Achtung eklige Spam Mail – gefakte Virenprüfung(!) – Bestellung Nummer 25786855 – BSH Order Center

Ich habe einen verdammt eklige Spam Mail im Postfach gefunden. Diese Spammail hat als besonders perfides eine gefakte Virenprüfung.

Hier haben die Antivierenhersteller leider ziemlich Mist die letzten Jahre über gemacht. Nur weil diese in eine Mail im Fußbereich etwas ergänzen wie „diese Mail ist geprüft“, hat das nicht zu bedeutet, das nicht jeder Kasper diesen Text auch einfach unter seine Spam Mails kopieren kann (!)

„Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.“ oder ähnliches ist in keiner Weise ein Sicherheitsmerkmal(!)

=> Die Word Datei enthält einen Makro Virus. Dieser wird über Word Dateien verschickt die ein Makro starten. Dies ist ein kleines Art mini Programm was entsprechenden Schadcode auf den PC lädt

Hier eine Auflistung der Punkte die KEIN Sicherheitsmerkmal sind (aber oft dafür gehalten werden)

  •  einen logische Geschäftsfall konstruieren und diesen als Inhalt nehmen
  •  Als Absenderadresse die Bundeskanzlerin, Kaiser von China oder auch Barack Obama einsetzen
  •  Sicherheitslogos vom TÜV, BDN, NSA usw. einfügen
  •  ein beliebiges Impressum einfügen
  •  beliebige Telefonnumern einfügen (ganz perfide sogar gültige, die jedoch nur einen AB haben)
  • Informationen auf angebliche Virenprüfung(!)

Was ist ein Anhaltspunkt für eine sichere Mail

Leider nur(!) die Kombination aus verschiedensten Dingen unter Berücksichtigung des gesunden Menschverstands und leider Erfahrung

  • Wenn Sie auf eine bestimmte Mail gewartet haben und erhalten diese => dann ist diese (meist) sicher
  • Wenn Sie auf keine E-Mail warten und die E-Mail nennt Ihren Namen(!) => dann ist diese (fast immer) sicher. Wobei hier ist das eklige sobald Spam Versender einmal Ihren Namen + E-Mail haben können diese personalisierte Spam Mails versenden(!) Und dann gibt es hier fast keine Chance mehr zu erkennen ob es ein Fake ist oder nicht.
  • Ihr Name bedeutet nicht Ihr Firmenname(!) => Ihren Firmennamen + Ihre Haupt-Email-Adresse werden Sie vermutlich selbst in etlichen Platformen und Co (zurecht) eingetragen haben. An diese Daten kommen Spamversender recht einfach. Wird aber zum Glück noch nicht gemacht, weil viele leider immer noch auf Mails komplett ohne echte Anrede reinfallen.
  • Wenn Ihr Antivirenprogramm eine authentische und auch prüfbare Virenkontroll durchgeführt hat und dies in der Mail vermerkt hat. Achtung(!) Dies ist bei jedem Antivirenprogramm komplett anders.
  • Gesunder Menschenverstand(!) – Sobald Sie eine Mail bekommen und ein Anhang dabei ist oder Link den Sie anklicken sollen und Sie sich nicht 100% sicher sind… NICHT DEN ANHANG ÖFFNEN(!) und NICHT AUF LINKS KLICKEN. Dann lieber den (vermeintlichen) Geschäftspartner kurz anrufen und nachfragen.

 

Hier die E-Mail

Bestellung-Nummer-25786855

Betreff: Bestellung Nummer 25786855 (oder ähnlich)
Absender: KleinLothar19@estudiob430.com (oder ähnlich)

Sehr geehrte Damen und Herren,
anbei erhalten Sie eine neue Bestellung von der Firma BSH Hausgeräte GmbH.
Geben Sie bitte die Bestellnummer auf der Rechnung an, so dass eine schnelle Zuordnung und damit Veranlassung der Zahlung gewährleistet ist.

