Achtung: Gefälschte Telekom-Rechnung enthält Trojaner

Derzeit landet bei vielen Usern eine Spam-Mail als vermeintliche Telekom-Abrechnung mit dem Betreff “Telekom GmbH Online_Rechnung. 042012″ in den Postfächern. Die Nachricht ist sehr an das Original angelegt und sieht täuschend echt aus. Nur Kleinigkeiten lassen die Fälschung erkennen. Eine angefügte PDF-Datei enthält einen Trojaner, der beim Anklicken eine Spionage-Software im Betriebssystem installiert.

Fast perfekte Fälschung

Die sonst so typischen Kennzeichen einer Spam-Mail fehlen. Es gibt keine Rechtschreibfehler oder einen dubios klingenden Absender.  Die Anrede im Text lässt dagegen erste Zweifel aufkommen.

Sie enthält keinen Kundennamen und lautet nur:Sehr geehrte Damen und Herren.Die fehlende persönliche Ansprache ist ein Indiz dafür, dass es sich hierbei nicht um die Telekom, sondern um eine nicht ganz ungefährliche Spam-Mail handelt.

Zudem kommt die Mail von dem Absender kunden1telekom.de statt von der offiziellen Adresse rechnungonline@telekom.de. Im Schreiben wird der Rechnungsbetrag von 110,27€ genannt, der Nutzer dazu verleiten soll die PDF-Datei anzuklicken, um sich über das Zustandekommen des hohen Betrags zu informieren. Die Datei selbst ist dabei nur 19,3 Kilobyte groß. Üblich bei einer echten Rechnung sind etwa 200 Kilobyte.

Vorsicht vor der gefälschten Telekom-Rechnung

Vorsicht vor der gefälschten Telekom-Rechnung (Bild: Kaarsten - Fotolia.com)

Trojaner in PDF enthalten

Die in der PDF-Datei verborgene Spionage-Software nutzt eine Schwachstelle im Adobe Reader aus. So ist sie fähig von URLs Programme wie zum Beispiel “menu.exe”, “shadow.exe” oder “favorites.exe” nachzuladen und zu starten.

Diese setzen sich dann im System fest und verändern verschiedene Systemeinstellungen. Es werden sogenannte Bot-Netz-Strukturen installiert, die das Adressbuch auslesen und Informationen an einen Command und Control Server schicken.

Wichtige Maßnahmen

Nutzer sollten unbedingt darauf achten, dass ihr Adobe Reader auf dem neusten Stand ist und gegebenenfalls eine Aktualisierung durchführen.

Fall das schädliche Programm bereits unwissentlich installiert worden ist, hilft nur ein Anti-Viren-Programm. Bislang konnten laut virustotal.com nur wenige Viren-Scanner den Trojaner mit dem Namen Packed.Win32.Krap.it  aufspüren, sodass man in den nächsten Tagen die eigene Virensoftware verstärkt auf Updates überprüfen sollte.


1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Votes)
Loading...Loading...
Artikel weiterempfehlen Artikel weiterempfehlen

Ähnliche Beiträge


11 Kommentare zu “Achtung: Gefälschte Telekom-Rechnung enthält Trojaner”

  1. Alfons Linder sagt:

    29.04.2012 Neue Variante Gefälschter T-Com-Rechnungen.
    Am 29.04.2012 erhielt ich per E-Mail (Absender: “sokoko-61@mynet.com”) eine gefälschte Rechnung der “Telekom Deutschland Gmbh”. In dieser Mail werden für angebl. Leistungen folgende Beträge verlangt:
    “Zitat:…Die Leistungen in Überblick
    Monatliche Beträge 13,97
    Nutzungsabhängige Beträge 3,85
    Beträge anderer Anbieter (0900 Servisnummer) : 917,67 Euro…”(Zitatende, einschl. Fehler).
    Der Mail ist eine ZIP-Datei “…Rechnung im Detail und weitere wichtige Hinweise finden Sie im Anhang…” angehängt, über die wohl ein Trojaner zum Ausspähen von Daten installiert werden soll (habe ich nicht geöffnet).
    Fälschungsmerkmale in der gefälschten Telekom-Rechnung:
    1. Die Kunden-Nr. der T-Com ist 10-stellig, die in der Betrugs-Mail nur 9-stellig;
    2. In der T-Com-Rechnung sind keine Rechnungs- oder Kundennummern angegeben, sondern ledigl. die Buchungskontonummer steht in der Betreffzeile ;
    3. Die Rechnung (ohne digitale Signatur) ist nur als Datei mit der Endung *.pdf angehängt, im Betrugs-Mail ist sie als ZIP-Datei angehängt;
    4. Man wird in der T-Com-Rechnung persönlich angesprochen.

