Malware-Spam ahmt Telekom-Rechnung täuschend echt nach

Kriminelle versuchen derzeit mit E-Mails, die einer echten Online-Rechnung der Deutschen Telekom stark ähneln, Nutzer hinters Licht zu führen. Mit den Spam-Nachrichten wird allerdings lediglich Malware verteilt, so dass insbesondere Telekom-Kunden genau ... mehr... Internet, Spam, Betrug, Phishing, Abzocke Bildquelle: betacontinua / Flickr Internet, Spam, Betrug, Phishing, Abzocke Internet, Spam, Betrug, Phishing, Abzocke betacontinua / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Nur das im Anhang bei der Telekom immer eine PDF ist, kein Zip oder sonstwas, die Mailadresse stimmt und man mit richtigem Namen angesprochen wird. Gerade an letzterem scheitert es ja fast immer. Es ist eine persönliche Mail mit einem Inhalt nur für einen selbst (Rechnung) also wird man von seriösen Firmen immer mit Namen angesprochen. Da fällt bei mir immer zuerst der Blick drauf. Und wenn ich mir unsicher bin, logge ich mich auf der offiziellen Seite ein und schau nach bevor ich irgendwas in so einer Mail anklicke was mir nicht ganz geheuer ist.
 
@CrazyWolf: Meine Rechnung kommt seit 10 Jahre als zip, die Nummer des Buchungskontos im Betreff und Namen der Rechnung(zip) und die persönliche Anrede gibt es aber glaube nur beim Festnetz.
 
@Dexter31: Bei mir schon immer PDF, jahr_monatrechnung_Buchungskontonummer.pdf
 
@marcol1979: Entweder haben die das mal für Neukunden geändert oder das ist vielleicht sogar wahrscheinlicher man kann es irgendwo einstellen, ist ja bei mir schon gut 10 Jahre her.
@ WilliamWVW
Beim fälschen von Adressen bzw. den Headern sind die z.T. schon weit, hatte auch schon WoW Phishing Mails "von" wirklich existierenden Blizzard Adressen (auch an der Stelle im Header wo sonst immer Hotmail und Co steht). Allerdings wurde ich nicht persönlich angesprochen, die Mail war nur in einer Sprache, lag im falschen Postfach, im Header stand als Mailprogramm Outlook Express und chinesische IP Adressen.
 
@Dexter31: Wenn Dein Spam-Filter Mails mit Absender Blizzard und einer chinesischen IP durchgehen laesst, solltest Du Dir am besten sofort einen zulegen, der zumindest nach DKIM und/oder SPF prueft.
 
@JanKrohn: Web.de halt, mal kommen die durch, mal landen die in den Ordner Unbekannt und mal richtig eingeordnet
 
@JanKrohn: Wenn man eine Fake-Email-Adresse blockiert bzw. in sein Spam-Filter legt, die genau dem selben Namen enthält wie das Original, aber aus einer anderen Quelle kommt, richtet sich der Spam-Filter dann nach der Absender-IP-Adresse und blockt dann diese ? Ich benutze z.B. Outlook.
Falls du das anders machst, würde mich interessieren wie.
 
@Dexter31: Web de und konsorten filtern eben ganz schlecht. Yahoo geht. Gmail und Hotmail fintern fast schon perfekt
 
@wertzuiop123: Also abgesehen sich vom entsprechenden Service zu verlassen, kann man eine gefakte EMail-Adresse nur an ihrem Nachrichteninhalt/-Betreff entlarven, wenn man diese vorher noch nicht manuell als Spam markiert hat und diese evtl. auch nicht vom Service automatisch als Spam erkannt wurde ?
 
@wertzuiop123: So schlimm ist es aber erst seitdem neuen Design, früher gab es auch mal eine echte Black-/Whiteliste, wenn ich jetzt aus versehen mal den falschen Button drücke kann ich es selbst nicht mehr rückgängig machen.
 
@WilliamWVW: Nein, Outlook blockiert nur die Email-Adresse, nicht die IP. DKIM/SPF wird auch vom Anbieter geprueft, nicht vom Client. Funktionsweise fuer Dummies: Email von info@blizzard.com und IP 12.34.56.78 kommt an. Anbieter fragt blizzard.com nach DKIM/SPF-Daten. blizzard.com liefert eine Liste mit IP-Adressen, die legitimiert sind emails zu schicken. Wenn 12.34.56.78 nicht da drauf ist, ist es Spam. Wenn doch, dann kein Spam. Bei konsequenter Nutzung wuerden nur noch Spams durchkommen, die vom eigenen Server verschickt werden.
 
