Nachdem vor einigen Tagen gefälschte Mails entdeckt wurden, die eine Bahnbuchungsbestätigung simulierten, um einen Virus auf die Festplatten der Nutzer zu schleusen, wird diese Masche nun mithilfe von falschen Telekom Rechnungen erweitert und fortgeführt. Es ist absolute Vorsicht geboten beim Öffnen von unbekannten Mail-Anhängen!
Die gefälschte Mail mit der angeblichen Bahnbuchungsbestätigung hatte schon dieses Muster, dessen sich nun auch die falsche Telekom Rechnung bedient. Das Layout der E-Mail, die den Namen „RechnungOnline Monat April 2013“ trägt, ist der einer Originalnachricht der Telekom zum Verwechseln ähnlich und auch der Name der E-Mail wird ebenfalls von der Telekom in diesem Stile gebraucht. Telekom Kunden könnten diese Mail also durchaus für echt halten, wenn sie eine Rechnung erwarten.
Die Betrüger haben allerdings einen kleinen Fehler beim Entwerfen dieser E-Mail gemacht, der den aufmerksamen Nutzer direkt stutzig machen sollte. In den Original-Mails der deutschen Telekom wird der Kunde immer persönlich und mit dem Namen angesprochen. Da es sich bei den gefälschten Nachrichten aber um Ketten-Mails handelt, sind diese nicht an den Nutzer persönlich gerichtet. Eine solche Rechnungs-Mail kann niemals von der Telekom stammen. Ansonsten ist es eher schwierig, die Mail als Fälschung zu identifizieren. Waren solche Betrugsversuche vor einiger Zeit noch in grammatikalisch und rechtschreibtechnisch unterirdischem Deutsch verfasst, hat man in diesem, genau wie im Fall der gefälschten Bahnbuchungsbestätigung, die Originale der deutschen Unternehmen genau studiert und kopiert. Ein weiterer Fehler, der einem auffallen könnte, befindet sich in der Adresse des Absenders. Dieser lautet „rechnungenonline.@telekom.de“. Es befindet sich also ein Punkt zwischen dem Namen und dem „@“. Das ist ebenfalls ein erkennbarer Unterschied zum Original der Telekom. Experten weisen allerdings darauf hin, dass diese Erkennungsmerkmale nicht einhundertprozentig sicher sind. Mit gestohlenen Kundendaten ließen sich beispielsweise die persönlichen Anreden in die Mails einbauen und auch der Punkt in der Absenderadresse könnte in Zukunft korrigiert werden.
Im Anhang dieser E-Mail befindet sich ein Zip-Archiv, dass eine Datei mit einer „.pdf.exe-Endung“ enthält. Ein PDF-Dokument hat allerdings niemals eine „exe-Endung“. Wenn auffällt, dass es sich bei der Datei um eine Anwendung handelt, nicht um ein Dokument, ist die Datei umgehend zu löschen. Da Microsoft aber unter Umständen die Endung eines bekannten Dateityps ausblendet, ist auch dies nicht auf dem ersten Blick sichtbar. Eventuell hilft an dieser Stelle der Mouseover-Effekt von Windows weiter. Wenn man mit dem Cursor kurz über der Datei verweilt, wird in einem kleinen Fenster am Cursor selbst der Dateityp angezeigt.
Untersuchungen haben ergeben, dass der Virus sich als angeblicher Java-Updater in das System einnistet und bei jedem Systemstart mitgeladen wird. Dahinter kann sich ein Bot verbergen, der durchaus in der Lage sein kann, Passwörter, beispielsweise beim Online-Banking auszuspähen.