Die Täuschungsmanöver mit falschen Bestellungen gehen weiter. Bereits in den letzten Wochen und Monaten berichtete das Eleven Research-Team von E-Mails, die angebliche Bestellungen enthielten. Der Empfänger sollte dazu verleitet werden, die angehängte Datei zu öffnen und so einen Trojaner oder andere Schadsoftware installieren. Neu war in diesen Fällen, dass die E-Mails in deutscher Sprache verfasst waren und auf deutsche Online-Shops Bezug nahmen. In einer aktuellen Welle beobachtete das Eleven Research-Team E-Mails die angeblich von der Deutschen Post stammen sollten. „Deutsche Post eFiliale – Auftragsübersicht/ Rechnung Nachsendeservice“ heißt es in den Betreffzeilen der E-Mails.
“Deutsche Post eFiliale” Falsche Auftragsbestätigung transportiert Trojaner
Der Empfänger erfährt, dass seine Bestellung fertig sei und er per PayPal Express bezahlen solle. „Freundlich grüßt: Deutsche Post eFiliale – Ihre Postfiliale im Internet.“
Der Anhang ist mit Auftragsdaten_NACHSENDESERVICE_042013.zip benannt. Wer würde nun nicht nachsehen wollen, ob da eventuell doch ein fehlerhafter Auftrag vorliegt, welcher am Ende vielleicht noch Geld kostet?
Recycling auch bei den Spammern
Erst auf den zweiten Blick fällt auf, dass die Antwort an eine E-Mail-Adresse von Amazon Marketplace gehen soll. In weiteren untersuchten Samples finden sich Antwortadressen wie: Kunden@otto.de oder auch service@service.conleys.de also in Deutschland bekannte Markennamen. Auch bei der Benennung des Anhangs musste es wohl schnell gehen. Wird die zip-Datei entpackt, so findet sich eine AGB_Webshop_04.2013.EXE also eine unter Windows ausführbare Datei, die anscheinend schon für Betrügereien im Namen eines Webshops verwendet wurde. Ein unbedachter Doppelklick auf diese Datei führt zur Installation der Schadsoftware, in diesem Falle eines Trojaners. Weitere Informationen dazu finden sich unter virustotal.com
Warum verwenden die Spammer die E-Mail-Adressen und Anhänge mehrfach? Wahrscheinlich sind es auch hier ökonomische Gründe, oder vereinfacht gesagt Faulheit. Die wenigsten Empfänger werden zum Beispiel die abweichende Rücksendeadresse (Antwort an) bemerken, da sie von den meisten E-Mail-Clients nicht angezeigt wird. Auch der Anhang, bei dem aus „Auftragsdaten“ „AGBs“ werden wird den meisten Nutzern nicht auffallen, da (im schlechtesten Fall) das Entpaxken der zip-Datei und das Ausführen des exe-Files in einem Schritt erledigt werden.
Was tun bei verdächtigen E-Mails?
Was können Sie tun, wenn Sie eine verdächtige E-Mail in Ihrem E-Mail-Eingang finden? Prüfen Sie, ob überhaupt ein Grund für eine Beauftragung vorliegt. Im aktuellen Fall der Nachsendung: Umzug, Urlaub etc. Können Sie diese Fragen mit nein beantworten, so ist die Sache bereits erledigt und die E-Mail kann in den Papierkorb. Sind sie überhaupt Kunde des eFiliale-Service der Deutschen Post?
Es ist möglich, das Sie angebliche E-Mails/ Aufträge/ Rechnungen von jemandem erhalten, bei dem Sie wirklich Kunde sind. Gehen Sie in diesem Falle den Umweg über die Website des Anbieters. Dort sollten Sie nach dem Login alle ihre Rechnungen sehen können. Geben Sie in diesem Fall die URL des Anbieters per Hand in das Adressfeld des Browsers ein, folgen Sie keinesfalls Links, die im Text der E-Mail stehen.