@Dexter31: Ein Kollege von mir hat das Problem, dass er seit längerer Zeit bei PayPal von diversen Quellen mit seinem richtigen Namen und auf seiner entsprechenden E-Mail-Adresse angeschrieben wird. Wobei die E-Mail-Adresse immer identisch ist mit der offiziellen PayPal-Service/Kontakt-Adresse und somit auch kaum ein Unterschied zu den echten E-Mails von PayPal gemacht werden machen können.
Der einzige Fehler der bei diesen Spam-Mails liegt ist, dass PayPal diese Anliegen offiziell nie über E-Mail abwickelt, welche der Kollege bekommt. Würde es aber diesen kleinen Hacken nicht geben, dann könnte man sich gar nicht mehr auf die/den E-Mail-Nachrichten/Service verlassen.
Von daher sollte es vom Service-Anbieter auch eigentlich soweit wie möglich vermieden werden, den sensiblen Informationsaustausch über E-Mail abzuwickeln. Denn so schlecht sind manche Spam-E-Mails nicht mehr gestaltet, wie es mal vor Jahren war.
 
@WilliamWVW: bei PayPal seh ich vor allem das Problem, dass diesen Umstand viele nicht wissen, aber vor allem, dass Paypal es den Nutzern auch schwer macht solche eMails zu melden.
 
@aco: Die E-Mails kann man zwar über ein Kontaktformular melden und das auch unangemeldet, aber du hast auf jeden Fall recht, dass es etwas umständlich ist sich dort hin zu navigieren. Wem es interessiert: man geht auf "Kontakt"->"Schreiben Sie uns"->bei "Wählen Sie Thema aus"->"Sicherheit und Anmeldedaten" -> bei "Unterthema auswählen" -> "Verdächtige Emails".

Ich bin mir aber nicht so sicher ob sie die Fälle, die sie alle bekommen wirklich alle nach verfolgen. Wobei das jetzt nur eine Vermutung meinerseits ist und völlig herbei gezogen ist. Evtl. nehmen die das Thema auch ernst. Zu mindest hoffe ich es.
 
@WilliamWVW: Es reicht die Mail an spoof/at/paypal.com weiterzuleiten. So war es jedenfalls mal. Habe dies seither nie mehr melden müssen seit ich vermehrt bei gmail bin.
 
@wertzuiop123: Super Danke! Einfach weiterleiten ohne Bemerkung ? Auf jedenfall um einiges besser als sich in deren Web-Interface rum zu navigieren :).
 
@WilliamWVW: Probier mal. Weiterleiten, ohne neuen Text und Betreff gleich lassen. Man müsste eine Antwortmail erhalten irgandwann. Danke fürs testen :)
 
@wertzuiop123: Ich kann dir leider kein Bericht erstatten, da die Betroffene Person, aber auch ich selber bisher noch keine Spam/Phishing-Mail bekommen haben, die den PayPayl-Service faken sollen.
Ich habe übrigens nun meine Konsequenzen gezogen und bin zu aller erst auf dem E-Mail Provider posteo.de gewechselt, welchen ich jedem empfehlen kann.
Macht einen sehr sicheren aber auch spam-freien Eindruck. Des Weiteren habe ich auch den E-Mail Client auf dem PC gewechselt und bin von Outlook auf postbox gewechselt. Ist auch sehr empfehlenswert.
 
@WilliamWVW: Danke für den Hinweis, bei der Postbank ist das hingegen viel einfacher, aber da steht's auch in Frage, was sie wirklich tun.
 
@WilliamWVW: Ich nutze seit Jahren Thunderbird sehr zufrieden, aber zum Thema: Hängt der Spameingang nicht hauptsächlich von der Bekanntheit der Adresse als vom Provider ab?
Wer seine Adresse im Internet frei wohin schreibt, bekommt viel eher und mehr Spam als jemand der damit behutsamer umgeht. Oder beziehst du dich auf die Spamfilter der Provider?
 
@aco: Klar ist, dass die Wahrscheinlichkeit höher ist, wenn du überall deine E-Mail Adresse anvertraust, dass du mehr Spam und Phishing Mails bekommst.
Aber auch wenn du bei wenigen und dir persönlich vertrauten Quellen deine EMail lässt, passiert es immer wieder dass die EMail-Adresse trotzdem gelegentlich an Dritte kommt. Von daher habe ich mich eher auf den Spamfilter als auch auf den Phishing Filter über die IP bezogen.
 