    Auch schon anhand der Betreffzeile
    “[Norton AntiSpam]Telekomrechnung…Name…Nummer..”, die in dieser Form meist in Betrugsmails von “Swiss-Apotheke u.a.” auftaucht, ist die Mail als Betrugsmail erkennbar.

  2. Gabi Leisberg sagt:

    …auch ich habe vor einigen Tagen eine gefakte Telekom Rechnung bekommen. Sie ist der Rechnug vom o.g. User sehr ähnlich, nur das sie von rnr1@frontiernet.net kommt. Ich soll 464,62 für 0900 Servisnummer!!! und andere Beträge bezahlen. Dabei bin ich garnicht bei der Telekom und den Anhang habe ich auch nicht geöffnet. Dafür habe ich heute Strafanzeige erstattet!!!

  3. Katy sagt:

    Hier die Mail die wir erhalten haben. Wir haben es an die Telekom weiter geleitet aber die können auch nichts machen. Bitte unbedingt löschen!!!!!!!

    Telekom Deutschland GmbH
    53171 Bonn
    27.04.12

    an
    *****************,

    Kundennummer 659248693
    Rechnungsnummer 1839577578
    Telefon 0800 33 01000

    Ihre Rechnung für April 2012

    Die Leistungen in Überblick
    Monatliche Beträge 54,36
    Nutzungsabhängige Beträge 4,12
    Beträge anderer Anbieter (0900 Servisnummer) : 746,18 Euro

    Der Rechnungsbetrag wird nicht vor dem 3. Tag nach Zugang der Rechnung von Ihrem
    Konto XXXXXXXXXX abgetragen (zum besseren Schutz Ihrer Daten wird die
    Kontonummer nicht angedruckt)

    Ihre Rechnung in Detail und weitere wichtige Hinweise finden Sie im Anhang

    Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn
    Postanschrift 53171 Bonn
    Konto Lautend auf Deutsche Telekom AG, Postbank Hamburg (BLZ 20010020),
    Kto.-Nr.198418205
    IBAN DE04200100200198418205, SWIFT-BIC PBNKDEFF
    Aufsichtsrat Timotheus Höttges (Vorsitzender)
    Geschäftsführung Niek Jan van Damme (Sprecher), Thomas Dannenfeldt, Thomas
    Freude, Christoph Ganswindt,
    Dr. Christian P.Illek, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk
    Wössner
    Handelsregister Amtsgericht Bonn, HRB 5919, Sitz der Gesellschaft Bonn
    Identnummern Steuernummern: 205/5777/0518, USt-IdNr.: DE 122265872;
    WEEE-Reg.-Nr.: DE60800328, Ges.-Nr.: 1001

  4. Helge01 sagt:

    Nun ist auch VODAFONE einbezogen!! – hört denn das gar nicht auf –

    Achtung!
    Die SPAM von Vodafon mit angeblichen Rechnungs-Informationen ist wieder im Netz aufgetaucht.

    NICHT öffnen, enthält den alt bewehrten Trojaner, offensichtlich vom gleichen Stamm wie der IXXEN-Trojaner.

    Für alle zur Kenntnis:
    ————————

    VODAFONE verschickt derartige Mails nicht.

    Inhalt der Mail:

    R40237784 MAY/2012 Vodafone.
    Ihre aktuelle Online-Rechnung

    Ihre aktuelle Online-Rechnung steht fur Sie bereit.
    Die Gesamtsumme fur den aktuellen Abrechnungszeitraum betragt: 86,25 Euro.
    Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

    ********************************************
    Dies ist eine automatisch generierte E-Mail. Bitte senden Sie keine Antworten an diese Absender-Adresse.
    ********************************************
    Hinweise zu Ihrer Rechnung:
    => Sie konnen Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.
    Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.
    => Der Rechnungsbetrag wird fruhestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.
    => Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter http://www.vodafone.de/kunden/rechnungserklaerung

    ——————————————-

    Mit freundlichen Grussen,
    Ihr Vodafone Team
    Vodafone D2 GmbH
    Adresse: Am Seestern 3, 34506 Dusseldorf
    Sitz: Dusseldorf
    Eintragung im Handelsregister: Amtsgericht Dusseldorf, HRB Nr. 34008
    Zentrale: Am Seestern 1, 40507 Dusseldorf

    Vorstand: Friedrich Joussen Vorsitzender Jan Geldmacher, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna

    Ich habe Vodafone bereits informiert.

    Übrigens, auch der angtegebene LINK ist offenbar ein FAKE – nicht aufrufen – sonst holt ihr euch den TROJANER und ähnlichen SCHROTT auf das System.

    Aufgepaßt, diese Meil manipoliert scheinbar euren Virenscanner, ich habe seit Empfang und ohne daß ich die Datei geöffnet habe, laufend Ausfäkke von Kaspersky . er findet seine Registrierungsdaten nicht mehr und setzt sich inaktiv. Nach dem BOOT ist erst einmal wieder heile Welt.

    Helge

  5. Ernst Wenz sagt:

    Unglaublich : Die angebliche “telekom” will mir auch verbieten, dass ich diese Spam weiterleite , oder kopiere !!!

    Sehr geehrte Damen und Herren,

    Ihre aktuelle Rechnung für den Abrechnungszeitraum 28.04.2012 – 28.05.2012 liegt für Sie bereit.
    Der offene Rechnungsbetrag wird von Ihrem Konto am 31.05.2012 eingezogen.

    Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

    Mit freundlichen Grüßen
    Ralf Hoßbach
    Leiter Kundenservice

    ————————-

    Hinweis: Die Inhalte dieser Mail sind vertraulich und nur für den konkret genannten Adressaten der Anlage bestimmt. Falls Sie nicht der richtige Empfänger dieser E-Mail sind, senden Sie uns bitte eine Information an info@telekom.de und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.

    1) Das Angebot gilt bei Abschluss eines Telekom Mobilfunk-Vertrages im Tarif Complete Mobil XL, monatlicher Grundpreis 99,95 Euro; bei Online-Abschluss eines Neu-Vertrages erhält der Kunde eine Grundpreisreduzierung in Höhe von 10% in den ersten 12 Monaten der Mindestvertragslaufzeit. Einmaliger Bereitstellungspreis 24,95 Euro. Mindestlaufzeit: 24 Monate. Nach Verbrauch der Inklusiv-SMS werden pro Standard-Inlands-SMS 0,19 Euro berechnet. Ab dem Inklusiv-Datenvolumen von 1 GB wird die Bandbreite im jeweiligen Monat auf max. 64 kbit/s (Download) und 16 kbit/s (Upload) beschränkt. Die HotSpot Flatrate gilt nur für die Nutzung an deutschen HotSpots (WLAN) der Deutschen Telekom. »R-308»

  6. bernhard sagt:

    Hallo, ich habe diese gefälschte Mail (rechnungonline643230665@telekom.)
    Rechnung leider angeklickt (pdf) im Glaube, es wäre die mtl. Online Rechnung (ist ja auch der Trick) kann mir jemand sagen, welche Auswirkungen es hat und welche Maßnahmen man unternehmen muss .
    Vielen Dank Gruß Bernhard

  7. Kathi sagt:

    Habe heute auch so eine E-Mail erhalten:

    Absender Sabine Mannuss / summ-bine91@hotmail.de

    wir bedanken uns für Ihre Bestellung bei www.telekom.de.

    Soeben hat unsere Finanz Leitung bei Ihnen eine nicht bezahlte Zahlung festgestellt.
    Wenn Sie die Rechnung in den letzten Tagen bezahlt haben, betrachten Sie dieses Schreiben als gegenstandslos. Womöglich ist Ihnen jedoch entgangen die Rechnung für Ihre Bestellung 8992766 fristgerecht zu bezahlen.

    Offene Rechnung: 764,42 Euro
    Gebühren Ihrer Mahnung: 11,00 Euro

    Bitte bezahlen Sie die Rechnung bis zum 18.02.2013.
    Artikelauflistung und Widerruf-Mitteilung finden Sie im zugefügtem Zip Ordner.

