Ständig Fake - Telefonrechnungen mit pdf-Anhang im Spam-Filter

[Heiko-L]

Hi!
Das nervt . Erst kam von (angeblich) Vodafone eine Rechnung per mail über 370.-EUR, dann eine von Telekom über 340.-EUR, heute fand ich im Spam-Filter eine Rechnung meines "Festnetzanbieters". Öffnet man die PDF, so hat man Freude mit einem Trojaner. Können die sich nicht mal was originelleres einfallen lassen?
Langsam wird der Versuch mit der Telefonrechnung echt langweilig.
Geöffnet habe ich natürlich keine pdf.

[trockenangler]

Zitat:

Zitat von Heiko-L

Öffnet man die PDF, so hat man Freude mit einem Trojaner. Können die sich nicht mal was originelleres einfallen lassen?

Sei froh das du die Masche kennst...

[Superpapa]

Das wird leiderr weiter zunehmen.
Ist wie der Wettlauf zwischen Hase und Igel.
Wenn früher auf 100 Emails einer reintappt, müssen eben heute 10.000 Mails verschickt werden für einen Treffer. Zukünftig eben noch mehr.

Zum einen werden die Spamfilter besser, die wenigsten klicken alles an, aber jeden Tag steht ein Dummer auf....
In meinem Bekanntenkreis ist auch jemand auf Paypal-Pishing reingefallen...

Solange alle Angaben einer Email problemlos, meist sogar mit PC-Bordmitteln, fälschbar sind und die schwer fälschbare Absender-IP einem Zombie-Rechner gehört, gibt es keine sichere Lösung.
Die allerwenigsten User sind überhaupt in der Lage, den Quelltext zu sehen, geschweige denn auszuwerten.

Solange weitverbreitete Betriebssysteme, sogar die Win-10-Preview(!), die Dateiendung standardmäßig ausblenden und E-Mails standardmäßig im html-Modus angezeigt werden, ändert sich nicht viel.
Gegen Pishing helfen alternative Betriebssysteme sowieso nix, bei Viren, Trojanern aufgrund sinnvollerer Rechteverwaltung schon eher.
Der normale PC-Nutzer hat aber schon wegen eines fehlenden Start-Buttons Probleme, da gehen alternative Betriebssysteme nie! Da ist das bequeme Beharrungsvermögen mit z.b. XP wichtiger und ich darf mich mit Spam rumärgern, weil z.B. meine E-mail-Addy auf einem der versifften Rechner ist.
Gruß
Michael

[Wolli45]

Ich hatte letztens wieder ne Vollblockade vom "Bundeskriminalamt" bei dem man sich mit EUR 100,- den PC wieder freikaufen soll.

Hat mich dann 2 Stunden Informatiker aus dem Sytemhaus gekostet, bis das wieder weg war.

Dass die Absender nicht zu ermitteln sind ist nicht zu glauben!

[billi]

Zitat:

Zitat von Wolli45

Ich hatte letztens wieder ne Vollblockade vom "Bundeskriminalamt" bei dem man sich mit EUR 100,- den PC wieder freikaufen soll.

Hat mich dann 2 Stunden Informatiker aus dem Sytemhaus gekostet, bis das wieder weg war.

Dass die Absender nicht zu ermitteln sind ist nicht zu glauben!

Dagegen hilft, auch im nachhinein, zuverlässig die Software Malewarebytes.
hat bei mir das problem zuverlässig gelöst.
Malewarebytes an einem anderen PC runterladen und auf einen Stick speichern
Infizierten PC im abgesicherten Modus strarten, Malwarebytes vom Stick instalieren und aufen lassen. Problem in 15 min erledigt.

[Wolli45]

Zitat:

Zitat von billi

Dagegen hilft, auch im nachhinein, zuverlässig die Software Malewarebytes.
hat bei mir das problem zuverlässig gelöst.
Malewarebytes an einem anderen PC runterladen und auf einen Stick speichern
Infizierten PC im abgesicherten Modus strarten, Malwarebytes vom Stick instalieren und aufen lassen. Problem in 15 min erledigt.