@Dexter31: Ich werde mit Nachnamen angesprochen. Rechnung kommt als .pdf und die E-Mail sieht trotzdem anders aus. Statt Telekom Leiter Kundenservice, steht Ihre Rechnung für Monat Jahr. Auch die Formulierung klingt anders. Ich weiß gar nicht wie man auf sowas reinfallen kann... Zumal man wissen sollte, wann die Rechnung kommt. Die meisten die drauf klicken, sind nicht Einmal Kunden bei der Telekom und kriegen es teilweise in Postfächer zugeschickt, wo die selbst wissen müssten, dass da keiner was hinschickt...
 
@Arhey: Wie oben geschrieben kann man im KC bestimmt einstellen ob .pdf oder .zip.
Deine anderen Argumente, es gibt auch immer noch genug Leute die zu diesen Kaffeefahrten gehen und sich da 3€ Müll für 1200€ andrehen lassen.
 
Was mir aktuell viel mehr sorgen macht als diese Telekom/Vodafone Mails, sind die von ALLEN Virenscannern nicht erkannten Macroviren die zur Zeit im dicken Haufen versendet werden.
Nach eigener Analyse wird durch den Aufruf des Makros n download zu einer .png oder .jpg Adresse aufgerufen, die aber nur den (Zeus)Trojaner downloaded und ausführt. Der Benutzer bekommt beim öffnen des Dokumentes nur eine Fehlermeldung das die Ressourcen nicht verfügbar sind.

Das ist in den letzten 2 Wochen echt zur Plage geworden. Die Vodafone und Telekomrechnungen waren schon vor 3 Monaten so täuschend echt wie hier beschrieben.
 
@Recruit: ...naja, "täuschend echt" finde ich die jetzt nicht. Ich hatte mal die tatsächlichen Telekom Rechnungen von Bekannten mit dem Spam verglichen und die sind vom gesamten Design deutlich anders aufgebaut.
Das Problem ist hier nicht unbedingt ein täuschend echtes Aussehen, sondern dass Leute, die nicht einmal Telekom Kunden sind, gar nicht wissen, wie eine richtige Telekom Rechnung aussehen und das Ding trotzdem aufmachen. Völlig dabei ignorierend, dass ja logisch ist, dass das nichts sinnvolles sein kann.
 
@der_ingo: du wirst es kaum glauben... bei uns war eine Mitarbeiterin so weit, dass diese "Rechnung" zur Telekom gesendet wurde, diese dort geöffnet wurde und die Mitarbeiterin von uns nur gesagt bekommen hat, dass die Rechnung nicht zuzuordnen sei. Also selbst den Telekom Mitarbeitern fällt dies nicht auf.... Also, täuschend echt finde ich, beginnt ja wohl dort, wo der Inhaber des Originals die Fälschung nicht auf Anhieb erkennt... Nicht nur, dass der Rechner unser Mitarbeiterin infiziert wurde, die Telekom hat sich das Ding durch so eine Leichtgläubigkeit auch direkt ins Netz geholt. Naja, das was du im letzten Satz beschreibst, ist ja Gang und Gäbe. ~X% bekommt tatsächlich die Mails des Anbieters zugeschickt, viele erkennen SPAM oder schadhafte Mails, Y% öffnen den Inhalt = Ziel des Spammers erreicht.
 
Google-Mail Team:

Die Nachricht "Ihre Telekom Mobilfunk RechnungOnline Monat Juni 2014 (Nr.: 37605037748)" von 41406238282425-kundenservice.rechnungonline@t-online.de (cdesmoulieres@fimatec.fr) enthielt einen Virus oder einen verdächtigen Anhang. Sie wurde daher nicht von Ihrem Konto hab@ich.net abgerufen, sondern auf dem Server belassen.

____

Da lobe ich mir doch Google Mail ;)
 
Ärgerlich ist, dass die Rechtschreibfehler abnehmen und die Mails wirklich ziemlich gut rüberkommen.

Unsere Buchhalterin ist auf die Vodafone-Variante reingefallen, wobei ich mich immer noch frage, warum die Leute sich, bevor sie auf irgendeinen Link klicken, sich nicht die Absenderadresse mal genauer anschauen.

Spätestens da sollte man stutzig werden und sämtliche Alarmglocken losschrillen - denn die hat mit dem angeblichen Absender der Nachricht in der Regel nicht das Geringste gemeint. (oder seit wann hat Vodafone etwas mit einer amerikanischen Kühlmittelfirma aus dem mittleren Westen der USA zu tun...)
 
@Bengurion: Welcher Nicht-Computer-Spezi schaut denn auf die Adresse bei einem Link?
 
@dodnet: Welcher Nicht-Postmitarbeiter schaut den auf einem Brief auf den Absender z.B. SKL, Immobilien-SPAMMER, Caffeefahrt-Anbieter, etc. und öffnet den Sch... /Ironie OFF
 
@beeelion: Da sind aber auch selten Pakete voller Viren in den Briefen drin ;)
 
@dodnet: Aber Gewinnversprechen mit 0900-Nummern !
 
@Bengurion: Im aktuellen Fall ist die Absender Adresse "41406238282425-kundenservice.rechnungonline@t-online.de" welche sehr seriös wirkt, da viele Anbieter kryptische Zahlen vor die eigentliche Adresse packen. Erst bei genauerem Hinsehen erkennt man, dass es sich um eine Alias handelt die auf "cdesmoulieres@fimatec.fr" verweist.
 
@Mehrsau, @dotnet: Alles richtig, trotzdem wird das zu einem echten Problem mittelständischer Firmen.
Sollte es da von Provider-Seite aus keinen ausreichenden Schutz geben (siehe 03), läuft es auf betriebsinterne Anweisungen hinaus, grundsätzlich keine Links in Mails, keinen Anhang mehr zu öffnen.
Na, herzlichen Glückwunsch...
 
@Bengurion: Die Vodafone-Variante (Ihre Festnetz-Rechnung für Juni 2014 #017241303146), die ich am 18.6. erhalten habe, ist aber recht primitiv: Anrede mit "Lieber Telekom-Kunde" und ganz unten ein Arcor-Link zum Impressum
 
Hoffentlich bekomme ich keine Papier-Spam-Rechnung o.O
 
Wenn ich solche Mails sehe muß ich echt lachen. Vielleicht bin ich einfach auch schon zu sehr verwöhnt, aber inzwischen sollte man auch bei Spam-Mails erwarten dürfen daß man korrekt mit seinen persönlichen Daten angesprochen wird. Immerhin schaffen das fast die Hälfte aller Spammer.
 
@Johnny Cache: Immerhin? Leider...
 
@Johnny Cache: Nicht zur Spammer, auch Betrüger, mir wurde schon öfter mal eine Stelle als "Paketverwalter" angeboten. Ich wurde persönlich angesprochen, aber definitiv unseriös, man soll da nämlich Pakete annehmen, umpacken und weiterschicken und das alles aus den eigenen 4 Wänden raus für Minimum 2000€ netto.
 
@Dexter31: zu solchen Vorgängen hab es schon diverse TV-Beiträge. Meistens handelt es sich dann um Helerware, oder Ware die unrechtmäßig bestellt wurde. z.b. Bankdaten werden ergaunert, Daten missbraucht, durch den Missbrauch getätigte Bestellung muss irgendwo hin gesendet werden und da kommt dann diese Anzeige ins Spiel. Gutgläubige melden sich wegen leicht verdientem Geld, laufen anschließend hinter dem Lohn hinterher, über die Ware freut sich dann der Gaunerring.
 
@Recruit: Habe ich auch gesehen, aber allein schon bei der Mail und der Beschreibung was man machen muss sollten doch die Alarmglocken läuten.
 
Die Spams sind bei uns seit 27.05. massenhaft unterwegs und verwenden immer wieder neue Domain-Links und neue Absenderadressen.
Warum wird erst jetzt davon berichtet?
Ebenfalls gibt es derzeit viele Bank-Transaktions-Emails von der Volksbank/Fiducia IT AG.
Es sind aber auch immer wieder Vodafon-Rechnungen dabei.
 
Der Trojaner läuft unter wine NICHT ;-) und Windows wird nach dem NSA Skandal ja wohl keiner mehr einsetzen...oder?
 
Ärgerlich ist, dass grad auf meiner Spamempfänger-Adresse die Dinger nicht ankommen. Jemand eine Idee, wo man eine Mailadresse streuen muss, damit man so etwas möglichst aktuell bekommt?
 
@der_ingo: Am besten eine gmx Adresse einrichten, damit ist man immer auf dem neuesten Stand!
 
@Henning Th: warum sollten speziell da Virenmails ankommen?
 
@der_ingo: Ich musste zwingend meine gmx und web.de Adressen umverfrachten, weil enorm viel Spam reingekommen ist. Das geht in meinem Arbeits- und Verwandtenkreis genau so rum. Web.de wird extrem stark frequentiert was SPAM angeht...
 