Mit freundlichen Grüßen,
BSH Order Center


Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus

Anhang:
=> Eine vermutlich verseuchte Word Datei AUF KEINEN FALL ÖFFNEN

 

update (11.12.2015)

Bei dem Anhang handelt es sich wie vermutet um einen verseuchte Word Dateie. Diese enthält einen Makro Virus

http://www.mimikama.at/allgemein/makroviren-unterwegs-bestellung-nummer-96360815-bsh-order-center/

Weiterführende Informationen auch auf heise.de

http://www.heise.de/newsticker/meldung/Gefaehrliches-Duo-Erpressungstrojaner-kommt-mit-Word-Datei-3039927.html

 

Ein ausführlichen Bericht zu Makro Viren finden Sie hier:

http://www.mimikama.at/allgemein/return-of-the-makros-ausgestorben-gemeinte-viren-kehren-zurck/

Oder auch hier:

http://www.heise.de/security/artikel/Analysiert-Das-Comeback-der-Makro-Malware-2573181.html

update(15.12.2015) – Mehr Informationen zu den Hintergründen – Absender verwenden „Mail-Spoofing“

Für betroffene Unternehmen in deren Namen E-Mails verschickt werden ist dies besonders eklig. Es gibt für Betreiber von E-Mail Adressen keine(!) Möglichkeit dies zu verhindern(!) Über super simple technische Maßnahmen können beliebige Absenderadresse definiert werden.

Wenn der Empfänger (also der der die Mails bekommt) keine entsprechenden Spamfilter im Einsatz hat gibt es keine Möglichkeiten für den echten Absender sicherzustellen, dass auch nur echte Mails von ihm verschickt werden. Bedeutet es ist in keiner Weise die Schuld des vermeintlichen Absenders. Es gibt für diesen schlicht keine Möglichkeit dies zu verhindern. Der Absender kann nur bei erhalt sofort entsprechende Warnhinweise auf seiner Internetseite veröffentlichen.

 

mehr Informationen gibt es hier:

https://de.wikipedia.org/wiki/Mail-Spoofing

 

Buchempfehlung:

Hier noch eine Buchempfehlung für alle die sich tiefer mit dem Thema beschäftigen möchten (Amazon Partnerlink)
E-Mail Hacking: Schützen Sie Ihr E-Mail-Postfach vor Trojanern, Viren und gefährlichen Anhängen.

 

25 Antworten auf „Achtung eklige Spam Mail – gefakte Virenprüfung(!) – Bestellung Nummer 25786855 – BSH Order Center“

  1. Hey, Danke! Diese mail hatte ich auch im Postfach. Und gerade in der Vorweihnachtszeit, wo man hier und da im Internet etwas für seine Lieben bestellt und schon mal den Überblick verliert, ist das eine ganz üble Masche. Ich war mir sicher, dass ich kein Hausgerät bestellt hatte und habe daher den Absender gesperrt und die mail als Spam markiert und gelöscht. Bin froh, dass ich hier die Bestätigung gefunden habe!

  2. Hallo,
    wir haben dieselbe eMail mit verschiedenen Bestellnummern heute auch mehrfach erhalten. Was mich daran erschreckt: wir habe vor 2 Wochen tatsächlich eine echte Bestellung von BSH Hausgeräte erhalten, die fast Textgleich ist!! Beim Fake fehlt nur der Satz „Bei weiteren Fragen steht Ihnen Order Center zur Verfügung: ordercenter@bshg.com.“, die Fake-eMails haben natürlich nicht das Ordercenter als wahren Absender und im Anhang dr richtigen Bestellund war die Rechnung ls PDF-Datei. Beim Fake ist es aber eine Doc-Datei.
    Ich habe schon gedacht unser Mailaccount wäre gehackt worden. aber wenn andere auch die Fake-Mail bekommen haben, wird die wohl wahllos verschick und es ist Zufall, dass ich diese eMail auch als echte Bestellung in meinem Postkorb habe? Gruss, Steffi

    1. ja das ist ist ein wahlloses verschicken. Über dubiose Quellen können Tausende und mehr E-Mail Adressen eingekauft werden. Dort erhalten Spamversender ganzen Datenbanken voll mit „nur Geschäftskunden Deutschland“ und ähnliches… Dann werden dort einfach hundertausende(?) von Mails in einem Rutsch verschickt und selbst wenn nur wenige hundert drauf reinfallen hat es sich gelohnt…

