[WARNUNG]: Gefakte Rechnung unterwegs. Malware!

    Ich erhielt eine E-Maill, die angeblich eine Rechnung darstellen sollte.


    Im An-Feld war weder mein Name noch meine Mail-Adresse angegeben, heisst entweder ich habe die als BCC ( Blindkopie ) bekommen oder der Mail-Header ist manipuliert.



    Der textliche Inhalt lautet :


    Guten Tag,


    Im Anhang dieser Email senden wir Ihnen Ihre aktuelle Rechnung.


    Der offene Betrag ist innerhalb von 10 Tagen zu begleichen.




    Bpay AG



    Der Anhang weist eine Datei auf namens "Rechnung.exe" - NICHT AUSFÜHREN.
    Rechnungen, wenn als Mail-Anhang versendet ( was heutzutage untypisch ist ), sind (fast) grundsätzlich PDF-Dateien.


    Eine solche Mail ist umgehend zu löschen.


    Der Quelltext der Mail sieht folgendermaßen aus :



    Solche Mails sind NICHT für voll zu nehmen - kompromittiert euch nicht eure eigene Maschine.




    Bearbeitung 1 durch Ratgeber:
    Dateianhang kurzzeitig entfernt um ihn von privaten Daten zu bereinigen
    Bearbeitung 2 durch Ratgeber:
    Bearbeitete Datei hochgeladen und User-Mailadressen im Text anonymisiert

    "Ich weiß nicht, wer mich in die Welt gesetzt hat, und auch nicht, was mein Körper, meine Seele, meine Sinne und jener Teil meines Ichs sind, der denkt. Ich sehe überall nur Unendlichkeiten, die mich wie ein Atom und wie einen Schatten einschließen." (Blaise Pascal)

    2 Mal editiert, zuletzt von Ratgeber ()

    Info zum Thema Rechnung per Mail:
    Die Finanzbehörden diverser Bundesländer (z.B. NRW ) haben festgelegt, dass Rechnungen im PDF-Format einer "Original-Rechnung" entsprechen und deshalb nicht unbedingt in Papierform vorgelegt werden müssen, wenn sie als PDF erhalten wurden.


    Hintergrund ist, dass eben viele Firmen sowieso alle Rechnungen einscannen um spätere Archivierungen zu erleichtern. Gleichzeitig verwenden immer mehr Firmen direkt das PDF-Format um Rechnungen per Mail zuzustellen.
    Das Format PDF ist das einzige anerkannte Datenformat für Rechnungen, die per Mail zugesendet werden.


    Ein reiner Mail-Text erfüllt nicht die Anforderungen von Finanzbehörden. Aus diesem Grund ist es eben wirklich üblich Rechnungen als PDF-Anhang zu versenden.


    Ich denke mir, dass dieses "Business Know How" nicht allgemein verbreitet ist und habe es vorrangig deshalb erwähnt.
    Ein "Mailrechnung" unterscheidet sich also wesentlich von den sogenannten "Online-Rechnungen".
    Aber auch bei Online-Rechnungen kann man sich die Rechnungen jeweils herunterladen .. was wieder nur als PDF erfolgt (Grund siehe oben)


    --------------------------------

    Grundsätzlich ist jedem Dateianhang zu misstrauen, wenn man den Absender nicht kennt.


    Eine weitere Sicherheitsmaßnahme ist, dass man sich Mails nur als Text anzeigen lässt.
    Die "schönen bunten Mails" sind nämlich faktisch sowas wie eine "Internetdatei" (HTML). Da kann man sehr viel drin verstecken.


    Mailanhänge sollten an der automatischen Ausführung per Klick gehindert werden. Da ist eine Sicherheitseinstellung, die jedes Mailprogramm beherrscht.


    Mailanhänge sollten immer mit dem kompletten Dateinamen angezeigt werden (Einstellung des Mailprogramms)


    ------------------------------


    @ broken hat diese Mail wirklich ganz zu Recht als Warnung gepostet.
    Sie kann extrem gefährlich sein, weil sie eine in Windows ausführbare Datei enthält (EXE).


    Gefährlich für alle Betriebssystem sind aber Dateien die mit "Archivendungen" aufhören (z.B. zip, tar, gz)
    Diese werden durch alle Betriebssysteme geöffnet und in ihnen kann sich auch Maleware befinden, die gleicherart alle Betriebssysteme befallen kann.


    In solchen Fällen deshalb zuerst die Datei ungeöffnet abspeichern und dann zuerst ein Anti-Malware-Tool zur Überprüfung benutzen.. WENN.. du dir wirklich sicher bist, dass der Absender dir ganz zu Recht etwas zu senden hat.


    ------------------------------


    Natürlich habe ich wieder einmal etwas recherchiert, was den Absender betrifft.
    bigstring.com gehört der "BigString Corporation" . Das Unternehmen betreibt vorrangig einen Maildienst.


