Oho, eine Nachricht mit Betreff „Automatische Kontoabbuchung konnte nicht durchgeführt werden“ von einer Rechnungsstelle Bank-Pay GmbH? Was kann da schon hinter stecken. Bekannt ist die Absenderadresse schon, der Text ist bewährt.

Sehr geehrter Kunde,

Ihre Bank hat die Lastschrift zurück buchen lassen. Sie haben eine nicht gedeckte Forderung bei Bank-Pay GmbH.

Namens unseren Mandanten fordern wir Sie auf, die offene Forderung schnellstens zu bezahlen.

Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen zuzüglich, die durch unsere Inanspruchnahme entstandenen Gebühren von 34,73 Euro zu bezahlen. Wir erwarten die Überweisung inbegriffen der Zusatzgebühren bis zum 23.03.2015 auf unser Bankkonto.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Eine vollständige Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Mit freundlichen Grüßen

Rechnungsstelle Lorenz Mika

Autsch, die im Anhang steckende Schadsoftware ist besonders frisch. Nur ein Virenscanner erkennt die Bedrohung. Die Virenjäger sind alle auf Stand heute. Also weiterhin die Empfehlung: Bei unerwarteten Anhängen erstmal prüfen und nicht verunsichern lassen. Nie einfach öffnen und anklicken, dann ist es schnell zu spät. Oder besser noch: Die Mails mit Linux bearbeiten.

Trojaner

 

Nach 9 Stunden haben doch einige dazugelernt.

Trojaner_2

Besonders perfide scheint mir ein Multiple-Choice-Trojaner zu sein, von dem ich am letzten Wochenende gehört habe.

Die Methode natürlich die gleiche, wie bei allen aktuellen Test-Banktrojanern: Opfer einlullen, von der Notwendigkeit eines Tests überzeugen und dann die TAN zum Auftrag erbeuten. Wie bei den mir bekannten Schadprogrammen begrüßt diese Form die Banking-Nutzer mit einem Hinweis, dass die Bank einen vermeintlichen Test des Onlinebankings durchführen müsse.

Statt einer Testaufforderung startet das in den Browser eingeschleuste Programm eine kleine fingierte Test-Abfragereihe.

Dazu werden dann immer drei Antworten zur Auswahl präsentiert, von denen logischerweise eine immer richtig ist. Bis auf die letzte Abfrage, da stimmt dann keine TAN. Diese muss man dann eingeben und die Betrugssoftware gelangt so an die zum Auftrag richtige TAN…

Ein völlig erfundenes Beispiel, um das Prinzip zu erklären:


Welches TAN-Verfahren nutzen Sie? (bitte anklicken):
O mobileTAN
O Sm@rtTAN
O TAN-Bogen
(die Antwort interessiert die Schadsoftware eigentlich nicht)

 

Sie haben mobileTAN ausgewählt, die Antwort war richtig. 
Prüfen Sie nun die SMS, welche Test-IBAN wird Ihnen angzeigt:
O DE12123456780001234
O DE982123456780009876
O GB333242312233454
(Das Opfer klickt korrekt an: GB….)

Welcher Betrag wird angezeigt (bitte anklicken)?
O 1.234,55 Euro
O 2.345,66 Euro
O 3.456,77 Euro
(es wird natürlich die passende Summe angezeigt)

Welche TAN wird angezeigt (bitte anklicken)?
O 123456
O 233456
O 623441
oder geben Sie hier die richtige TAN ein:___________
(tja, wer bis hierhin mitgelesen hat, wird sich nicht wundern, dass die TAN nicht zur Auswahl steht….)

 

Die aktuellen Trojaner fordern mit bekannten Texten zum verhängnissvollen TAN-Test auf (Beispiel siehe unten), sind aber selbst mit aktuellen Virenscannern nicht zu erkennen. Konkret hatte ein Kunde heute morgen mit einem Boot-Linux auf USB-Stick (desinfec’t) keine Schadmeldung erhalten. Der Scan mit malwarebytes ergab inzwischen die Diagnose auf Trojanerbefall. Das zeigt, wie gut sich die Schadsoftware inzwischen vor gängiger Antivirus-Software verstecken kann.

