Verbraucherschutz möchte Ihnen Push-Benachrichtigungen schicken.

Bitte wählen Sie Kategorien die Sie abonnieren möchten.



Vorsicht Trojaner: Rechnungen per E-Mail enthalten Link zu Schadsoftware


Bitte unterstützen Sie uns

Mit einmalig 3 € tragen Sie zur Erhaltung von Verbraucherschutz.com bei und erkennen unsere Leistung an. Jetzt 3,00 Euro per PayPal senden. So können Sie uns außerdem unterstützen.

Mit einem freiwilligen Leser-Abo sagen Sie Betrügern den Kampf an, unterstützen die Redaktion und bekommen einen direkten Draht zu uns.

Ganz aktuell und in Massen versendet, werden E-Mails mit Rechnungen im blau-weißen Design. Dabei werden sowohl unterschiedliche Betreffs als auch unterschiedliche Absenderfirmen genutzt. Eines haben diese Nachrichten aber gemeinsam. Der Link zur Rechnung führt zu einer Datei, welche einen Trojaner enthält. Hier erfahren Sie mehr.

Vorsicht Trojaner: E-Mail Welle verschickt Schadsoftware
Screenshot

Normalerweise würde man der E-Mail Glauben schenken. Denn Sie werden mit Ihren konkreten Adressdaten angeschrieben. Die genannten Firmen scheinen auch nicht ausgedacht zu sein. Aber eines lässt Sie sicher sofort stutzig werden: Die Rede ist von den zumeist utopischen Rechnungssummen von mehreren Tausend Euros. Aber Ausnahmen bestätigen auch hier die Regel. Es sind auch schon Rechnungen mit Summen von unter 100 Euro aufgetaucht.

Die gekauften Produkte variieren von E-Mail zu E-Mail. Auffällig ist, dass die Produkte oft nicht zu den Absenderfirmen passen. Auch die als Absender genutzten Namen und E-Mail-Adressen stimmen nicht überein und scheinen bei jeder E-Mail neu zu sein.

Diese Betreffs sind bisher bekannt

  • Faktur #ECC6538310732YB
  • Bilanz #WNN09943206274BU
  • Rechnung #BCZF87992095XLV
  • Zahlenaufgabe #TCHN325329XR
  • Rechenaufgabe #MBI275313355VJA
  • Kalkulation #ZUQN169778BUAT

Auch wenn der Teil hinter dem Rautezeichen variiert, so scheinen die Betrüger immer wieder auf den gleichen Anfang zurückzugreifen.

Verpassen Sie keine Warnung. Hier können Sie uns folgen:

Gibt es die Firmen in den E-Mails wirklich?

Die Firmierungen scheinen wirklich zu existieren. Teilweise stimmen auch die Adressen mit der Firmierung über ein. Die angegebene Telefonnummer scheint jedoch mit den Firmen nichts zu tun zu haben. Teilweise stimmen die Vorwahlen für die Städte nicht überein. Trotzdem existieren die Rufnummern.

Und diese Firmen wurden bisher in den E-Mails verwendet:
  • Dufner Instrumente GmbH
  • Ernst u Horst Arnold Spedition GmbH and Co KG
  • HARALD WÜST NATURSTEINEFLIESEN and BETONWERKSTEINE and GRABMALE
  • GN NETCOM GMBH
  • DIPL.-ING. DR. E. VOGELSANG GMBH and CO. KG
  • B.T. OFFSET BREUEL
  • ECB ENVIRO BERLIN AG
  • APW ELECTRONICS GMBH
  • ELKO ELEKTRO KOLARZ GMBH
  • GERD KOPPELMANN
  • DRUCKHAUS WEIRICH GMBH INH. HANS DIETER WEIRICH
  • HEDDERNHEIMER METALLWARENFABRIK GMBH
  • DRUCKEREI GERLOFF KG
  • DRESSLER KELTEREI
  • FREDI LUDERICH GMBH
  • Helfberend GmbH
  • Commercial Bank of Greece (Germany) GmbH
  • H PEHLE BAU GMBH
  • BERNHARD LÜTKENHAUS GMBH
  • GEORG RASSHOFER
  • ANKER-SCHROEDER.DE ASDO GMBH
  • HARSCH GMBH and CO KG
  • IBF INDUSTRIELLE BAUGRUPPEN FERTIGUNGS-GMBH
  • HANS HÖNIGS GMBH
  • BRUNO UMMENHOFER
  • G KUHLMEY GMBH and CO KG ORGANBEARBEITUNG, DARMVERWERTUNG
  • HERMANN ZIZMANN GMBH and CO KG
  • D + M COMPUTER GMBH
  • GOOSSENS GMBH
  • Carl Heymanns Verlag KG
  • HEINE DAMENMODEN FABRIKATIONS GMBH
  • ECKERT GMBH
  • FORMTEIL-U. SCHRAUBENWERK FINSTERWALDE GMBH
  • GEERDINK GMBH
  • DR. CANTZ’SCHE DRUCKEREI GMBH and CO.KG
  • FRIEMUTH GMBH and CO KG