    Das Perfide ist, dass der Absender die Mails zurückrufen,selbst zerstören , nachträglich löschen und zusätzlich noch verhindern kann, dass die Mails ausgedruckt werden können.

    Zitat

    that allows users to easily send, recall, erase,
    self-destruct and secure email transmissions, as well as provide additional
    privacy and security through non-printable emails


    Es besteht also die Möglichkeit, alle Spuren auf diese Mail im Nachhinein zu verwischen. Das ideale Instrument zum Senden von Malware aller Art.


    Zunächst einmal sollte man seine Maiaccounts so einstellen, dass sie keine Mails mit dieser Absender-Domain akzeptieren.
    Im Beispielfall hatte der Mailhoster die Mail nicht als Spam oder gefährlich eingestuft. Das hätte ganz böse ins Auge gehen können.


    @ broken haben faktisch 3 Fakten beschützt
    1 ) Sein Mailprogramm war so eingestellt, dass es diese Mail gleich richtig einsortierte :thumbup:
    2) Er war aufmerksam und hat auf die Dateiendung des Anhangs geachtet :thumbsup:
    3 ) Sein Betriebssystem hätte genau diese Datei nicht öffnen können, wenn er doch einen Fehler gemacht hätte.

    Selbstverständlich habe auch ich mal n Stück weiter recherchiert als die Mail und der Mail-Quellcode preisgeben.


    Ich habe mal nach der Bpay AG gesucht ...


    Was fällt euch auf?
    https://www.google.de/#q=bpay+ag


    Die Geschichte ist also schon einschlägig bekannt.


    Aber Leute - man kann nicht oft genug warnen.


    Allgemein gilt :
    Ganz vorsichtig mit Mailanhängen, deren Dateiendungen anders laten als PDF, TXT oder JPG.
    Ja - auch MP3 ist mittlerweile nicht mehr so ungefährlich, wie es zu sein scheint.


    Am Besten ist - alles, was den Virenfilter beim Mailhoster schadfrei passieren kann, nochmal auf dem lokalen Rechner durch einen ( AKTUALISIERTEN ) Virenscanner jagen. Am Besten ganz kurzfristig vor der Überprüfung nochmal selber den Virenscanner aktualisieren.
    Den Mail-Anhang zusätzlich bitte auch nochmal durch aktuelle Online-Virenscanner jagen. Auch wenn man nur sonst so knappen Traffic hat - Sicherheit ist es IMMER wert.



    NICHTS unhinterfragt öffnen. ( Es sei denn, ihr habt wen drum gebeten, euch mal dies oder jenes zu schicken oder ihr kennt den Absender und wisst genau, dass da was kommt. Und selbst dann höchste Vorsicht. Im Zweifelsfall lieber einmal zu viel fragen "Sag mal, hast du mir gerade die und die Datei geschickt?" ( Und zwar telefonisch, persönlich, wenn vom bekannten Absender eine weitere Mail-Adresse bekannst ist, über genau DIE weitere Mail-Adresse oder wie auch immer - NICHT über exakt den gleichen Kommunikationskanal ), als einmal zu oft in falscher Sicherheit gewogen. Auch der Freund kann auf einen Virus reingefallen sein, der sich natürlich weiter verbreiten möchte . Durch die Rückfrage habt IHR euch vergewissert, dass alles seine Richtigkeit hat, und habt eventuell auch Euren Freunden einen guten Dienst geleistet, indem ihr sie darauf aufmerksam gemacht habt, dass eventuell ihr Rechner kompromittiert ist. Klare Win-Win - Situation. Auch das macht Freundschaft aus.


    HTML-Dateien (Mögliche Endungen: html, htm, shtml) auf dem lokalen Rechner sind per Default mit einem Text-Editor zu öffnen. Nicht mit dem Browser!
    Hä, warum das denn? HTML ist doch nur formatierter Text??


    Ist im Grunde richtig, HTML-Dateien können aber noch viel mehr versteckt an Funktionalitäten mitbringen. Auch JavaScript wird vom Browser ausgeführt ( und lässt sich mit dem <script>...</script> - Tag in der HTML-Datei einbetten. Und JavaScript erlaubt auch Angriffsszenarien ).


    Hä, aber wenn ich die HTML-Dateien selbst erstellt habe, ... ?


    Auch richtig. Wenn du eine HTML-Datei selbst erstellt hast, weisst du, was sich tun wird, wenn ein Browser drauf zugreift. Das weisst du aber nicht in dem Fall, wenn du HTML-Dateien als Mail-Anhang zugesendet bekommst. Wenn du diese doppelt anklickst und dein Betriebssystem ist so eingestellt, dass sich direkt der Browser auftut, hast du eine Sicherheitslücke. Default-Zugriff mit einem Texteditor deiner Wahl, wenn du sie mit dem Browser öffnen möchtest Browser starten und die Dateiadresse oben eingeben ( oder mit dem Menüpunkt Öffnen Mit ... des Kontextmenüs ). NICHT andersherum.



