Ich habe einen verdammt eklige Spam Mail im Postfach gefunden. Diese Spammail hat als besonders perfides eine gefakte Virenprüfung.
Hier haben die Antivierenhersteller leider ziemlich Mist die letzten Jahre über gemacht. Nur weil diese in eine Mail im Fußbereich etwas ergänzen wie „diese Mail ist geprüft“, hat das nicht zu bedeutet, das nicht jeder Kasper diesen Text auch einfach unter seine Spam Mails kopieren kann (!)
„Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.“ oder ähnliches ist in keiner Weise ein Sicherheitsmerkmal(!)
=> Die Word Datei enthält einen Makro Virus. Dieser wird über Word Dateien verschickt die ein Makro starten. Dies ist ein kleines Art mini Programm was entsprechenden Schadcode auf den PC lädt
Hier eine Auflistung der Punkte die KEIN Sicherheitsmerkmal sind (aber oft dafür gehalten werden)
- einen logische Geschäftsfall konstruieren und diesen als Inhalt nehmen
- Als Absenderadresse die Bundeskanzlerin, Kaiser von China oder auch Barack Obama einsetzen
- Sicherheitslogos vom TÜV, BDN, NSA usw. einfügen
- ein beliebiges Impressum einfügen
- beliebige Telefonnumern einfügen (ganz perfide sogar gültige, die jedoch nur einen AB haben)
- Informationen auf angebliche Virenprüfung(!)
Was ist ein Anhaltspunkt für eine sichere Mail
Leider nur(!) die Kombination aus verschiedensten Dingen unter Berücksichtigung des gesunden Menschverstands und leider Erfahrung
- Wenn Sie auf eine bestimmte Mail gewartet haben und erhalten diese => dann ist diese (meist) sicher
- Wenn Sie auf keine E-Mail warten und die E-Mail nennt Ihren Namen(!) => dann ist diese (fast immer) sicher. Wobei hier ist das eklige sobald Spam Versender einmal Ihren Namen + E-Mail haben können diese personalisierte Spam Mails versenden(!) Und dann gibt es hier fast keine Chance mehr zu erkennen ob es ein Fake ist oder nicht.
- Ihr Name bedeutet nicht Ihr Firmenname(!) => Ihren Firmennamen + Ihre Haupt-Email-Adresse werden Sie vermutlich selbst in etlichen Platformen und Co (zurecht) eingetragen haben. An diese Daten kommen Spamversender recht einfach. Wird aber zum Glück noch nicht gemacht, weil viele leider immer noch auf Mails komplett ohne echte Anrede reinfallen.
- Wenn Ihr Antivirenprogramm eine authentische und auch prüfbare Virenkontroll durchgeführt hat und dies in der Mail vermerkt hat. Achtung(!) Dies ist bei jedem Antivirenprogramm komplett anders.
- Gesunder Menschenverstand(!) – Sobald Sie eine Mail bekommen und ein Anhang dabei ist oder Link den Sie anklicken sollen und Sie sich nicht 100% sicher sind… NICHT DEN ANHANG ÖFFNEN(!) und NICHT AUF LINKS KLICKEN. Dann lieber den (vermeintlichen) Geschäftspartner kurz anrufen und nachfragen.
Hier die E-Mail
Betreff: Bestellung Nummer 25786855 (oder ähnlich)
Absender: KleinLothar19@estudiob430.com (oder ähnlich)
Sehr geehrte Damen und Herren,
anbei erhalten Sie eine neue Bestellung von der Firma BSH Hausgeräte GmbH.