Aktuell besonders beliebt: DHL-Mails und bei mir heute eingetroffen: UPS-Nachrichten.

Thema: UPS Delivery Notification, Tracking Number 146B3289500146

Wichtige Zustellinformationen
Kontrollnummer:
2W44U26949187244
Zustelldatum/-zeit:
09. March 2015 / 09:51:36 vormittags
Sendungsdetails : 2W44U26949187244Phishingmail

Also: Alles, was irgendwie zu Tests mit irgendwelchen TAN aufruft, ist ein Betrugsversuch!

So sieht dann beispielsweise die Aufforderung zum TAN-Test auf. Bei der Fehlermenge muss man von Absicht ausgehen. Auf diese Aufforderung werden sicherlich nur unaufmerksame Menschen reagieren – die sich besonders gut als Opfer eignen. Der Text selbst ist alt, scheint aber noch gut zu funktionieren.

Der untere Text wird bei nach Anmeldung in die normale Banking-Seite „eingeschleust“. Die Inhalte werden also im normalen Design der Bank dargestellt, ein typisches Verhalten für eine Schadsoftware, die innerhalb des Browsers arbeitet.

Aktuell klappt die Infektion nur gut mit genossenschaftlichen Bankkonten – die Sparkassenverbindung ließ sich nicht stabil und schnell aufbauen.

Sehr geehrte Kundin/sehr geehrter Kunde,

Eine neue, verbesserte Online-Banking-Schutzanlage wird in unserer Bank implementiert. Sie umfasst die folgenden Funktionen:

– SMS und TAN-Generation-Systeme Prüfung;
– Schutz vor unbefugtem Zugriff (Phishing);
– Prüfung Ihres Browsers auf Sicherheitslücken.

Zu Ihrer eigenen Sicherheit, wird der Zugriff auf Ihr Konto per Online-Banking für Sie begrenzt werden, bis Sie eine kurze Schulung auf einem Demokonto zu vervollständigen.

Bitte lesen Sie die folgenden Kurzanleitung:

Die erste Testphase wird durch Drücken der Taste „Login Demokonto“ beginnen: Sie werden auf eine neue Seite weitergeleitet, wo Sie ein Demokonto zugreifen können. Die Informationen um das Demokonto eingeben wird automatisch ausgefüllt werden.
Sie werden auf die zweite Testphase beim Eintritt ins Demokonto umgeleitet werden (bitte drücken „Login Demokonto“ um fortzufahren).
Der Testprozess erfordert einen Testüberweisung. Sobald die Prüfung Ihres Browsers abgeschlossen ist, werden Sie eine Testseite zu sehen.
Alle notwendigen Daten werden nach dem Zufallsprinzip generiert und dort ausgefüllt werden.
Sie werden benötigt, um Ihre TAN-Generator (Chip TAN) oder Ihr Telefon Prüfung (SMS TAN) je nach Ihrer Konfiguration zu verwenden.
Sie müssen die korrekte TAN gewähren, ohne Fehler!
Wenn Sie einen Fehler machen, wird die Schutzanlage eine Warnung angezeigt, und Sie werden auf Ihrem Internet-Banking-Konto zurückgegeben werden.
Im Fehlerfall er wird automatisch analysiert werden; Sie erhalten ein neues Testverfahren nächstes Mal, wenn Sie Online-Banking eingeben angeboten werden.
Wenn Sie Ihre SMS-Benachrichtigungsdienst aktiviert haben, werden Sie eine erfolgreiche Prüfung gemeldet werden.