Genau do wurde es bei mir gemacht, allerdings nicht durch mich sondern den Admin.

Wir hattn das gleiche vor knapp 2 Jahren schon mal. Muss wohl wieder was neues sein, was da im Umlauf ist.

[brmpfl]

Zitat:

Zitat von billi

Dagegen hilft, auch im nachhinein, zuverlässig die Software Malewarebytes.
hat bei mir das problem zuverlässig gelöst.
Malewarebytes an einem anderen PC runterladen und auf einen Stick speichern
Infizierten PC im abgesicherten Modus strarten, Malwarebytes vom Stick instalieren und aufen lassen. Problem in 15 min erledigt.

Dagegen hilft:
Nicht mit Admin-Rechten im I-Net unterwegs sein und im Falle eines Falles schlicht und ergreifend den Benutzer zu löschen und neu anzulegen.
Fertig nach 5min


Hajo

[Superpapa]

Ne, Hajo,
es sind nicht nur die Benutzerordner infiziert! Das gesamte System ist kompromittiert!
Da hilft im Prinzip nur ein Neuaufsetzen mit vorherigem Löschen aller Partitionen.
Wenn man eine aktuelle Datensicherung hat, ist das die schnellste und sicherste Therapie.
Ungesicherte Daten sind eh unwichtig.
Bei einer Reparatur besteht immer die Gefahr, dass irgendwo noch Ungeziefer versteckt ist, sei es in einer Systemdatei, Sicherungsdatei, Anwenderdatei oder sonstwo und dieses irgendwann durch welche Ereignisse wie auch immer wieder aufwachen kann.
Bei den verbreitetsten Betriebssystemen besteht immer die Gefahr, sich etwas einzufangen - dass muss nicht zwingend per EMail-Anhang passieren. Ungepatchte Systeme, wie z.B. XP sind durchaus beim reinen Internetsurfen infizierbar. Da reicht ein Werbebannerchen, auch ohne Anklicken.
Vorbeugend kann man nur mit eingeschränkten Benutzerrechten und aktuellem System unterwegs sein und nicht alles anklicken.
Schlangenölprodukte(=Virensucher) wiegen einen nur in falscher Sicherheit, da aktuellstes Ungeziefer selten erkannt wird. Die gesamte Heuristikerkennung ist da derzeit keine wirksame Abwehrmassnahme, die Virensignaturen können generell nur nach Auftreten dieses Virusses in die Datenbank früher oder später aufgenommen werden...
Gruß
Michael

[alexhb]

Das klingt alles nach Windows Problemen, dagegen hilft das richtige Betriebssystem ..... (Öl ins Feuer... )

[kamue]

moin

ich habe mit Linox,keine Probleme

karsten

[Mork]

Seit wann verstecken sich in pdfs Trojaner?

[billi]

Zitat:

Zitat von Mork

Seit wann verstecken sich in pdfs Trojaner?

in jeder Datei kann man Trojaner verstecken.

[Kielholer]

Zitat:

Zitat von Wolli45

Ich hatte letztens wieder ne Vollblockade vom "Bundeskriminalamt" bei dem man sich mit EUR 100,- den PC wieder freikaufen soll.

Hat mich dann 2 Stunden Informatiker aus dem Sytemhaus gekostet, bis das wieder weg war.

Dass die Absender nicht zu ermitteln sind ist nicht zu glauben!

Ich erledige das mit der Systemwiederherstellung:
Router abschalten, PC starten, System zurücksetzen, Neustart mit Net.

[billi]

http://www.golem.de/news/miniduke-tr...302-97884.html


www.gidf.de

[Mork]

Den Adobe Reader zu nutzen ist ja auch etwa so pfiffig wie den Internet Explorer aufzurufen oder die Firewall abzuschalten.

Foxit heißt die Alternative - schneller, kleiner, hübscher, nicht ein Viertel so nervig und vor allem: Nicht von Adobe.

[billi]

Zitat:

Zitat von Mork

Den Adobe Reader zu nutzen ist ja auch etwa so pfiffig wie den Internet Explorer aufzurufen oder die Firewall abzuschalten.

Foxit heißt die Alternative - schneller, kleiner, hübscher, nicht ein Viertel so nervig und vor allem: Nicht von Adobe.

Adobe ist allerdings wie Windows der verbreiteste Reader. Foxit kennen noch nicht viele User

[Der Frosch]

Zitat:

Zitat von alexhb

Das klingt alles nach Windows Problemen, dagegen hilft das richtige Betriebssystem ..... (Öl ins Feuer... )

Bitte was hat das mit dem Betriebssystem zu tun wenn 1000de Anwender auf eine gefakte Rechnungs pdf klicken obwohl sie dort
kein Kunde sind ?

Das ist betriebssystemunabhängige reine ...

[jugofahrer]

Das das ganze Spam-Problem zunimmt, sieht man hier bei einer von mir vor Jahren angelegten eMail, die ich aber kaum nutze, und das ist nur ein Auszug der letzten Tage...

[brmpfl]

Zitat:

Zitat von Superpapa

Ne, Hajo,
es sind nicht nur die Benutzerordner infiziert! Das gesamte System ist kompromittiert!

Nö,

beim klassischen BKA-Trojaner ist nur der Benutzerordenr infiziert.
VORAUSSETZUNG: Der Benutzer war nicht mit Admin-Rechten unterwegs.
Andernfalls wäre eine Rechteerweiterung nötig, um das gesamte System zu kompromittieren.

Ich war diesbezüglich bereits als "Rettungsassistent" im Einsatz und habe das verifiziert:
1.) Platte ausbauen, an anderen Rechner stöpseln, von dort auf Viren scannen: BKA-trojaner gefunden
2.) Platte abstöpseln, wieder in den Rechner einbauen, booten, mit Admin anmelden, befallenen Account löschen, Account neu anlegen, Rechner runterfahren.
3.) Wiederhole Schritte unter 1: Alles OK


Hajo

P.S.: Nachdem ein Betreiber eines infizierten Rechners sich jahrelang dagegen gewehrt hatte, mit normalen Benutzerrechten arbeiten zu müssen (es fielen so Worte wie: entmündigen und so ein Scheixx), war er mir im Nachgang ausgesprochen dankbar, dass ich mich kurz zuvor durchgesetzt hatte

[Superpapa]

Zitat:

Zitat von Der Frosch

Bitte was hat das mit dem Betriebssystem zu tun wenn 1000de Anwender auf eine gefakte Rechnungs pdf klicken obwohl sie dort
kein Kunde sind ?

Das ist betriebssystemunabhängige reine ...

Bei einem sicheren Betriebssystem kannste klicken, was Du willst, ohne root-Passwort geht nix am System zu ändern.
Sichere Betriebssysteme zeigen Dir auch standardmäßig die Dateiendung. Es war womöglich eine zip-, exe- oder msi-Datei, die hieß vermutlich Rechnung.pdf.zip oder Rechnung.pdf.exe oder Rechnung.pdf.msi
Kann man nix gegen machen, außer brain.exe einschalten sowie richtiges BS oder sinnvolle Datei-Ansichtseinstellungen.
Gruß
Michael

[Der Frosch]

Danke für die ausführliche Erklärung, Michael.

Das mit " brain.exe" gefällt mir besonders- denn genau darauf wollte ich hinaus !

Es geht mir nicht darum was passiert wenn der Anwender auf diese *.pdf klickt sondern was sonst noch alles für ein betriebswirtschaftlicher ( und nervlicher..) Schaden entsteht.
Nehmen wir mal einen EDV- Systemverwalter eines Unternehmens mit -sagen wir 1200 Anwendern.
Das könnte dann ungefähr so aussehen:

Hotline: Wie kann ich Ihnen helfen?
Anwender: Höööören se mal, ich hab da ne ganz komische mail bekommen.

Hotline: Dann löschen Sie sie
Anwender: Nee nee die ist von der Telekom! Eine Rechnung!

Hotline: Haben Sie denn über Ihre dienstliche mail Adresse etwas bei der Telekom bestellt oder diese mail Adresse zwecks Zusendung einer Rechnung angegeben?
Anwender: Neeeee ich bin doch bei Vodafone !!!