  3. Hallo,

    wir haben die selbe Mail bekommen und zusätzlich eine im selben Stil von Euromaster (auch inkl. Word-Anhang) mit folgendem Text:

    „Sehr geehrte Damen und Herren,
    anbei Ihre online Rechnung 99891022 vom 11.12.2015 über 489,82 €.
    Bei Rückfragen wenden Sie sich bitte an Ihren zuständigen EUROMASTER Experten oder senden Sie eine E-Mail an: ****

    Wir freuen uns auf eine weiterhin erfolgreiche Zusammenarbeit und verbleiben mit freundlichen Grüßen

    Ihre EUROMASTER Experten für Reifen, Räder und Autoservice

    ———————–
    Euromaster GmbH
    Mainzer Straße 81
    67657 Kaiserslautern “

    Die E-Mail-Adresse bestand wirklich nur aus Sternchen.

    Also Vorsicht bei allen Mails dieser Art!

    1. Und die nächste:

      Ihre Rechnung von der Büromarkt Böttcher AG

      Sehr geehrte Damen und Herren,

      vielen Dank für Ihren Auftrag. Dieser wird umgehend durch unser Logistikzentrum versendet.

      Beiliegend erhalten Sie Ihre Rechnung.

      Ihre Kundennummer: D81288800
      Ihre Rechnungsnummer: AFD64310

      Mit freundlichen Grüßen
      Ihr Team der Büromarkt Böttcher AG

      Büromarkt Böttcher AG

      Anschrift:
      Brüsseler Straße 3
      07747 Jena
      Vorstand: Johann Sauer

      *14 Cent inkl. MwSt./Min aus dem deutschen Festnetz Mobilfunkhöchstpreis 42 Cent inkl. MwSt./Min

    1. Hallo,

      leider nein. Dazu ist es nötig, dass sich ein Fachmann Ihren PC anschaut und verschiedenen Tests macht um zu prüfen ob etwas passiert ist oder Sie nochmal Glück gehabt haben.

      Sie sollten dringend einen Fachmann aufsuchen, der Ihren PC überprüft. Die Word Dateien sind mit großer Wahrscheinlichkeit verseucht. Weitere Informationen z.B. hier. http://www.heise.de/newsticker/meldung/Gefaehrliches-Duo-Erpressungstrojaner-kommt-mit-Word-Datei-3039927.html

  4. Neue Variante der Mail aufgetauch von „HD PLUS GmbH“
    Lieber Kunde,

    Wir bedanken uns für Ihr Vertrauen und wünschen gute Unterhaltung mit HD+ und den privaten Sendern in bester HD-Qualität.

    Im Anhang finden Sie die Rechnung zur Ihrer Bestellung.

    Den für Ihre HD+ Verlängerung notwendigen Verlängerungs Code haben wir für Sie auf der Rechnung noch einmal abgedruckt.

    Mit freundlichen Grüßen

    Ihr HD+ Team

    Bitte beachten Sie, dass eine Antwort auf diese email nicht möglich ist. Bitte nutzen Sie bei Fragen zu Ihrer Bestellung das Kontaktformular auf unserer Internetseite http://www.hd-plus.de.

    HD PLUS GmbH
    Beta-Str. 1-10
    85774 Unterföhring

    UST-ID DE 249297389
    Amtsgericht München, HRB 159479
    Geschäftsführer: Wilfried Urner (Vors.), Georges Agnes, Martin Oberfrank, Timo Schneckenburger

  5. Weitere Variante im Umlauf
    Sehr geehrte Damen und Herren,

    in der Anlage erhalten Sie unsere Rechnung 61440580 vom 11.12.2015 im MS-Office Format. Diese Reifen sind per DPD an Sie unterwegs.
    Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.
    Bitte beachten ! Dieser Beleg ist das Orginalexemplar !

    Mit freundlichen Grüßen
    Oskar Martin

  6. weitere Variante:
    Hallo,

    anbei erhalten Sie Rechnung Nr. 35494231 vom 20.10.2014.

    Originalbeleg, bitte drucken Sie diesen für Ihre Unterlagen aus.
    Möchten Sie Ihre Rechnungen auf dem Postweg? Lassen Sie es uns wissen!

    Mit freundlichen Grüßen

    Reifen Heinen GmbH
    Lobbericher Str. 44
    47929 Grefrath
    Steuer Nr.: 102/5840/0348
    HRB: 12515 Krefeld

  7. weitere Version:
    Ihre Rechnung von der Büromarkt Böttcher AG

    Sehr geehrte Damen und Herren,

    vielen Dank für Ihren Auftrag. Dieser wird umgehend durch unser
    Logistikzentrum versendet.

    Beiliegend erhalten Sie Ihre Rechnung.

    Ihre Kundennummer: D81288800
    Ihre Rechnungsnummer: 02ADB86C

    Mit freundlichen Grüßen
    Ihr Team der Büromarkt Böttcher AG

    Büromarkt Böttcher AG

    Anschrift:
    Brüsseler Straße 3
    07747 Jena
    Vorstand:
    Kristian Dietrich

    *14 Cent inkl. MwSt./Min aus dem deutschen Festnetz Mobilfunkhöchstpreis 42
    Cent inkl. MwSt./Min

  8. weitere Variante:

    Bornebusch_Banner_4
    Mit freundlichen Grüßen

    Tobias Baum Chacon
    Bornebusch GmbH & Co. KG
    Welterstr. 44
    57072 Siegen
    baum@bornebusch.de
    http://www.bornebusch.de
    tel.: +49 (271) 77 25 9-0
    fax: +49 (271) 4 45 08

    Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.

    Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
    USt.-Id.-Nr.: DE 814585776
    Steuer-Nr.: 342/5803/1390
    HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.

    Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer.

    ATTENTION: This message is confidential and intended only for the person(s) named above..
    If you have received this message by mistake, please notify me immediately.

    Bitte denken Sie an die Umwelt, bevor Sie diese E-Mail ausdrucken.
    Think of the environment…please don’t print this e-mail unless you really need to.

  9. Hi,
    ich hatte die Mail eben auch drin, den Ahang skeptisch runtergeladen und direkt mit Avira geprüft. Kein Fehler gefunden, daher den Anhang geöffnet und das Word ging auf ohne Inhalt. Allerdings hätte ich noch im Word auf Bearbeitung drücken müssen. Wenigstens dies tat ich nicht.
    Damit ist das Makro nicht aktiviert worden, oder ?

    Was kann ich denn noch tun, um eventuelle Viren zu entfernen. Avira ist drauf, reicht vermutlich nicht ?

    1. Hallo,

      ja das sollte dir noch das Weihnachtsfest gerettet haben 😉

      Diese Art von Viren ist eigentlich uralt und gab es lange Zeit nicht mehr, weil keiner so „dumm“ war Makros auszuführen, die er nicht kannte. Das wiederlich jetzt ist, dass sich die Word eben als seriöse Dokumente ausgeben… Und wenn man nicht aufpasst das Dokument doch leicht runterlädt und wenn man dann komplett unbedarf rangeht eben auch das Makro zulässt…

      Glücklicherweise hat Word noch eine Sicherung(!) Wenn Sie das Makro nicht zugelassen haben, kann das nicht aktiv werden.

      Grüße

  10. Hallo, ich habe auf einem Mac den Anhang geöffnet ( Textilreinigung Kaliber Lieferschein) .
    Ich habe kein Office auf dem Gerät, habe den Anhang versucht mit Pages zu öffnen, nichts zu sehen gewesen und auch kein Macro zu bestätigen.
    Kann ich davon ausgehen das sich nichts installiert hat ?
    1000 Dank für die vielen Infos hier

    1. Hallo,
      mit großer Wahrscheinlichkeit ist dort nichts passiert. Mac und PC sind komplett unterschiedlich und selbst wenn das Macro Schadcode geladen haben sollte, dürfte dieser auf dem Mac wirkungslos gewesen sein… Problem wäre, wenn der Schadcode so gut ist, dass dieser erkennt ob Mac oder PC. Da der Aufwand für sowas aber vermutlich zu hoch sein dürfte, gehe ich davon aus, ihr Mac sollte nicht befallen sein. Sicherheitshalber dennoch Virenscan durchlaufen lassen.

      grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.