Aktuelles

Gewerbetreibende bekommen eine „Order canceled“ Mail mit Virus-Anhang!

Gewerbetreibende sollten aufpassen: Derzeit wird eine englischsprachige Mail verschickt, in der behauptet wird, dass eine Bestellung nicht funktionierte, trotzdem Geld von der Kreditkarte abgebucht wurde. Doch hinter dem Link in der Mail verbirgt sich ein Virus!

Ralf Nowotny,

Ausnahmsweise mal keine wahllos verschickte Phishing-Mail, sondern eine gezielt an Gewerbetreibende verschickte Mail mit einem schädlichen Link wird derzeit verschickt. In der Datei mit dem angeblichen Bank Statement verbirgt sich jedoch ein Virus!

So sieht die Mail an Gewerbetreibende aus

Dies ist die englischsprachige Mail:

Die an Gewerbetreibende verschickte Mail
Die an Gewerbetreibende verschickte Mail

Der englischsprachige Text lautet:

Hi there.
Yesterday I paid for around 3 hundred $ worth of goods from your store.
Right after paying for the products, a message appeared on your web page that it was impossible to obtain cash from my banking card and my transaction canceled.
But when I got into my account, I found the fact that did took place.
Please solve this issue and give back the funds as quickly as possible!
I am also attaching my bank statement to confirm the drawback of the money.

Auf Deutsch:

Hallo.
Gestern habe ich in Ihrem Geschäft Waren im Wert von etwa 300 $ gekauft.
Gleich nach der Bezahlung der Produkte erschien auf Ihrer Webseite eine Meldung, dass es nicht möglichsei, Bargeld von meiner Bankkarte zu erhalten, und meine Transaktion wurde abgebrochen.
Aber als ich in mein Konto ging, stellte ich fest, dass der Kauf durchgeführt wurde.
Bitte lösen Sie dieses Problem und geben Sie das Geld so schnell wie möglich zurück!
Ich füge auch meinen Kontoauszug bei, um die Abbuchung des Geldes zu bestätigen.

Unter dem Text befindet sich ein Link, der mit „View my Bank Statement“ beschriftet ist, sowie der Satz „My Bank Statement Pass: 9111“ – diese Nummer werden wir gleich benötigen!

Ein riesiger Virus hinter dem Link

Klicken wir also mal den Link an! Sofort wird eine gepackte Datei heruntergeladen, die gerade einmal 1 Megabyte groß ist:

Die heruntergeladene Datei
Die heruntergeladene Datei

Der Name der Datei lautet „My_Bank_Statement_Client_ID_368470503172PDF.pdf.zip“.
Achtung: Standardmäßig ist bei den meisten Nutzern die Anzeige der Dateiendung ausgeschaltet, sodass es für diese Nutzer so aussieht, als ob dies eine PDF-Datei wäre!

Nein, die Zwischenüberschrift ist kein Scherz, denn tatsächlich versteckt sich in der gepackten Datei ein riesiger Virus! Wenn wir die Datei nämlich entpacken, um endlich das angebliche Bank-Statement sehen zu können, erhalten wir diese Datei:

Die entpackte Datei
Die entpackte Datei

Optisch sieht es für die meisten Nutzer so aus, als ob man eine 668 Megabyte (!) große PDF-Datei entpackt hätte, doch tatsächlich handelt es sich (wie im Screenshot oben sichtbar) um eine EXE-Datei, also um eine ausführbare Datei. Zudem ist in der Dateibeschreibung ersichtlich, dass es sich um ein selbst entpackendes Programm handelt.

Würden wir nun diese Datei ausführen, würde sich auf dem PC eine riesige Menge an Viren, Trojanern, Keyloggern und Mlaware auf dem PC selbstständig installieren. Ein Check der Datei bei Kaspersky bestätigte uns, dass sich sehr viel Malware in der ausführbaren Datei befindet.

Fazit

Gerade für Gewerbetreibende kann dies natürlich besonders schädlich sein, wenn beispielsweise sämtliche Kundendaten, Rechnungen, Mailverkehr etc. durch schädliche Programme kompromittiert werden und im schlimmsten Fall gar nicht mehr zugänglich sind – es kann das Ende eines Gewerbes bedeuten.

Deshalb unser Rat an Gewerbetreibende: Eine solche Mail am Besten sofort dem Ort zuweisen, dem sie gebührt: Den Papierkorb.

Auch interessant:

Vorsicht vor Kreditkarten-Phishing! Betrüger nutzen eine ausgeklügelte Masche, bei der sie vorgeben, ein Post-Paket sei unzustellbar und man müsse seine Adresse vervollständigen. Zudem fängt man sich ein teures Abo ein.
Paketdienst-Mail von der Post: Vorsicht, Abzocke!


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama