Rechnung Januar 2016: Vorsicht vor Malware

Rechnung Januar 2016-040895 - Screenshot

Unter dem wechselnden Betreff „Rechnung Januar 2016-XXXX“ sind derzeit E-Mails im Umlauf, deren Anhang eine Word-Datei sein soll. Nutzer sollten diese Datei nicht öffnen, da es sich dabei um Malware handelt, die den eigenen Computer ausspioniert.

Heute schreibt zum Beispiel ein Philipp Ludwig an eine Adresse, die es gar nicht gibt, aber per Catchall trotzdem angekommen ist:

„Hallo ,

endlich:) Anbei die Rechnung von Januar. Ich hoffe, alles ist gut.

Liebe Grüße

Philipp Ludwig“

Absender gefälscht

Den vermeintlichen Philipp Ludwig gibt es nicht. Denn der Absender der E-Mail ist gefälscht. Möchte man auf die E-Mail antworten, würde man an eine Adresse der eigenen Topleveldomain schreiben, die es nicht gibt. In unserem Fall beispielsweise LudwigPhilipp785 [at] sajonara [punkt] de. Diese gab es nie und bei uns kennt niemand einen Philipp Ludwig. Entsprechend ist das nur ein zusätzliches Indiz dafür, dass es sich um eine gefälschte E-Mail handelt.

E-Mail aus Panama

In jedem Fall geht zumindest der Versand auf eine IP-Adresse 201.224.58.2 aus Panama, Amerika, zurück. Das bedeutet jedoch nicht, dass der Urheber des Malware-Angriffs auch von dort kommt. Viel zu einfach kann man seine IP-Adresse fälschen. Letztlich ist es unmöglich, den Urheber der E-Mail ausfindig zu machen.

Wechselnder Betreff, gleicher Inhalt

Sowohl der Betreff der E-Mails als auch die Datei im Anhang variiert im Dateinamen. Beispielsweise kann der Betreff „Rechnung Januar 2016-040895“ lauten, oder „Rechnung Januar 2016-04957“ usf. Das Schema variiert wahrscheinlich deshalb, um das Auffinden von Informationen zu erschweren. Ein Script wird zufällige Nummernkombinationen für den Namen des Rechnungsdokuments wie den Betreff erzeugen.

Die Dateien im Anhang heißen entsprechend „RECHNUNG-JAN-2015-040895.doc“ oder „RECHNUNG-JAN-2015-04957.doc“ usw. Würde man die DOC-Datei in Microsoft Word öffnen, wäre darin kein Inhalt enthalten. Vielmehr meldet sich die Software mit einer Fehlermeldung – in diesem Moment wurde auf Windows-Systemen mit älteren Word-Versionen bereits eine Sicherheitslücke ausgenutzt. Man sollte dann eine entsprechende Software zum Entfernen von Malware einsetzen.

Mehr über Alexander Trust:

Bekam seinen ersten PC mit sieben Jahren, einen XT mit 4 MHz und Monochrom-Monitor. Registrierte die erste Domain im Jahr 1998, vorher auch in Mailboxen aktiv, bei AOL und Compuserve. Studierte Computer Science (Anwendungsentwicklung) in Wuppertal und Informatik und Soziologie, Linguistik und Literatur in Aachen. Veröffentlichte bereits einen Roman.

Metadaten
  • Geschrieben am: 10. Februar 2016
  • Zuletzt aktualisiert am: 10. Februar 2016
  • Wörter: 298
  • Zeichen: 2225
  • Lesezeit: 1 Minuten 17 Sekunden