Login Demokonto

Server-Administratoren kennen sicherlich die hilfreichen Tools von Sysinternals, seit 2006 eine Microsoft-Tochter. Darunter gibt es seit langem das Programm „Autoruns“, das sehr hilfreich beim Auffinden der beim Windows-Start quersitzenden Programme ist. Die Sysinternals Tools sind nun aber etwas sperrig, komplex zu bedienen und natürlich in Englisch, so dass sich kommerzielle Aufräum-Tools (z.B. CC-Cleaner) eher für den Normaluser eignen.

Die neue Version des „Autoruns“-Tools lohnt sich nun aber auch für jeden, der die Startvorgänge seines Rechners prüfen möchte, denn auch Schadsoftware will ja nach einem Reboot wieder gestartet werden.

Die neue Version des Programms bietet nun die Möglichkeit, auf einfache Weise die gefundenen Programme gegen die Virustotal-Datenbank (inzwischen Google) zu prüfen. Dabei wird nicht jedes Programm hochgeladen, sondern nur die Prüfsumme der Datei wird gecheckt, so dass sich der Traffic in Grenzen hält.

Hier bei Heise gefunden – und hier steht auch eine kleine Anleitung:

http://www.heise.de/newsticker/meldung/Autoruns-macht-Jagd-auf-Viren-2534717.html

Die neuen Top-Level-Domains, kurz TLD, eröffnen auch für Betrüger neue attraktive Möglichkeiten. TLDs sind die Endungen, die wir im Internet täglich verwenden: .de, .com .org kennt man ja. Die neuen sind beispielsweise .berlin oder wie in diesem Beispiel .click.

Man muss also weiterhin bei Clickaufforderungen, den Mails und im Web ganz genau hinsehen.

Hier eine geschickt aufgebaute Paypal-Phishing-Mail, die selbst einen alten Hasen schon erstmal richtig erschrecken kann. (Vielen Dank an Uwe G. für die Mail!).

paypal-phishing_click_01

Der Klicklink ist geschickt mit einer falschen Angabe hinterlegt, Achtung: Das angezeigte schwarze Kästchen (Alt-Attribut) ist nicht der Link – das ist nur ein Text-Hinweis und kann beliebig manipuliert sein. Man kann aber am unteren Bildrand sehen, wohin der Link wirklich führt. (ich verwende  Thunderbird als Mailprogramm).

Die eigentliche Domäne ist hier: „de-password.click“ und www.paypal ist nur eine Subdomäne. Vollständig ist der Betrugslink also selbst in Klarschrift nicht sofort zu erkennen.

paypal-phishing_click_02

 

 

 

 

 

 

 

 

 

 

 

 

 

Unter Spear-Phishing versteht man gezielte Angriffe auf Passworte und Daten mithilfe von ausgespähten Daten. Betrüger versuchen sich dabei die Informationen zunutze zu machen, die sie über andere Wege oder Medien erhalten haben. Einige geben sich sogar gezielt als Bekannte, Freunde oder Verwandte aus. Oft reichen hier schon allgemein zugängliche Informationen aus den sozialen Netzwerken oder dem Impressum einer Webseite aus, um das Misstrauen entscheidend zu schmälern.

Selten geht es beim initialen Kontaktversuch konkret darum, „mit der Brechstange“ ans Geld zu kommen, es wird eher auf subtile Art versucht, das Vertrauen zu gewinnen. Appeliert wird oft an die Hilfsbereitschaft der Empfänger. Die Betrüger sparen sich damit auch einiges an Arbeit – nur die Leichtgläubigen werden anschließend „weiter bearbeitet“, zum Teil sogar telefonisch.

Es muss sich dabei keinesfalls um Mails handeln, hier aber ein Beispiel einer Mail, die ich kürzlich erhalten habe. Offensichtlich waren meine Daten  im Adressbuch seines Mailprogramms. In solchen Fällen sollte man den vermeintlichen Absender wirklich kontaktieren, weil oft ein Trojanerangriff dahinter steckt und sogar die Absendeadresse gehackt wurde oder auf falschem Namen eine Mailadresse angelegt wurde.

