserver. Glücklicherweise konnte ein Schaden abgewendet werden.
Bei dem Trojaner handelt es sich um Ransomware.
Nach zurücksetzung des Terminalservers und zusätzlicher Installation von Sophos Intercept X (kostenpflichtig) zu Sophos Antivirus (Sophos Home für Privat Kostenlos), war das Problem behoben. Intercept X ist nicht auf die verschiedenen Trojaner etc. ausgerichtet, sondern auf deren Verhalten. Originaldateien werden sauber gesichert und alles andere vom Server und Rechner entfernt. Das einzig mangelhafte an Sophos sind die Beschreibungen zu den Fehlercodes, für Nicht-ITler eher unwichtig.
Hallo,
ich habe jeweils am 02. und 03.03.2017 eine E-Mail von Oscar Hoffmann und Luca Meyer bzgl einer Rechnung mit einem link dem https://dl.dropboxusercontent.com/s/…/rechnung3.zip?dl=0 erhalten…..ich vermute, es handelt sich hier auch um einen Trojaner..
Lg
L
Moin Moin,
ich habe auch so eine Rechnungs Mail bekommen am 15.12.16, wurde aber nicht von Kaspersky Total Security erkannt.
Kam Angeblich von der Firma EGT Gebäudetechnik, hab auf der Homepage der Firma Nachgeschaut, das was da in der Rechnung steht vertreiben die nicht.
Hallo zusammen,
eine derartige Mail ist auch bei mir am 15.12.2016 eingegangen, Betreff [Mein Name] Kalkulation #HFYJ2273560VOTC Rechnungsbetrag 10094.77€, Rechnung ausgestellt von der
Firma GEFA FACHGROßHANDEL GMBH und CO KG.
Stuttgarter-Str. 7
Dresden 01189
+49 (2871) 18 44 00
Die Firma am genannten Standort aus der Rechnung existiert auch dort, Telefonnummer ist aber nicht korrekt und Produkte aus der Rechnung passen auch nicht zum Produktportfolio der Firma. Aus dem erweiterten Header der Mail geht hervor, dass die Mail über die IP 95.226.204.130 versendet wurde., Geolocation ist Süditalien Region Calabrien. Return-Path der Mail lautet [email protected].
Es ist recht eindeutig, dass die Daten aus einem Datenklau, woher auch immer, stammen, der schon eine Weile in der Vergangenheit liegt, die Adresse aus der Rechnung ist seit mehreren Jahren nicht mehr meine aktuelle Anschrift.
In vielen Fällen ist es recht einfach derartige Mails zu entlarven, bei dieser Art musste ich erst einmal eine 1/4 Stunde Recherche betreiben um sie eindeutig als Spam zu identifizieren, auch abschließend verifiziert durch diesen Artikel, vielen Dank hierfür.
Beste Grüße
JB
Ich habe eine email bekommen mit meinem Namen und richtiger Adresse.soll 4100€ bezahlen.Von einem Bauunternehmen Sattler GmBH
Am Schlosspark 76
69488 Birkenau von einem Herrn Steve Rueckwardt
ID BW5451300744
Hallo, es wurden Emails mit unseren Firmendaten (Contactlinsencentrum Maxam GmbH) versendet. Bis jetzt haben sich zwei Personen telefonisch bei uns gemeldet. Glücklicherweise hat bisher niemand auf den Rechnungslink geklickt. Ich habe dies auch auf unserer Homepage gepostet mit einer Verlinkung zu dieser Website. Vielen Dank für die Aufklärung und die Informationen.
bekommen habe ich die Mail am 15.12.16, Absender: Jan Ottlinger , Betreff: [mein Name] Rechnung #NIU0456449HBI, von GEBR. KALTENBACH KG, Karlsruher Str. 181, Muggensturm, 76461, +49 (911) 53 30 66
Firma existiert, Telefon-Nr passt aber nicht zur Adresse, dass eine Firma eine nicht zu ihrer Domain gehörige E-Mail-Adresse benutzen sollte, erscheint mir eher ungewöhnlich und dass ein Kieswerk Software verkauft ist auch nicht unbedingt üblich 😉 – Also genügend Hinweise, dass da was nicht stimmen kann!
AV-Software hat nix dazu gesagt (wieso auch? nur wer auf „herunterladen“ klickt bekommt ja den Tojaner) und als Spam wurde es auch nicht beanstandet.
Microsoft Security Essentials
Email empfangen, nicht Download angeklickt (und hoffentlich somit nichts heruntergeladen) eine Erkennung hat nicht stattgefunden.
Die Rechnung belief sich auf 16800,06 Euro, Absender war Cindy Ohlhöft ([email protected]).
Firma war: Bau-Siegel GmbH & Co. KG – 98716 Geraberg
Wir haben Security Essentials im Vollscan durchlaufen lassen aber ausser zwei älteren Exploits (CVE 2012 und CVE 2013) nichts gefunden.
Muss man sich trotzdem sorgen?
Viele Grüße
D.T.
Hallo D.T.,
wenn Sie den Link nicht angeklickt haben und auch nichts heruntergeladen wurde, brauchen Sie sich keine Sorgen machen. Löschen Sie die E-Mail einfach, so Sie das noch nicht getan haben.
Viele Grüße aus der Redaktion
klasse, vielen Dank.
P.s.:
Tolle Seite hier, nimmt einem erstmal den Schrecken! (5 Sterne) 🙂
Wir haben dennoch vorsorglich einen Scan vorgenommen und Passwörter für eMail, Online Shops und Banking geändert.
Weiß man schon näheres über die Art der Malware?
habe am 15.12. so eine e-mail bekommen , über 8700 euro !! Gott sei Dank , habe ich nichts geöffnet ! Angeschrieben wurde ich mit :(Gerd Rewerski ) Faktur#DEL5486546URMH gesendet hat eine Heidrun Busse der Firma Hedderheimer Metallwarenverbrik GmbH aus Fluorn-Winzeln 78737 Sportplatzweg 2 ID:UILI22376243KEA habe die Mail gelöscht !
Ich habe die Rechnung von der vermeintlichen Firma(A.G. Maas Schiffsschmiede-Metallbau Gmbh) erhalten,Rechnung #ZCCZ81375512551IY
Ich nutze Antivirus Pro.
Die beiden E-Mails sind nicht im Spamordner gelandet.
Ich habe die Rechnung von angeblich ESA Elektroschaltanlagen Grimma GmbH bekommen, Faktur # PEF9688128254TROZ.Anhang zum Glück nicht geöffnet, die reale Firma per email informiert.