Fast jeder bekommt täglich neben wichtigen Mails leider auch Spam in seine Inbox gespült. Darunter sind häufig Nachrichten, die gefährliche Anhänge, wie etwa Trojaner, oder Phishing-Links enthalten können. Betrüger lassen ihre Mails immer professioneller aussehen. Sie jagen ihren Opfern ganz gezielt Angst ein und versuchen sie so zum verhängnisvollen Klick zu bewegen.
Laut einem aktuellen Bericht von Kaspersky Labs wurden im vergangenen Jahr 19 Prozent aller schädlichen E-Mails allein an deutsche Nutzer adressiert. Deutschland ist inzwischen auch ein beliebtes Ziel für Ransomware-Angriffe geworden, wie die rasche Verbreitung des Kryptotrojaners Locky in den letzten Monaten zeigt. Verschlüsselungstrojaner schlagen mittlerweile auch deutlich aggressiver zu. Mail-Spam ist sehr vielseitig und die Versender lassen sich immer wieder etwas Neues einfallen, um ihre Opfer zu erpressen, Daten abzugreifen oder ihnen Schadsoftware unterzujubeln. Die Mails wirken immer echter und der Betroffene kann kaum noch unterscheiden.
Angeblich eBay-Rechnung nicht bezahlt?
Vor knapp zwei Wochen habe ich am Dienstagmorgen eine E-Mail der etwas anderen Art erhalten. Nichtsahnend checkte ich wie jeden Früh meine Mails. Darunter war auch eine Nachricht von einem gewissen Hannes Hut, der bei eBay als Sachbearbeiter für offene Rechnungen zuständig ist. Aber lest am besten selbst:
Du willst nicht abgehängt werden, wenn es um KI, Green Tech und die Tech-Themen von Morgen geht? Über 10.000 Vordenker bekommen jeden Tag die wichtigsten News direkt in die Inbox und sichern sich ihren Vorsprung.
Nur für kurze Zeit: Anmelden und mit etwas Glück Apple AirPods 4 gewinnen!
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung. Beim Gewinnspiel gelten die AGB.
Von: Sachbearbeiter Pay Online24 GmbH <info@ebay.de>
Betreff: Rechnung für Markus Werner vom 26.04.2016
Datum: 26.04.2016 04:09
An: Markus Werner <xxxxx@gfx-stylez.com>
Anhänge: Markus Werner Sachbearbeiter Pay Online24 GmbH 26.04.2016.zip (424,1 K)
Sehr geehrte/r Markus Werner,
bedauerlicherweise mussten wir gerade feststellen, dass unsere Zahlungsaufforderung Nr. 151227427 bislang erfolglos blieb. Jetzt bieten wir Ihnen hiermit letztmalig die Chance, den ausstehenden Betrag unseren Mandanten Pay Online24 GmbH zu begleichen.
Gespeicherte Vertragsdaten:
Markus Werner
XXXXXXXXXX
XXXXX Leipzig
Tel. XXXXXXXX
Aufgrund des andauernden Zahlungsausstands sind Sie verpflichtet außerdem, die durch unsere Inanspruchnahme entstandene Kosten von 91,93 Euro zu tragen. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 25.04.2016.
Die detaillierte Forderungsausstellung NR. 151227427, der Sie alle Positionen entnehmen können, fügen wir bei.
Wir erwarten die Überweisung einbegriffen der Mahnkosten bis spätestens 29.04.2016 auf unser Girokonto. Können wird bis zum genannten Datum keine Überweisung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen müssen.
Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.
Mit verbindlichen Grüßen
Sachbearbeiter Hannes Hut
Zip-Archiv im Anhang
Im ersten Moment staunte ich nicht schlecht. Augenscheinlich hatte ich also bei eBay eine Rechnung noch nicht beglichen? Interessant, denn meinen eBay-Account habe ich vor knapp zwei Jahren eingemottet, nachdem eBay gehackt wurde. Also konnte diese Mail so definitiv nicht stimmen. Da war ich mir zu dem Zeitpunkt schon ziemlich sicher.
Demnach lag es auf der Hand, dass diese E-Mail verseucht sein muss. Interessant fand ich außerdem: In der Nachricht werde ich persönlich angesprochen und meine Anschrift und Telefonnummer genannt. Die Nummer ist allerdings veraltet, genauso wie meine E-Mail-Adresse. Die Mail enthält natürlich auch ein Zip-Archiv im Anhang. Die Betrüger versuchen mit dem Nachrichteninhalt ihr Opfer auf perfide Art und Weise zu ängstigen – mit Erfolg. Zudem weist die Mail kaum gravierende sprachliche Fehler auf. Folglich hätte diese Nachricht sogar echt sein können. Gewisse Restzweifel bleiben bestehen. Ich habe es genauso schon erlebt, dass eine unseriös wirkende E-Mail sich am Ende doch als echt entpuppte. Das erschwert die Erkennung zusätzlich.
Wer steckt hinter der Pay Online24 GmbH?
Ich wollte mich nicht einfach mit der Erkenntnis begnügen und googelte nach der „Pay Online24 GmbH“. Schnell wurde ich fündig. Bereits unter den ersten Treffern in der Google-Suche warnen einige Webseiten vor diesen Mails. Der Mail-Anhang enthält einen Trojaner und das Zip-Archiv sollte auf keinen Fall gespeichert oder geöffnet werden. Bei Mimikama fand ich weiter heraus, dass die Angreifer zum Beispiel auch unter den Namen GiroPay 24, Pay Bank GmbH oder aber Inkasso Mail & Media GmbH ihre dubiosen Mails versenden. Dreh- und Angelpunkt ist jedoch immer eBay als Plattform.