@eisdrachen: das kommt aber wohl eher nicht wegen den Adressen, sondern weil diese von dir oder Leuten, denen sie bekannt ist, in Umlauf gebracht wurden. Es reicht ja einer im Bekanntenkreis, der sich die passende Schadsoftware einfängt. Auf meiner alten GMX Adresse kommt zwar ein konstantes Level an Spam, aber insgesamt doch eher wenig und die Adresse wurde im Laufe der Jahre sicher für hunderte Newsletter, Foreneinträge und ganz zu Anfang auch zur allgemeinen Kommunikation mit Freunden etc. genutzt. Sie ist im Prinzip immer noch nutzbar. Wer sich jetzt eine neue Adresse mit genügend langem Localpart anlegt, welcher nicht in Wörterbüchern steht, der wird bei GMX oder web.de auch nicht mehr Spam bekommen als woanders.
 
@der_ingo: schreib die Mailadresse einfach im Klartext in z.B. Gästebuch, -Facebook, -Foren-Beiträgen und dann ist es nur eine Frage der Zeit bis ein Crawler sie erwischt. "alias@maildomain.com" mit "" in der Suchmaschine des vertrauens suchen... siehe da, Sie ist verbreitet, oder eben nicht.

http://de.wikipedia.org/wiki/Webcrawler
 
@Recruit: ich vermute mal, dass wenn ich hier den Namen der virtuellen "Vera R. Schung" mit der schönen Adresse v.schung@wpd.de nenne, da höchstens ein paar Spaßvögel mal so eine Mail hinschicken. Aber schauen wir mal, wie gut besucht die hiesige Seite vond en Spamcrawlern ist.
 
täuschend echt? nur dass der link auf ne russische domain zeigt :D
 
@lazsniper2: Für den ONU ist das echt genug, denn der guckt sich eben weder die Domains an, noch überlegt er eine Millisekunde, ob er überhaupt Kunde dort ist. Diese Leute glauben doch immer noch, dass bei einem falschen Klick Geld von ihrem Konto abgebucht werden könnte, obwohl das niemals irgendwo von denen angegeben wurde. Genau auf diese Klientel zielt das Ganze ja ab, und diese Dumm-Masche funktioniert sogar nach gefühlten 15 Jahren E-Mail (wo man meinen sollte, dass JEDER mittlerweile gewarnt sein sollte), immer noch bestens. Die Dummen und Unwissenden sterben halt nie aus. Das wird wahrscheinlich in 20 Jahren noch so sein.
 
@DON666: Ganz deiner Meinung, sehe jeden Sonntag, wie Silberköppe mit nem Bus abgeholt werden und Unsummen für Dinkelkissen und Rheumadecken ausgeben. Auch heute noch, nach mehr als 30 Jahren Warnungen durch Presse, Fernsehen und Internet. Den Menschen ist halt nicht zu helfen!
 
@DON666: da hast du auch schon wieder recht. aber ulkig ist, dass das ganze mit einer welle an "ihre kreditkarte wurde gesperrt" fake mails kommt. sehr witzig wenn eine visa und amex mail kommt, man aber nur mastercard hat :D
 
Und: Keine Anrede mit Vor- und Zunamen ist nicht auffällig?
 
Gibt es echt noch Telkomkunden?
 
Zugegebenermaßen achtet niemand wirklich darauf, aber die echten Telekom-Mails haben immer die korrekte Buchungskontonummer im Betreff.

Spätestens daran lässt sich eine Fakerechnung bereits aus dem Betreff ohne Öffnen erkennen.

Nur, wer hat die Buchungskontonummer schon im Ernstfall bereit...?
 
Diese Mail hatte ich vor einigen Wochen auch in der Firmen-Email .. gelöscht, fertig ... gleich den Chef gewarnt, die niemals zu öffnen, hoffe er hält sich dran
 
Abseits der ganzen Diskussion zu dem Thema besteht das Problem doch primär aus den Menschen, die solche eMails nicht erkennen können, und Firmen, wie die Telekom welche sowas tatsächlich über eMails abwickeln, anstatt das zentral im Account des Benutzers zu lagern.
Gerade ältere Menschen sind in der Technik seltener bewandert und nicht in der Lage die eMails zu unterscheiden, da muss endlich nachgeholfen werden.
 
Als neue Variante im November 2014 erhaelt man eine Online-Rechnung ueber 282,60€
im scheinbar perfekten Telekom-Outfit mit diesem kuriosen Absender:

"Kundenservice Rechnungonline Telekom" <a.schulz@steuerberater-albrecht.de>

und dem schon bekannten ZIP-Anhang. Klaernder Rueckruf beim echten Telekom-Kunden-Service ist zu empfehlen.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles