Achtung: Gefälschte Telekom-Rechnung enthält Trojaner
Fast perfekte Fälschung
Die sonst so typischen Kennzeichen einer Spam-Mail fehlen. Es gibt keine Rechtschreibfehler oder einen dubios klingenden Absender. Die Anrede im Text lässt dagegen erste Zweifel aufkommen.
Sie enthält keinen Kundennamen und lautet nur:Sehr geehrte Damen und Herren.Die fehlende persönliche Ansprache ist ein Indiz dafür, dass es sich hierbei nicht um die Telekom, sondern um eine nicht ganz ungefährliche Spam-Mail handelt.
Zudem kommt die Mail von dem Absender kunden1telekom.de statt von der offiziellen Adresse rechnungonline@telekom.de. Im Schreiben wird der Rechnungsbetrag von 110,27€ genannt, der Nutzer dazu verleiten soll die PDF-Datei anzuklicken, um sich über das Zustandekommen des hohen Betrags zu informieren. Die Datei selbst ist dabei nur 19,3 Kilobyte groß. Üblich bei einer echten Rechnung sind etwa 200 Kilobyte.
Trojaner in PDF enthalten
Die in der PDF-Datei verborgene Spionage-Software nutzt eine Schwachstelle im Adobe Reader aus. So ist sie fähig von URLs Programme wie zum Beispiel „menu.exe“, „shadow.exe“ oder „favorites.exe“ nachzuladen und zu starten.
Diese setzen sich dann im System fest und verändern verschiedene Systemeinstellungen. Es werden sogenannte Bot-Netz-Strukturen installiert, die das Adressbuch auslesen und Informationen an einen Command und Control Server schicken.
Wichtige Maßnahmen
Nutzer sollten unbedingt darauf achten, dass ihr Adobe Reader auf dem neusten Stand ist und gegebenenfalls eine Aktualisierung durchführen.
Fall das schädliche Programm bereits unwissentlich installiert worden ist, hilft nur ein Anti-Viren-Programm. Bislang konnten laut virustotal.com nur wenige Viren-Scanner den Trojaner mit dem Namen Packed.Win32.Krap.it aufspüren, sodass man in den nächsten Tagen die eigene Virensoftware verstärkt auf Updates überprüfen sollte.
29.04.2012 Neue Variante Gefälschter T-Com-Rechnungen.
Am 29.04.2012 erhielt ich per E-Mail (Absender: „sokoko-61@mynet.com“) eine gefälschte Rechnung der „Telekom Deutschland Gmbh“. In dieser Mail werden für angebl. Leistungen folgende Beträge verlangt:
„Zitat:…Die Leistungen in Überblick
Monatliche Beträge 13,97
Nutzungsabhängige Beträge 3,85
Beträge anderer Anbieter (0900 Servisnummer) : 917,67 Euro…“(Zitatende, einschl. Fehler).
Der Mail ist eine ZIP-Datei „…Rechnung im Detail und weitere wichtige Hinweise finden Sie im Anhang…“ angehängt, über die wohl ein Trojaner zum Ausspähen von Daten installiert werden soll (habe ich nicht geöffnet).
Fälschungsmerkmale in der gefälschten Telekom-Rechnung:
1. Die Kunden-Nr. der T-Com ist 10-stellig, die in der Betrugs-Mail nur 9-stellig;
2. In der T-Com-Rechnung sind keine Rechnungs- oder Kundennummern angegeben, sondern ledigl. die Buchungskontonummer steht in der Betreffzeile ;
3. Die Rechnung (ohne digitale Signatur) ist nur als Datei mit der Endung *.pdf angehängt, im Betrugs-Mail ist sie als ZIP-Datei angehängt;
4. Man wird in der T-Com-Rechnung persönlich angesprochen.
Auch schon anhand der Betreffzeile
„[Norton AntiSpam]Telekomrechnung…Name…Nummer..“, die in dieser Form meist in Betrugsmails von „Swiss-Apotheke u.a.“ auftaucht, ist die Mail als Betrugsmail erkennbar.
…auch ich habe vor einigen Tagen eine gefakte Telekom Rechnung bekommen. Sie ist der Rechnug vom o.g. User sehr ähnlich, nur das sie von rnr1@frontiernet.net kommt. Ich soll 464,62 für 0900 Servisnummer!!! und andere Beträge bezahlen. Dabei bin ich garnicht bei der Telekom und den Anhang habe ich auch nicht geöffnet. Dafür habe ich heute Strafanzeige erstattet!!!
Hier die Mail die wir erhalten haben. Wir haben es an die Telekom weiter geleitet aber die können auch nichts machen. Bitte unbedingt löschen!!!!!!!
Telekom Deutschland GmbH
53171 Bonn
27.04.12
an
*****************,
Kundennummer 659248693
Rechnungsnummer 1839577578
Telefon 0800 33 01000
Ihre Rechnung für April 2012
Die Leistungen in Überblick
Monatliche Beträge 54,36
Nutzungsabhängige Beträge 4,12
Beträge anderer Anbieter (0900 Servisnummer) : 746,18 Euro
Der Rechnungsbetrag wird nicht vor dem 3. Tag nach Zugang der Rechnung von Ihrem
Konto XXXXXXXXXX abgetragen (zum besseren Schutz Ihrer Daten wird die
Kontonummer nicht angedruckt)
Ihre Rechnung in Detail und weitere wichtige Hinweise finden Sie im Anhang
Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn
Postanschrift 53171 Bonn
Konto Lautend auf Deutsche Telekom AG, Postbank Hamburg (BLZ 20010020),
Kto.-Nr.198418205
IBAN DE04200100200198418205, SWIFT-BIC PBNKDEFF
Aufsichtsrat Timotheus Höttges (Vorsitzender)
Geschäftsführung Niek Jan van Damme (Sprecher), Thomas Dannenfeldt, Thomas
Freude, Christoph Ganswindt,
Dr. Christian P.Illek, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk
Wössner
Handelsregister Amtsgericht Bonn, HRB 5919, Sitz der Gesellschaft Bonn
Identnummern Steuernummern: 205/5777/0518, USt-IdNr.: DE 122265872;
WEEE-Reg.-Nr.: DE60800328, Ges.-Nr.: 1001
Nun ist auch VODAFONE einbezogen!! – hört denn das gar nicht auf –
Achtung!
Die SPAM von Vodafon mit angeblichen Rechnungs-Informationen ist wieder im Netz aufgetaucht.
NICHT öffnen, enthält den alt bewehrten Trojaner, offensichtlich vom gleichen Stamm wie der IXXEN-Trojaner.
Für alle zur Kenntnis:
————————
VODAFONE verschickt derartige Mails nicht.
Inhalt der Mail:
R40237784 MAY/2012 Vodafone.
Ihre aktuelle Online-Rechnung
Ihre aktuelle Online-Rechnung steht fur Sie bereit.
Die Gesamtsumme fur den aktuellen Abrechnungszeitraum betragt: 86,25 Euro.
Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.
********************************************
Dies ist eine automatisch generierte E-Mail. Bitte senden Sie keine Antworten an diese Absender-Adresse.
********************************************
Hinweise zu Ihrer Rechnung:
=> Sie konnen Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.
Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.
=> Der Rechnungsbetrag wird fruhestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.
=> Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter http://www.vodafone.de/kunden/rechnungserklaerung
——————————————-
Mit freundlichen Grussen,
Ihr Vodafone Team
Vodafone D2 GmbH
Adresse: Am Seestern 3, 34506 Dusseldorf
Sitz: Dusseldorf
Eintragung im Handelsregister: Amtsgericht Dusseldorf, HRB Nr. 34008
Zentrale: Am Seestern 1, 40507 Dusseldorf
Vorstand: Friedrich Joussen Vorsitzender Jan Geldmacher, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna
Ich habe Vodafone bereits informiert.
Übrigens, auch der angtegebene LINK ist offenbar ein FAKE – nicht aufrufen – sonst holt ihr euch den TROJANER und ähnlichen SCHROTT auf das System.
Aufgepaßt, diese Meil manipoliert scheinbar euren Virenscanner, ich habe seit Empfang und ohne daß ich die Datei geöffnet habe, laufend Ausfäkke von Kaspersky . er findet seine Registrierungsdaten nicht mehr und setzt sich inaktiv. Nach dem BOOT ist erst einmal wieder heile Welt.
Helge
Unglaublich : Die angebliche „telekom“ will mir auch verbieten, dass ich diese Spam weiterleite , oder kopiere !!!
Sehr geehrte Damen und Herren,
Ihre aktuelle Rechnung für den Abrechnungszeitraum 28.04.2012 – 28.05.2012 liegt für Sie bereit.
Der offene Rechnungsbetrag wird von Ihrem Konto am 31.05.2012 eingezogen.
Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.
Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice
————————-
Hinweis: Die Inhalte dieser Mail sind vertraulich und nur für den konkret genannten Adressaten der Anlage bestimmt. Falls Sie nicht der richtige Empfänger dieser E-Mail sind, senden Sie uns bitte eine Information an info@telekom.de und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.
1) Das Angebot gilt bei Abschluss eines Telekom Mobilfunk-Vertrages im Tarif Complete Mobil XL, monatlicher Grundpreis 99,95 Euro; bei Online-Abschluss eines Neu-Vertrages erhält der Kunde eine Grundpreisreduzierung in Höhe von 10% in den ersten 12 Monaten der Mindestvertragslaufzeit. Einmaliger Bereitstellungspreis 24,95 Euro. Mindestlaufzeit: 24 Monate. Nach Verbrauch der Inklusiv-SMS werden pro Standard-Inlands-SMS 0,19 Euro berechnet. Ab dem Inklusiv-Datenvolumen von 1 GB wird die Bandbreite im jeweiligen Monat auf max. 64 kbit/s (Download) und 16 kbit/s (Upload) beschränkt. Die HotSpot Flatrate gilt nur für die Nutzung an deutschen HotSpots (WLAN) der Deutschen Telekom. »R-308»
Hallo, ich habe diese gefälschte Mail (rechnungonline643230665@telekom.)