Geben Sie bitte die Bestellnummer auf der Rechnung an, so dass eine schnelle Zuordnung und damit Veranlassung der Zahlung gewährleistet ist.Mit freundlichen Grüßen,
BSH Order Center—
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus
Anhang:
=> Eine vermutlich verseuchte Word Datei AUF KEINEN FALL ÖFFNEN
update (11.12.2015)
Bei dem Anhang handelt es sich wie vermutet um einen verseuchte Word Dateie. Diese enthält einen Makro Virus
http://www.mimikama.at/allgemein/makroviren-unterwegs-bestellung-nummer-96360815-bsh-order-center/
Weiterführende Informationen auch auf heise.de
Ein ausführlichen Bericht zu Makro Viren finden Sie hier:
http://www.mimikama.at/allgemein/return-of-the-makros-ausgestorben-gemeinte-viren-kehren-zurck/
Oder auch hier:
http://www.heise.de/security/artikel/Analysiert-Das-Comeback-der-Makro-Malware-2573181.html
update(15.12.2015) – Mehr Informationen zu den Hintergründen – Absender verwenden „Mail-Spoofing“
Für betroffene Unternehmen in deren Namen E-Mails verschickt werden ist dies besonders eklig. Es gibt für Betreiber von E-Mail Adressen keine(!) Möglichkeit dies zu verhindern(!) Über super simple technische Maßnahmen können beliebige Absenderadresse definiert werden.
Wenn der Empfänger (also der der die Mails bekommt) keine entsprechenden Spamfilter im Einsatz hat gibt es keine Möglichkeiten für den echten Absender sicherzustellen, dass auch nur echte Mails von ihm verschickt werden. Bedeutet es ist in keiner Weise die Schuld des vermeintlichen Absenders. Es gibt für diesen schlicht keine Möglichkeit dies zu verhindern. Der Absender kann nur bei erhalt sofort entsprechende Warnhinweise auf seiner Internetseite veröffentlichen.
mehr Informationen gibt es hier:
https://de.wikipedia.org/wiki/Mail-Spoofing
Buchempfehlung:
Hier noch eine Buchempfehlung für alle die sich tiefer mit dem Thema beschäftigen möchten (Amazon Partnerlink)
E-Mail Hacking: Schützen Sie Ihr E-Mail-Postfach vor Trojanern, Viren und gefährlichen Anhängen.
Hey, Danke! Diese mail hatte ich auch im Postfach. Und gerade in der Vorweihnachtszeit, wo man hier und da im Internet etwas für seine Lieben bestellt und schon mal den Überblick verliert, ist das eine ganz üble Masche. Ich war mir sicher, dass ich kein Hausgerät bestellt hatte und habe daher den Absender gesperrt und die mail als Spam markiert und gelöscht. Bin froh, dass ich hier die Bestätigung gefunden habe!
freut mich, dass ich helfen konnte
Danke für deinen Post. Ich habe heute ebenfalls diese SPAM erhalten. Bei mir hieß der Absender aber Nikolaus Braun (BraunNikolaus323@buysell.fr)
vielen Dank für den Kommentar. Dann ist nun ein weitere (gefälschter) Abensender bekannt
Hallo,
wir haben dieselbe eMail mit verschiedenen Bestellnummern heute auch mehrfach erhalten. Was mich daran erschreckt: wir habe vor 2 Wochen tatsächlich eine echte Bestellung von BSH Hausgeräte erhalten, die fast Textgleich ist!! Beim Fake fehlt nur der Satz „Bei weiteren Fragen steht Ihnen Order Center zur Verfügung: ordercenter@bshg.com.“, die Fake-eMails haben natürlich nicht das Ordercenter als wahren Absender und im Anhang dr richtigen Bestellund war die Rechnung ls PDF-Datei. Beim Fake ist es aber eine Doc-Datei.
Ich habe schon gedacht unser Mailaccount wäre gehackt worden. aber wenn andere auch die Fake-Mail bekommen haben, wird die wohl wahllos verschick und es ist Zufall, dass ich diese eMail auch als echte Bestellung in meinem Postkorb habe? Gruss, Steffi
ja das ist ist ein wahlloses verschicken. Über dubiose Quellen können Tausende und mehr E-Mail Adressen eingekauft werden. Dort erhalten Spamversender ganzen Datenbanken voll mit „nur Geschäftskunden Deutschland“ und ähnliches… Dann werden dort einfach hundertausende(?) von Mails in einem Rutsch verschickt und selbst wenn nur wenige hundert drauf reinfallen hat es sich gelohnt…
Hallo,
wir haben die selbe Mail bekommen und zusätzlich eine im selben Stil von Euromaster (auch inkl. Word-Anhang) mit folgendem Text:
„Sehr geehrte Damen und Herren,
anbei Ihre online Rechnung 99891022 vom 11.12.2015 über 489,82 €.