    Nicht nur die auf Eurer IT-Anlage implementierte Firewall oder Virenscanner nutzen - auch brain.exe
    Wiegt euch nicht in falscher Sicherheit.


    Und wenn ihr es doch tut, sagt hinterher nicht, ich hätte euch nicht gewarnt.


    EDIT 1 (Weiterer Sicherheitstipp:


    Jedes E-Mail - Programm implementiert ein Adressbuch. Das ist im Grunde nichts weiter als eine Datenbank mit den E-Mail - Adressen eurer Kontakte.
    Im Grunde ist das eine schöne Sache, hat man doch immer alle Adressen, Mail-Adressen parat und die Möglichkeit, weitere Details zu euren Mail-Kontakten einzupflegen.
    (Geburtsdatum, Foto, Dienstadresse, Telefonnummern, ...)


    FINGER WEG!!!!! KOMPLETT!!!!!


    Aus folgendem Grund:


    Es gibt Malware, die verbreitet sich über das Adressbuch Eures Mailprogramms. Wenn ihr nicht wollt, dass ihr bei euren Freunden, Arbeitskollegen & Co als Virenschleuder in Verruf kommt und dadurch niemand mehr etwas mit euch zu tun haben möchte, lasst ihr die Finger davon. Malware, die sich über das Adressbuch verbreitet, ist nicht nur IT-Malware, sie kann auch eure sozialen Kontakte zerstören und euch in Schwierigkeiten bringen, neue Kontakte zu knüpfen. Irgendwie kennt jeder jeden über mehrere Ecken.


    Schreibt euch Mail-Adressen lieber entweder in eine separate Adressenverwaltung, auf die das Mailprogramm keinen Zugriff hat (Beispiel: Passwortgeschützte LibreOffice Calc-Tabelle (oder eben eine Tabelle eines nicht weiter namentlich erwähnten proprietären Mitbewerbers in Sachen Tabellenkalkulation) , oder handschriftlich in ein "schlaues Büchlein"

    "Ich weiß nicht, wer mich in die Welt gesetzt hat, und auch nicht, was mein Körper, meine Seele, meine Sinne und jener Teil meines Ichs sind, der denkt. Ich sehe überall nur Unendlichkeiten, die mich wie ein Atom und wie einen Schatten einschließen." (Blaise Pascal)

    10 Mal editiert, zuletzt von BrokenSoul1979 ()

    Danke für die Zusatzrecherche.
    Nicht unwichtig sind die Infos aus diesem Link --> http://www.polizei-praevention…chnung-als-exe-datei.html


    1) Die angebliche Firma nannte sich bisher Apay AG und Bpay AG. Die Polizei rechnet damit dass spätere "Firmen" mit C- , D-, ...pay bezeichnet werden = Eigentlich wird nur das "ABC durchgespult" wird , um einen neuen Firmennamen zu erhalten.


    2) Die Absender benutzen Namen, die noch willkürlich zusammen gestellt werden. Man rechnet jedoch damit dass in Zukunft gestohlene Identitäten benutzt werden = Irgendwann wirst du dir vielleicht selbst diese Mail senden.. und dich wundern, wann du mal wieder am "Computer-Schlafwandeln" gewesen bis :loool:


    Der Absendername wird also immer unzuverlässiger werden, um eine Betrügermail erkennen zu können.



    Nachtrag:
    Die Verwendung einer zusätzlichen Datenbank zur Adressverwaltung birgt ein ähnliches Risiko wie die Adressverwaltung des Mailprogramms. Ist erst einmal Malware im System kann sie auch solche anderen Datenbanken nutzen.
    Das bedeutet, dass auch diese zusätzliche Datenbank nicht genügend Sicherheit gibt. Ausnahme: Die Daten würden in der Datenbank verschlüsselt vorliegen und auch die Datenbank müsste erst zunächst durch ein Passwort geöffnet werden.
    Dieser Aufwand ist jedoch in der Regel so hoch und umständlich, dass man wohl darauf verzichten wird.



    WENN Adressverwaltungssystem, dann gleich eins, das komplett auf einem Stick läuft. Das wäre dann mindestens eine Verbesserung im Vergleich zur internen Verwaltung
    So lange der Stick nicht eingesteckt ist, hat auch Malware keinen Zugriff darauf.


    Eine etwas modernere Version das Buches ist eine einfache TXT-Datei, die man auf einem USB-Stick hat.


    EDIT by BrokenSoul1979: Link anklickbar "aktiviert"
    Bearbeitung durch Ratgeber: Nachtrag

    Diese Mail habe ich gestern oder vorgestern übrigens auch bekommen. Und PayPal-Phishingmails bekomme ich auch noch andauernd.