Hotline:

Anwender: Das ist ganz klar eine Spam Mail !!!
Hotline: Ja.

Anwender: Ich habe Ihnen und Ihren Kollegen die mail mal weitergeleitet, schauen Sie bitte mal rein.
Hotline:

Anwender: Hallo ??? Sind Sie noch da?

Hotline: Sie wissen das es eine Spam ist und verbreiten die dann noch per mail weiter an die Kollegen ???
Anwender: Nee nicht an alle, ich hab vorher jeden angerufen ob er bei der Telecom ist oder wo anders.

Hotline:
Anwender: Können Sie denn nicht für mich mal bei der Telekom anrufen? Sie von der EDV können das doch fachlich besser erklären.

Hotline:

Hotline :
Hotline:
...beliebig fortsetzbar.....

[diri]

Kleiner Auszug aus dem Quelltext, momentan bald jeden Tag hab ich irgend jemanden ne Zahlung gesendet ,
der Witz der Sache, die Absender Emailadresse gibts meistens wirklich,

gruss dieter


Return-Path <jochen@neugebauer-heizung.de>
Received: from mout-xforward.kundenserver.de ([82.165.159.5]) by
mx.kundenserver.de (mxeue001) with ESMTPS (Nemesis) id
0MM77U-1XstJq208y-007p7Y for XXXXXX@XXXXXXXXX.de; Fri, 21 Nov 2014
13:32:54 +0100
Received: from localhost (static-dsl-138.87-197-98.telecom.sk [87.197.98.138])
by mrelayeu.kundenserver.de (node=mreue007) with ESMTP (Nemesis)
id 0LwSjL-1Y12XB08zP-018G25; Fri, 21 Nov 2014 13:32:54 +0100
Subject: Zahlungseingang - 701264823
From: "sparkasse@mail-de.sparkasse.de"<jochen@neugebauer-heizung.de>
To:XXXXXX@XXXXXXXXXX.de
X-Mailer: MIME-tools 5.502 (Entity 5.502)
X-Copyright: Print Manager v1.10.157.18025
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-Id: <0LwSjL-1Y12XB08zP-018G25@mrelayeu.kundenserver.de>
Date: Fri, 21 Nov 2014 13:32:54 +0100
X-Provags-ID: V02:K0:QdTq9at5T+NPc4Hg2usLMwXuwylk7FSlHZgge2vEwpS
mraOkpRJ3C/Ww==
X-UI-Out-Filterresults: junk:10;
Envelope-To: XXXX@XXXXXXXXXX.de
X-UI-Filterresults: notjunk:1;V01:K0:lxKuhhjrLP4=:HZLHuMSeFzEcO4KOJqVT XB9pek

p style="font-size: 14px;">Der Auftrag wurde entgegengenommen.
<BR>Tag - 21. November 2014; Zeit - 12:32:10 Uhr
<BR>
<BR>
Sie haben eine Zahlung über <b>178,55 EUR</b>
an <b>Marieta Karadimova</b> gesendet.

<BR> Wir haben den Sparkasse benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
<BR><a href="http://bccsigorta.com/1ySL6C0Y">2014_11_Sparkasse_details_91317055.zip</a>.
</p>
</body>
</html>

[Mar-Thar]

Heute hatte ich das dritte Mal eine fast echt aussehende Rechnung von 1&1 De-Mail über 350,- im Posteingang. Irgendwie schon recht lästig, das Ganze...

mfg
Martin

[Dicke Lippe]

Ja, mit dem ~ Betrag gehen sie alle hausieren, das birgt im Zeitalter der
Flattarife die beste Wirksamkeit um auf ein "Was-in-aller-Welt-Geklicke" zu
hoffen, wäre der Betrag höher, würden die meisten wohl "Lunte riechen".

Aber alleine schon die Tatsache, dass im Anschreiben überhaupt ein Betrag
genannt wird... , so als würden die Mails noch vom Sachbearbeiter per
Hand getippt werden.

[uli07]

Habe auch ne mail bekommen: "Amazon" hat angeblich meine Kreditkarte belastet obwohl ich da garnichts gekauft habe, geschweige denn Kunde bin.