Der Anfang des Monats ist immer die Zeit, in der Betrüger gefälschte Rechnungen auf den Weg schicken, wie auch in diesem Falle.

Jene optisch echt aussehende Telekom-Rechnung finden viele Nutzer in ihrem Email-Postfächern:

Screenshot: mimikama.org
Screenshot: mimikama.org

Guten Morgen,

für Buchungskonto 1354271876 erhalten Sie mit dieser E-Mail Ihre aktuelle Rechnung.

Freundliche Grüße
Ihre Telekom

Von der nicht vorhandenen namentlichen Anrede mal abgesehen, ist es schon sehr skurril, dass in dieser Phishing-Mail gleichzeitig vor gefälschten Rechnungen gewarnt wird: Die Betrüger warnen vor sich selbst!

Klickt man nun auf dewn Link, um sie die Rechnung online anzusehen, soll man ein Word-Dokument herunterladen:

Screenshot: mimikama.org
Screenshot: mimikama.org

Solange man es nur herunterlädt und nicht öffnet, ist noch alles gut. Doch möchte man als Nutzer natürlich sehen, was in der vermeintlichen Rechnung steht.

Screenshot: mimikama.org
Screenshot: mimikama.org

Dort findet sich eine Bild, welches den Anschein erweckt, ein Hinweis von Microsoft Office zu sein, dass die Datei mit einer älteren Version von Word erstellt wurde, weswegen man erst die Bearbeitung und dann die enthaltenen Makros aktivieren müsse.
An diesem Punkt schnappt die Falle dann zu!

Durch die Aktivierung der enthaltenen Makros wird nämlich die Attacke ausgelöst:
In dem Dokument befinden sich Skripte, die im Hintergrund einige Trojaner und Malware auf den PC herunterladen und installieren. Für den Nutzer ist dieser Vorgang nicht sichtbar, er sieht weiterhin nur das Bilddokument und glaubt wahrscheinlich, dass etwas mit seinem Word nicht stimmt.

Nutzer von Open Office und Libre-Office dürften vor solchen Schadscripten sicher sein, da Scripte in diesen Programmen anders funktionieren als in Word. Dies ist allerdings keine hundertprozentige Garantie.

An dieser Stelle warnte uns dann auch Kaspersky vor den schädlichen Scripten, stoppte die Ausführung dieser, schloss Word und löschte die Datei.

Screenshot: mimikama.org
Screenshot: mimikama.org

Fazit

Auch wenn eine Mail sehr echt aussieht, ist es ratsam, auch bei dem kleinsten Zweifel immer sich direkt auf der Seite eines Unternehmens einzuloggen und niemals einen Link in einer dubiosen Mail anzuklicken.

 

 

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)