Hallo Raimund.

lch bin nach Spanien verreist und habe meine Tasche verloren samt Reispass und kreditkarte. Die botschaft ist bereit, mlch ohne meinen Pass fliegen zu lassen. lch muss nur noch für mein ticket und die hotelrechnungen zahlen. Leider habe lch kein Geld dabei, meine kredit karte könnte helfen aber die ist auch in der Tasche. lch habe schon kontakt mit meiner Bank aufgenommen, aber sie brauchen mehr zeit, um mir eine neue zu schicken. lch wollte dlch fragen ob du mir 1.500EUR via western union so schnell wie mögllch leilhen kannst. Ich gebe es dir zurück sobald ich da bin.

Herzliche Grüße

[Name gelöscht]Beispiel für Spear Phishing

Der Text ist in Details uralt und offensichtlich immer noch erfolgreich. Man sieht dies, wenn man Teile davon einmal durch eine Suchmaschine recherchiert, z.B.: „Die botschaft ist bereit, mlch ohne meinen Pass fliegen zu lassen“: google-Suchergebnisse:

 

Ein herzliches „Lol“ bekommt diese Spam-Mail wg. des letzten Abschnitts von mir. Es ist einfach zu herrlich.

Die Möglichkeit der Nebenbezüge!

Ein gutes Einkommen in kürzer Zeit!

Unser Unternehmen bietet ein gutes Einkommen – Minimum 2.000 Euro pro Woche an. Das ist ein Part-time Job und Sie können den mit einer anderen Beschäftigung vereinigen! Sie werden für diese Tätigkeit alles in allem zwei Stunden Ihrer Zeit zweimal wöchentlich aufwenden. Sofort nach der Erledigung von jedem Auftrag wird Ihr Einkommen bis 1.600 EUR für 2 Arbeitsstunden betragen.

Ihre Arbeit wird in Folgendem bestehen:

  1. Vor allem übersenden wir das Geld auf Ihr Konto in einer Bank. Die Summe der Banküberweisung beträgt von 2.000 €.

  2. Am Tag der Gutschrift auf dem Konto von Ihnen sind Sie verpflichtet, den überwiesenen Betrag in der Bank abzuheben.

  3. Sie haben schon von 400 EUR bis 1.600 EUR – 20% von der Geldanweisung erworben!

  4. Sie überweisen unserem Unternehmen den Rest des auf Ihr Konto überwiesenen Geldbetrags.

  5. Falls Sie alles termingerecht erledigt haben, übermitteln wir die nächste Überweisung an Ihre Bank.

Die Zusammenarbeit mit unserem Unternehmen ist absolut legal für Banken und durchsichtig vom Standpunkt der Gesetze der EU und Deutschlands. Die Summen der Überweisungen und Ihre Anzahl können von Ihren Möglichkeiten abhängig begrenzt oder vergrößert werden!

Wir sind bereit, alle Ihre Fragen zu beantworten und schicken Ihnen eine ausführliche Beschreibung der Arbeit, schreiben Sie uns einfach eine Email.

Eilen Sie sich, die Anzahl von den Arbeitsstellen ist begrenzt!

 und das kam hinterher. Hier sucht man also Leute, die solche Mails wie oben besser machen? „Wir sind eine grobe Firma“, aua.

Wir sind eine grobe erfolgreiche Firma, die sich international ausgebreitet hat und nun Platz im europaischen Markt fur Immobilien gefunden hat. Wir suchen nach einem Team aus Deutschland, welches uns dabei hilft, fleibige und zielstrebige Mitarbeiter und Mitarbeiterinnen zu finden und damit unsere Position hier in Deutschland weiter verfestigt. Wir bieten Arbeit zur Teilzeit in einem personlichen Buro an! Die zu verrichtende Arbeit ist selbststandig und nimmt ungefahr 5 bis 10 Stunden Zeit pro Woche in Anspruch – es ist auch moglich, von zu Hause aus zu arbeiten. Wahrend der gesamten Zeit uben wir starke Zusammenarbeit mit den Partnern unserer Firma aus. Dieses Angebot hat auf keinen Fall etwas mit Versicherungen oder „von Haus zu Haus laufen“ zu tun, ebenso brauchen Sie kein Eigenkapital zu investieren. Wen wir suchen: Junger Mann oder Frau im Alter ab 21 Jahren Sicherer Umgang mit dem PC (Microsoft Word, E-Mail) Verantwortlichkeit und vertraulicher Umgang mit Unterlagen Zielstrebigkeit und Streben nach Geld Internetzugang (fur den E-Mail-Versand) Bewerben Sie sich bei uns per E-Mail und Sie bekommen sofort alle weiteren notwendigen Informationen! E-Mail-Adresse: [gelöscht]Mail ohne Formatierung

 

Werden die Geldwäscher knapp? Zum ersten Mal wurde ich persönlich angesprochen und über eine E-Mail Adresse angeschrieben, die ich eigentlich nur sehr selten verwende. Das Angebot ist unverblümt und spricht eigentlich direkt an, worum es geht. Konto für eingehendes Geld angeben und dies weitersenden, also klassische Geldwäsche für Onlinebanking-Betrug. Wer darauf reinfällt, hat in wenigen Tagen Besuch von der Polizei.
Der angegebene Geldrahmen zeigt: Mit Kleinvieh geben sich die Betrüger nicht ab. 2.000 bis 8.000 Euro, in diesem Bereich sollen sich die Summen bewegen.

Damit die Spamdetektoren nicht Alarm schlagen, ist ein komplettes Zitat einer französischen Filmseite angehängt, so dass die kritischen Wörter vermutlich im Wortnebel untergehen.


Arbeit! Arbeit! Arbeit!

Ein sehr gutes Gehalt in kürzer Zeit!

Sie verdienen bei uns problemlos Minimum 4.000 Euro pro Monat. Die Ausführung von jeder Aufgabe lässt Sie von 400 € erhalten. Es ist eine Teilzeitarbeit und Sie können sie mit einer anderen Beschäftigung vereinigen! Für diese Arbeit werden Sie nur 2-3 Stunden zweimal pro Woche aufwenden.

Ihre Arbeit wird so aussehen:

  • Wir überweisen einen Geldbetrag von 2.000 EUR bis 8.000 EUR auf Ihr Bankkonto.

  • Es ist nötig, den überwiesenen Betrag in bar am Tag des Geldeingangs auf dem Bankkonto von Ihnen abzuheben.

  • Sie verdienen 20% von unserer Geldanweisung – das ist die Summe von 400 € bis 1.600 €!

  • Es ist notwendig, unserem Unternehmen 80% der Überweisung zu senden.

  • Wir übermitteln die nächste Überweisung an Ihre Bank.

Sie können selbst die Anzahl der Banktransaktionen regeln, die von Ihnen bearbeitet werden! Diese Arbeit ist rechtsgültig.

Sie können uns per Email schreiben. Wir beantworten alle Ihre Fragen und schicken Ihnen eine ausführliche Beschreibung der Arbeit.

Die Anzahl der Arbeitsstellen ist begrenzt!

Uiui,
jetzt werden schon die Banken beim Phishing vermischt. Macht ja nichts, merkt ja keiner.
Hier wird das Logo „EuroExpresszahlung“ von der Sparkasse für eine Volksbank Phishing-Mail missbraucht. Mich würde hier die Statistik des Webservers der Sparkasse interessieren. Wie oft wird das Bild wohl heruntergeladen?

Ich verlinke das Bild absichtlich nicht. Wer unbedingt das Logo sehen möchte, muss den Link in die Browseradresse kopieren.
https://portal.sska.de/ifdata/72050000/IPSTANDARD/3/content/www/pixel/gv_hinweise/express_ohne_hinweis.jpg

Schnell überweisen in Deutschland und Europa Mit der EURO-Expresszahlung online ist Ihr Auftrag schneller beim Empfänger als mit einer normalen Überweisung – sowohl in Deutschland als auch in Europa. Der Preis einer EURO-Expresszahlung online beträgt 10,00 Euro. —————————————————————————-

27. November 2014 um 04:21:51 Uhr

Wir haben den Volksbank benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
Zahlungsbestätigung – 552479999799.

Betrugsmail Volksbank

Die Zahlungsbestätigung verweist im Link, einer Zip-Datei, natürlich auf einen gehackten Server.

Ber „Den Volksbank“? Naja, da hat der automatische Übersetzer google-Translate wohl nicht bemüht…

 

Ich bin ja schon längere Zeit ein Freund der Produkte von Malwarebytes, unlängst wurde der Virenscanner sogar Testsieger in der PC-Welt (neben Bitdefender, deren Produkt ebenfalls eine Erkennungsquote von hervorragenden 100% hatte).

Die Scanner von Malwarebytes finden häufig noch Viren auf PCs, deren Virenscanner bereits von Schadsoftware beeinträchtigt sind. Um den Virenscanner soll es aber hier nicht gehen.

Hier möchte ich stattdessen ein hervorragendes Tool zur Verhinderung von Infektionen vorstellen. Eines der Haupteinfallstore von Viren und trojanischen Pferden sind Sicherheitslücken im Browser und Erweiterungen des Browsers, sogenannte Exploits. Viele Mails und Links zielen alleine darauf, User auf scheinbar harmlose, aber gehackte und manipulierte Internetseiten zu lotsen, um von dort mit sogenannten Exploit-Kits den Besucher-PC systematisch auf hunderte Sicherheitslücken abzuklopfen. Über entdeckte Sicherheitslücken werden dann Schadprogramme auf die Rechner überspielt und schon ist der Computer unter fremder Kontrolle. Unter diesen gehackten Webseiten sind leider auch prominente „große“ Internetseiten zu finden, es ist leider ein großer Irrtum, dass man sich Schadsoftware nur auf den „dunklen“ Seiten des Webs einfangen kann.

Das Antiexploit-Tool von Malwarebytes ist dabei kein Antiviren-Programm, sondern eine Ergänzung dazu. Auf eine gute Antiviren-Software kann nicht verzichtet werden. Es erkennt zuverlässig die bekannten Exploit-Scanner und verhindert damit die Ausnutzung der vorhandenen Sicherheitslücken. MWB Antiexploit läuft meines Wissens problemlos parallel zu vorhandenen Virenscannern.

Downloadadresse:
http://de.malwarebytes.org/antiexploit/

Die Betrüger selbst sind übrigens meist nicht die Urheber dieser Exploits-Kits. Diese werden  bei Profis gekauft oder können sogar gemietet werden – mit Updateservice und Erfolgsgarantie. Ein professioneller Markt also, ähnlich lukrativ wie Drogenhandel und Menschenhandel. Das dabei Regierungsorganisationen wie die Geheimdienste auch noch als Käufer auftreten, ist nicht unumstritten. Die gekauften Sicherheitslücken werden ja nicht zum Wohle der eigenen Bürger gestopft, sondern zu Spionagezwecken erworben.

Lesen Sie dazu auch diesen Artikel bei heise.


Ergänzung:
Das Tool ist inzwischen in das kommerzielle Produkt eingeflossen, steht aber weiterhin als BETA-Version kostenlos zur Verfügung. Die Version kann über das Forum bezogen werden. Ich empfehle die Nutzung aber nur noch Menschen, die Englisch einigermaßen gut verstehen können. Im Bereich „latest Version“ kann man den Link zum Download finden (Stand Juli 2017).