Bei Rückfragen wenden Sie sich bitte an Ihren zuständigen EUROMASTER Experten oder senden Sie eine E-Mail an: ****
Wir freuen uns auf eine weiterhin erfolgreiche Zusammenarbeit und verbleiben mit freundlichen Grüßen
Ihre EUROMASTER Experten für Reifen, Räder und Autoservice
———————–
Euromaster GmbH
Mainzer Straße 81
67657 Kaiserslautern “
Die E-Mail-Adresse bestand wirklich nur aus Sternchen.
Also Vorsicht bei allen Mails dieser Art!
Und die nächste:
Ihre Rechnung von der Büromarkt Böttcher AG
Sehr geehrte Damen und Herren,
vielen Dank für Ihren Auftrag. Dieser wird umgehend durch unser Logistikzentrum versendet.
Beiliegend erhalten Sie Ihre Rechnung.
Ihre Kundennummer: D81288800
Ihre Rechnungsnummer: AFD64310
Mit freundlichen Grüßen
Ihr Team der Büromarkt Böttcher AG
Büromarkt Böttcher AG
Anschrift:
Brüsseler Straße 3
07747 Jena
Vorstand: Johann Sauer
*14 Cent inkl. MwSt./Min aus dem deutschen Festnetz Mobilfunkhöchstpreis 42 Cent inkl. MwSt./Min
Hallo,
könnt ihr mir helfen,hab diesen Anhang leider geöffnet,was kann ich dagegen tun.
Hallo,
leider nein. Dazu ist es nötig, dass sich ein Fachmann Ihren PC anschaut und verschiedenen Tests macht um zu prüfen ob etwas passiert ist oder Sie nochmal Glück gehabt haben.
Sie sollten dringend einen Fachmann aufsuchen, der Ihren PC überprüft. Die Word Dateien sind mit großer Wahrscheinlichkeit verseucht. Weitere Informationen z.B. hier. http://www.heise.de/newsticker/meldung/Gefaehrliches-Duo-Erpressungstrojaner-kommt-mit-Word-Datei-3039927.html
diese mail habe ich heute auch bekommen. Bei mir stand da als Absender Jan Martin mit „MartinJan949@hscc.com“
Neue Variante der Mail aufgetauch von „HD PLUS GmbH“
Lieber Kunde,
Wir bedanken uns für Ihr Vertrauen und wünschen gute Unterhaltung mit HD+ und den privaten Sendern in bester HD-Qualität.
Im Anhang finden Sie die Rechnung zur Ihrer Bestellung.
Den für Ihre HD+ Verlängerung notwendigen Verlängerungs Code haben wir für Sie auf der Rechnung noch einmal abgedruckt.
Mit freundlichen Grüßen
Ihr HD+ Team
Bitte beachten Sie, dass eine Antwort auf diese email nicht möglich ist. Bitte nutzen Sie bei Fragen zu Ihrer Bestellung das Kontaktformular auf unserer Internetseite http://www.hd-plus.de.
HD PLUS GmbH
Beta-Str. 1-10
85774 Unterföhring
UST-ID DE 249297389
Amtsgericht München, HRB 159479
Geschäftsführer: Wilfried Urner (Vors.), Georges Agnes, Martin Oberfrank, Timo Schneckenburger
Weitere Variante im Umlauf
Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie unsere Rechnung 61440580 vom 11.12.2015 im MS-Office Format. Diese Reifen sind per DPD an Sie unterwegs.
Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.
Bitte beachten ! Dieser Beleg ist das Orginalexemplar !
Mit freundlichen Grüßen
Oskar Martin
weitere Variante:
Hallo,
anbei erhalten Sie Rechnung Nr. 35494231 vom 20.10.2014.
Originalbeleg, bitte drucken Sie diesen für Ihre Unterlagen aus.