Rechnung leider angeklickt (pdf) im Glaube, es wäre die mtl. Online Rechnung (ist ja auch der Trick) kann mir jemand sagen, welche Auswirkungen es hat und welche Maßnahmen man unternehmen muss .
Vielen Dank Gruß Bernhard
Habe heute auch so eine E-Mail erhalten:
Absender Sabine Mannuss / summ-bine91@hotmail.de
wir bedanken uns für Ihre Bestellung bei http://www.telekom.de.
Soeben hat unsere Finanz Leitung bei Ihnen eine nicht bezahlte Zahlung festgestellt.
Wenn Sie die Rechnung in den letzten Tagen bezahlt haben, betrachten Sie dieses Schreiben als gegenstandslos. Womöglich ist Ihnen jedoch entgangen die Rechnung für Ihre Bestellung 8992766 fristgerecht zu bezahlen.
Offene Rechnung: 764,42 Euro
Gebühren Ihrer Mahnung: 11,00 Euro
Bitte bezahlen Sie die Rechnung bis zum 18.02.2013.
Artikelauflistung und Widerruf-Mitteilung finden Sie im zugefügtem Zip Ordner.
Sollte auch diese Zeitfrist ohne einen Zahlungseingang verstreichen, so werden wir diese Angelegenheit an unsere Anwälte zur Einforderung leiten.
Freundlich grüßt Sie
Sebastian Schulz Leiter der Kundenbetreuung
Echt eine Frechheit!!!!!
Zip Anhang habe ich natürlich nicht geöffnet….
Habe soeben auch eine falsche Rechnung mit Anhang bekommen.
Absender hier: rechnungonline.@telekom.de
Bis auf den „Punkt“ hinter „rechnungonline“ sieht alles sehr echt aus.
Hier der Text:
Ihre Rechnung für Januar 2013
Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 46,68 Euro.
Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.
Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.
Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice
Guten Tag,
auch ich erhielt nun eine Mail, angeblich von der Telekom, obwohl ich dort kein Kunde bin. Ich dachte mir „Hey, W-LAN bei McD ist ja auch die Telekom, vielleicht kommt das daher. Das dies jedoch ein Fake ist, inclusive Gratis Trojaner der in der angehängten PDF stecken wird, war schnell klar. Die Betreffzeile klingt noch whrheitsgemäß RechnungOnline Monat Mai 2014 (Buchungskonto: 1064336343)
Der Absender hat dann aber den entscheidenden Hinweis. Als Name steht dort: Kundenservice Rechnungonline Telekom
Als Mailabsender kommt dann aber bk-info@mail.lms-coburg.de
Kurz gegooglet und schwupps lms in Cobrug gefunden und dort angerufen LASCO Multimedia Services kennt das Problem, die Dame riet mir aber nur diese Mail ungelesen zu löschen (Ob sie weiss, dass ihre Firma für sowas zur Rechenschaft gezogen werden kann? Unwissenheit schützt vor Strafe nicht)
Sicherheitshalber noch bei der Telekom angerufen, die sagten mir aber auch, dass wenn es keine persönliche Anrede gibt sondern nur „Sehr geehrte Damen und Herren“ heisst, kann ich diese Mail getrost löschen, denn von der Telekom aus sei auch schon die Polizei informiert.
Nun habe ich noch nen IP Scan auf den Host gesetzt und es wird auch wieder die LASCO Firma angezeigt. Hier finde ich sogar die Namen der beiden Geschäftsführer.
Was man nicht so alles herausfindet …
Also Leute,
Rechnungen ohne persönliche Anrede -> vermutlich SPAM
Absender stimmt nicht mit Betreff überein -> vermutlich SPAM
und wenn doch alles echt ausschaut. Geht auf die Homepage der Firma, sucht euch dort die Kontaktnummer heraus und kontaktiert diese Firma direkt. Klickt doch nicht blind auf irgendwelche Links. Ihr kauft doch sonst auch keine Katze im Sack 🙂
Grüße
Dirk
Hi, ich hatte heute morgen auf meine ARBEITS EMAIL Adresse eine Mail von rechnungonline@ bekommen – bitte nicht öffnen.
Grüße
Franzi
der Text war:
Telekom Deutschland GmbH
Lieber Telekom Kunde,
in der Anlage finden Sie die Rechnung 39118541 als PDF-Anhang:
Ihre Festnetz Rechnung für Juni 2014 #39118541.zip .
Der Gesamtbetrag für den Monat Juni 2014 beläuft sich auf: 222,86 Euro.
Mit freundlichen Grüßen
Ihre Telekom
„Sehr geehrte Kundin, sehr geehrter Kunde,
hiermit informieren wir Sie über Ihre aktuelle Rechnung. Die fällige Summe für Juni 2014 beträgt insgesamt: 323,56 Euro.
Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk RechnungOnline für Juni 2014.
Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht an die angeführte Absenderadresse.
Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice“
das hatte ich gestern auf meinem PC