Eine neue Serie an gefälschten Mails mit betrügerischer Absicht macht derzeit die Runde. E-Mails, die aussehen, wie die digitalen Buchungsbestätigungen der Deutschen Bahn. Viele gefälschte Mails von angeblichen Absendern wie Paypal oder diversen Banken fallen schon grundsätzlich durch einige offensichtlichen Fehler im Text, in der Formatierung, oder an fehlenden oder falschen Schriftzügen oder Logos auf.
Viele sind auf Englisch, oder in so einem schlechten Deutsch geschrieben, dass einem sofort auffällt, dass nicht die Bank hinter dieser Mail stecken kann. Nicht so im Falle der jetzt aufgetauchten Buchungsbestätigungs-Mails.
Diese E-Mails sind bis auf zwei kleine Fehler in richtiger Form und in gutem Deutsch verfasst. Man vermutet, dass eine Original Mail der Deutschen Bahn als Vorlage gedient habe. Ein Fehler ist, dass die persönliche Anrede fehlt, die bei Buchungen bei der Bahn aber immer vorhanden sein muss. Weiterhin gibt es in der E-Mail noch einen grammatikalischen Fehler, bei dem man stutzig werden könnte. Es ist von „Ihren Fahrkartenkauf (PKL7AY)“ die Rede. Es wird in den Mails eine Auftragsnummer generiert, die in der Mail selbst sowie auch in der Betreffzeile vorhanden ist. Diese Auftragsnummer variiert allerdings von Mail zu Mail und ist daher um einiges realistischer und lässt sich auch über eine Google-Suche beispielsweise nicht sofort als Betrugsmail gekennzeichnet finden. Der Absender lässt ebenfalls keine Rückschlüsse zu die auf einen Virus hindeuten. Alle Mails werden von einer Adresse namens „buchungsbestaetigung@bahn.de“ verschickt.
Der E-Mail ist ein Zip-Archiv angehängt, die eine Datei mit einer „.pdf.exe“-Endung enthält. Das Archiv selbst ist nach dem Prinzip „Ihren Fahrkartenkauf_PKL7AY“ aufgebaut. Es handelt es sich also um eine Anwendung in dem Archiv. Ein sauberes PDF-Dokument hat die Dateiendung „.pdf“. Niemals „.exe“. Um welchen Virus es sich bei dieser Datei handelt, ist hingegen noch nicht bekannt. Für gewöhnlich wird versucht über das Verfahren, gefälschte E-Mails zu versenden, Bots oder BKA-Trojaner in die Systeme der Nutzer einzuschleusen. Laut Virus Total erkennen momentan nur 8 von 46 Anti-Viren-Programmen diese Malware zuverlässig.