Möchten Sie Ihre Rechnungen auf dem Postweg? Lassen Sie es uns wissen!
Mit freundlichen Grüßen
Reifen Heinen GmbH
Lobbericher Str. 44
47929 Grefrath
Steuer Nr.: 102/5840/0348
HRB: 12515 Krefeld
weitere Version:
Ihre Rechnung von der Büromarkt Böttcher AG
Sehr geehrte Damen und Herren,
vielen Dank für Ihren Auftrag. Dieser wird umgehend durch unser
Logistikzentrum versendet.
Beiliegend erhalten Sie Ihre Rechnung.
Ihre Kundennummer: D81288800
Ihre Rechnungsnummer: 02ADB86C
Mit freundlichen Grüßen
Ihr Team der Büromarkt Böttcher AG
Büromarkt Böttcher AG
Anschrift:
Brüsseler Straße 3
07747 Jena
Vorstand:
Kristian Dietrich
*14 Cent inkl. MwSt./Min aus dem deutschen Festnetz Mobilfunkhöchstpreis 42
Cent inkl. MwSt./Min
weitere Variante:
Bornebusch_Banner_4
Mit freundlichen Grüßen
Tobias Baum Chacon
Bornebusch GmbH & Co. KG
Welterstr. 44
57072 Siegen
baum@bornebusch.de
http://www.bornebusch.de
tel.: +49 (271) 77 25 9-0
fax: +49 (271) 4 45 08
Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.
Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
USt.-Id.-Nr.: DE 814585776
Steuer-Nr.: 342/5803/1390
HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer.
ATTENTION: This message is confidential and intended only for the person(s) named above..
If you have received this message by mistake, please notify me immediately.
Bitte denken Sie an die Umwelt, bevor Sie diese E-Mail ausdrucken.
Think of the environment…please don’t print this e-mail unless you really need to.
Hi,
ich hatte die Mail eben auch drin, den Ahang skeptisch runtergeladen und direkt mit Avira geprüft. Kein Fehler gefunden, daher den Anhang geöffnet und das Word ging auf ohne Inhalt. Allerdings hätte ich noch im Word auf Bearbeitung drücken müssen. Wenigstens dies tat ich nicht.
Damit ist das Makro nicht aktiviert worden, oder ?
Was kann ich denn noch tun, um eventuelle Viren zu entfernen. Avira ist drauf, reicht vermutlich nicht ?
Hallo,
ja das sollte dir noch das Weihnachtsfest gerettet haben 😉
Diese Art von Viren ist eigentlich uralt und gab es lange Zeit nicht mehr, weil keiner so „dumm“ war Makros auszuführen, die er nicht kannte. Das wiederlich jetzt ist, dass sich die Word eben als seriöse Dokumente ausgeben… Und wenn man nicht aufpasst das Dokument doch leicht runterlädt und wenn man dann komplett unbedarf rangeht eben auch das Makro zulässt…
Glücklicherweise hat Word noch eine Sicherung(!) Wenn Sie das Makro nicht zugelassen haben, kann das nicht aktiv werden.
Grüße
Hallo, ich habe auf einem Mac den Anhang geöffnet ( Textilreinigung Kaliber Lieferschein) .
Ich habe kein Office auf dem Gerät, habe den Anhang versucht mit Pages zu öffnen, nichts zu sehen gewesen und auch kein Macro zu bestätigen.
Kann ich davon ausgehen das sich nichts installiert hat ?
1000 Dank für die vielen Infos hier
Hallo,
mit großer Wahrscheinlichkeit ist dort nichts passiert. Mac und PC sind komplett unterschiedlich und selbst wenn das Macro Schadcode geladen haben sollte, dürfte dieser auf dem Mac wirkungslos gewesen sein… Problem wäre, wenn der Schadcode so gut ist, dass dieser erkennt ob Mac oder PC. Da der Aufwand für sowas aber vermutlich zu hoch sein dürfte, gehe ich davon aus, ihr Mac sollte nicht befallen sein. Sicherheitshalber dennoch Virenscan durchlaufen lassen.
grüße