Neue Welle von gefälschten Telekom-Rechnungen

Mit aufwändig gefälschten Phishing-Mails greifen Kriminelle derzeit vermehrt Internetnutzer an.

"Gefälschte Rechnungen der Telekom sowie anderer Provider, Online-Shops oder Online-Paymentsysteme sind ein bewährtes Mittel der Cyberkriminellen, um Schadsoftware zu verteilen", sagte Christian Funk, Senior Virus Analyst bei Kaspersky Lab. "Wir können bestätigen, dass seit Mai verstärkt eine Welle schädlicher E-Mails mit dieser Masche im Umlauf ist."

Getarnt

Das Schadprogramm der Angreifer (englisch Malware) tarnt sich als PDF, ist aber tatsächlich ein Zip-Archiv. Darin enthalten sein könnte etwa ein ausführbarer Code, der einen Trojaner installiert und dann den betroffenen Rechner übernimmt und zu einem "Zombie-PC" macht, der von außen gesteuert werden kann.

Für die Telekom gehört Phishing inzwischen zum Tagesgeschäft: "Es gibt leider ständig den Versuch, auch über gefälschte Telekom-Rechnungen Schadsoftware zu verbreiten und Daten zu erschleichen", räumt Telekom-Sprecher Philipp Blank ein. Der Konzern warne seine Kunden immer wieder vor solchen Angriffen und gebe aktuelle Tipps zur Gefahrenabwehr.

Auch Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überraschen diese Attacken nicht mehr: "Solche Phishing-Mails sind leider alltäglich geworden. Empfänger solcher Mails sollten diese löschen und auf keinen Fall auf enthaltene Links oder Dateianhänge klicken."

Verwechseln

In der Phishing-Mail heißt es beispielsweise: "Sehr geehrte Kundin, sehr geehrter Kunde, mit diesem Schreiben erhalten Sie eine Benachrichtigung über Ihre aktuelle Rechnung. Die zur Zahlung fällige Summe für Juni 2014 beläuft sich auf: 354,85 Euro." Während früher Phishing-Mails oft durch Rechtschreibfehler oder schlechte Übersetzungen aus dem Englischen aufgefallen sind, sehen die aktuell gefälschten Mails bis auf die Absenderadresse einer echten Telekom-Rechnung zum Verwechseln ähnlich.

Die Ähnlichkeit mit den echten Kunden-Mails macht es auch so schwierig, die Phishing-Mails als Spam auszufiltern. Wegen der seriösen Betreffzeile und anderer technischer Details könne man kein Herausfiltern durch einen Spam-Filter garantieren, erklärte ein Sprecher des Sicherheitssoftwareanbieters Kaspersky. Wenn die Signaturen der Sicherheitssoftware auf dem neuesten Stand sind, müsste der Trojaner selbst aber als Schadsoftware erkannt und blockiert oder gelöscht werden, wenn der Anwender aus Versehen auf den Link klickt.

Ein weiteres Prüfmerkmal sei die Adresse des Download-Links zu der Datei im Format PDF. Hier lasse sich erkennen, dass es sich bei dem Link um keine URL der Telekom handeln kann. Unter der darin enthaltenen Adresse salesloft.net ist ein Callcenter-Anbieter aus Cleveland im US-Bundesstaat Ohio erreichbar.

Strafanzeige

Bereits Anfang Juni hatte die Verbraucherzentrale Rheinland-Pfalz vor den Phishing-Mails im Namen der Telekom gewarnt. Die Verbraucherzentrale riet damals, zur Erkennung die Rechnungs-Mail auf die fehlende Kunden- und Rechnungsnummern zu prüfen. Wer den Link bereits angeklickt hat, sollte seinen PC sofort von einem Experten überprüfen lassen, alle seine Passwörter unverzüglich ändern, Strafanzeige bei der Polizei erstatten und die Kontoauszüge immer auf Unregelmäßigkeiten überprüfen.