    Sollte auch diese Zeitfrist ohne einen Zahlungseingang verstreichen, so werden wir diese Angelegenheit an unsere Anwälte zur Einforderung leiten.

    Freundlich grüßt Sie
    Sebastian Schulz Leiter der Kundenbetreuung

    Echt eine Frechheit!!!!!
    Zip Anhang habe ich natürlich nicht geöffnet….

  8. Sascha sagt:

    Habe soeben auch eine falsche Rechnung mit Anhang bekommen.
    Absender hier: rechnungonline.@telekom.de
    Bis auf den “Punkt” hinter “rechnungonline” sieht alles sehr echt aus.
    Hier der Text:

    Ihre Rechnung für Januar 2013
    Guten Tag,
    mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 46,68 Euro.

    Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

    Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.
    Mit freundlichen Grüßen
    Ralf Hoßbach
    Leiter Kundenservice

  9. Dirk sagt:

    Guten Tag,
    auch ich erhielt nun eine Mail, angeblich von der Telekom, obwohl ich dort kein Kunde bin. Ich dachte mir “Hey, W-LAN bei McD ist ja auch die Telekom, vielleicht kommt das daher. Das dies jedoch ein Fake ist, inclusive Gratis Trojaner der in der angehängten PDF stecken wird, war schnell klar. Die Betreffzeile klingt noch whrheitsgemäß RechnungOnline Monat Mai 2014 (Buchungskonto: 1064336343)
    Der Absender hat dann aber den entscheidenden Hinweis. Als Name steht dort: Kundenservice Rechnungonline Telekom
    Als Mailabsender kommt dann aber bk-info@mail.lms-coburg.de
    Kurz gegooglet und schwupps lms in Cobrug gefunden und dort angerufen LASCO Multimedia Services kennt das Problem, die Dame riet mir aber nur diese Mail ungelesen zu löschen (Ob sie weiss, dass ihre Firma für sowas zur Rechenschaft gezogen werden kann? Unwissenheit schützt vor Strafe nicht)
    Sicherheitshalber noch bei der Telekom angerufen, die sagten mir aber auch, dass wenn es keine persönliche Anrede gibt sondern nur “Sehr geehrte Damen und Herren” heisst, kann ich diese Mail getrost löschen, denn von der Telekom aus sei auch schon die Polizei informiert.
    Nun habe ich noch nen IP Scan auf den Host gesetzt und es wird auch wieder die LASCO Firma angezeigt. Hier finde ich sogar die Namen der beiden Geschäftsführer.
    Was man nicht so alles herausfindet …

    Also Leute,
    Rechnungen ohne persönliche Anrede -> vermutlich SPAM
    Absender stimmt nicht mit Betreff überein -> vermutlich SPAM
    und wenn doch alles echt ausschaut. Geht auf die Homepage der Firma, sucht euch dort die Kontaktnummer heraus und kontaktiert diese Firma direkt. Klickt doch nicht blind auf irgendwelche Links. Ihr kauft doch sonst auch keine Katze im Sack :-)

    Grüße
    Dirk

  10. Franzi sagt:

    Hi, ich hatte heute morgen auf meine ARBEITS EMAIL Adresse eine Mail von rechnungonline@ bekommen – bitte nicht öffnen.
    Grüße
    Franzi

    der Text war:
    Telekom Deutschland GmbH

    Lieber Telekom Kunde,

    in der Anlage finden Sie die Rechnung 39118541 als PDF-Anhang:
    Ihre Festnetz Rechnung für Juni 2014 #39118541.zip .

    Der Gesamtbetrag für den Monat Juni 2014 beläuft sich auf: 222,86 Euro.

    Mit freundlichen Grüßen
    Ihre Telekom

  11. Katharina M. sagt:

    “Sehr geehrte Kundin, sehr geehrter Kunde,

    hiermit informieren wir Sie über Ihre aktuelle Rechnung. Die fällige Summe für Juni 2014 beträgt insgesamt: 323,56 Euro.

    Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk RechnungOnline für Juni 2014.
    Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht an die angeführte Absenderadresse.

    Mit freundlichen Grüßen

    Ralf Hoßbach
    Leiter Kundenservice”

    das hatte ich gestern auf meinem PC


Hinterlasse eine Antwort