Das reichte mir noch nicht an Informationen, also forschte ich auf eigene Faust weiter nach. Zunächst warf ich einen Blick in den Mail-Header und fand heraus, dass die Mail offenbar von einem russischen Server verschickt wurde. Darauf deutete zumindest die gefunden Domain „om-star.ru“ hin. Die Domain gehört einer Designagentur, mit Büroräumen in St. Petersburg und San Francisco. Ich fand aber noch eine zweite Domain: „raiskii-sad.ru“. Die Adresse führt mich zu einem Restaurant in die Großstadt Balaschicha, nur wenige Kilometer von Moskau entfernt. Beide Domains verweisen auf dieselbe IP-Adresse und liegen folglich auf demselben Server.
Nun gehe ich nicht davon aus, dass eine Designagentur oder ein gutes russisches Restaurant professionellen Mail-Spam versenden. Nein, es ist naheliegend, dass die Angreifer wahrscheinlich den Server gekapert haben, um von dort ihre gefährlichen E-Mails zu verschicken. Danach verläuft die Spur leider im Sand. Ob die Mail am Ende wirklich aus Russland kam, oder auch das nur vorgetäuscht wurde, bleibt offen.
Persönliche Daten stammen wahrscheinlich aus dem eBay-Hack
Kommen wir nochmal zu den persönlichen Daten in der Mail zurück. Woher haben die Angreifer diese Informationen? Wahrscheinlich aus einer ergaunerten Datenbank. Das kommt leider immer wieder vor – erst letzte Woche tauchten Zugangsdaten zu über 270 Millionen Mail-Accounts auf. Die meisten davon scheinen nach derzeitigen Angaben der betroffenen Mail-Provider aber inaktiv zu sein. Ich überlegte also, woher die Erpresser meine Daten haben könnten. Wenige Tage später brachte mich ein Beitrag bei heise Security auf die zündende Idee – der eBay-Hack vor zwei Jahren. Ja klar!
Ich hatte doch damals selbst darüber gebloggt. eBay hatte es versäumt, seine Nutzer vernünftig über den Datenklau zu informieren. In einer inszenierten PR-Mitteilung teilte eBay Inc. lediglich mit, welche Daten entwendet wurden und wie der Servereinbruch gelingen konnte. Alles sehr schwammig und intransparent. Wie viele Datensätze wurden gestohlen? Wie viele Nutzer sind betroffen? Waren die Kennwörter verschlüsselt und gesalzen? Keine Angaben.
Auch die jüngste Vergangenheit beweist, wie ernst es eBay mit der Sicherheit auf seiner Plattform nimmt. Das Auktionshaus sorgte mit Cross-Site-Scripting-Lücken (XSS) schon für so manche Schlagzeile. Mitunter werden diese Lücken gerne auch mal ein Jahr oder sogar länger ignoriert. Sicherheitsforscher Jaanus Kääp fand 2013 eine brisante XSS-Schwachstelle im Nachrichtensystem von eBay. Über die Sicherheitslücke könne eine Angreifer eine Session mitschneiden im schlimmsten Fall einen Account übernehmen. Ob das Schlupfloch mittlerweile geschlossen wurde, ist nicht bekannt. Das wirft definitiv kein gutes Licht auf eBay.
Aktuelle Masche: Amazon Konto-Sperrung
Neben eBay haben es Cyberkriminelle natürlich auch auf Amazon und andere Unternehmen abgesehen. Hauptsache erstmal Daten abgreifen und danach wiederverwenden. Dies zeigt auch die aktuelle Phishing-Welle mit gefakten Amazon.de-Mails. Der Betroffene wir auch hier meist mit Namen angesprochen. Die Betrüger teilen in der Nachricht mit, dass bei einer Sicherheitsprüfung verdächtige Aktivitäten festgestellt wurden und der Amazon-Account gesperrt bzw. deaktiviert wurde. Über einen Link, der selbstredend in der E-Mail enthalten ist, soll der Betroffene doch bitte die nötigen Schritte zur Reaktivierung seines Kontos durchführen. Die Mails sehen wirklich täuschend echt aus. Die persönliche Anrede bekräftigt dies zusätzlich.
Spam-Mails: Was du tun solltest
Solche Mails werden leider immer professioneller und sind somit schwerer zu identifizieren. Du kannst mit den nachfolgenden Sicherheitstipps trotzdem vorbeugen:
- Führe regelmäßig Updates deines Betriebssystems, deiner Software und besonders deines Antivirenprogrammes durch.
- Lies aufmerksam deine E-Mails. Achte auf den Absender, den Nachrichteninhalt, enthaltene Links und Dateianhänge. Kommt dir etwas spanisch vor, dann besser gleich löschen.
- Gib niemals persönliche Daten wie Name, Adresse, Login-Daten etc., auf Webseiten ein, die über eine E-Mail verlinkt wurden oder unseriös scheinen. Besuche immer die Originalseite, dann bist du auf der sicheren Seite.
Solltest du Opfer eines Schadsoftware-Angriffs geworden sein, hilft nur eine Säuberung des Systems oder schlimmsten Falls die Neuinstallation des Computers. Bist du auf eine Phishing-Mail hereingefallen, hängt es von den übermittelten Daten ab. Bei Zugangsdaten solltest du diese schleunigst ändern und bei Kreditkartendaten etc. deine Karte unverzüglich sperren lassen.