Achtung: Die oben genannten und als Absender angegebenen Unternehmen sind nicht der Versender, sondern selbst Opfer von Kriminellen geworden! Die Firmen selber wissen vermutlich gar nicht, dass ihr Name missbraucht wird. Es ist nicht zu empfehlen, die Firmen telefonisch zu kontaktieren, da dadurch der Geschäftsbetrieb im schlimmsten Fall zum Erliegen kommt. Woher die Firmendaten stammen, ist nicht klar.

Was passiert, wenn Sie die Rechnung laden?

Klicken Sie auf den Link „Rechnung herunterladen“, laden Sie sich die Schadsoftware auf Ihren Computer. Heruntergeladen wird eine ZIP-Datei, welche den Namen des Empfängers der E-Mail trägt. Die Cyberkriminellen geben sich hier sehr viel Mühe, den Dateinamen zu personalisieren.

Laden Sie die vermeintliche Rechnung nicht herunter und öffnen Sie die ZIP-Datei nicht!

Die ZIP-Datei enthält einen Trojaner. Dieser scheint weitere Schadsoftware auf Ihren PC nachzuladen. Betroffen von dem Angriff sind zunächst nur Windows-Rechner.

Haben Sie die ZIP-Datei ausgeführt, sollten Sie schnellstmöglich einen Virenscanner laufen lassen und versuchen, die Schadsoftware vom Rechner zu löschen. In diesem Artikel finden Sie die besten Virenscanner für Windows-Rechner.

Sobald wir weitere Informationen zur Art der Malware haben, werden wir den Artikel aktualisieren.

Woher stammen die Daten?

Viele Nutzer fragen sich, woher die Kriminellen die konkrete Adresse haben. Erste Anzeichen deuten daraufhin, dass diese von einem Datendiebstahl bei eBay stammen könnten, der schon länger zurückliegt. In diesem Zusammenhang hat Onlinewarnungen.de bereits über eine andere Spam-Welle mit gefälschten Rechnungen informiert.

Können Sie diese Vermutung bestätigen? Nutzen Sie die Kommentare unter dem Beitrag, um uns über Ihre Vermutungen zu informieren.

Haben Sie weitere Informationen?

Haben Sie diese E-Mail auch erhalten? Vielleicht von einer anderen Firma? Dann senden Sie uns diese Nachricht per E-Mail an [email protected]. Wenn Sie weitere Informationen zu der Schadsoftware haben, können Sie sich gern mit einer Nachricht an die Redaktion an uns wenden.

Nachricht an die Redaktion schreiben

    Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht.
    Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an per Mail widerrufen.
    Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.

    [anr_nocaptcha g-recaptcha-response]


    Alternativ senden Sie uns eine E-Mail an [email protected]. Das bietet sich an, wenn Sie uns Spam-Nachrichten, E-Mails mit Phishing-Verdacht oder Nachrichten mit einem möglichen Virus im Anhang zusenden möchten.

    Bitte hinterlassen Sie einen Kommentar mit dem Namen Ihrer Antivirus-Software und dem Hinweis, ob die E-Mail als Spam oder die ZIP-Datei als Virus erkannt wurde.

    Kommentarverfassen

    Aktualisierungen zum Artikel

    16.12.2016: Wir haben den Artikel aktualisiert.
    15.12.2016: Artikel veröffentlicht

    War dieser Artikel hilfreich?
    Sende
    Benutzer-Bewertung
    4.65 (23 Stimmen)

    15 Gedanken zu „Vorsicht Trojaner: Rechnungen per E-Mail enthalten Link zu Schadsoftware“

    1. Bekomme monatlich eine email mit Betreff -Ihre Monatsrechnung- und Anhang V7U420455-7.doc die vorgeblich aus einen Thüringer Ministerium von einer namentlich benannten Mitarbeiterin stammt.
      Bislang habe ich die Anhänge noch nicht geöffnet.
      Danke für Eure Warnungen!

      Antworten
    2. Hallo,

      der Trojaner hat sich inzwischen weiterentwickelt! Um noch vertrauensvoller zu erscheinen, zieht sich der Trojaner einen Kontakt aus dem persönlichen EMailadressbuch und nutzt zum versenden der EMail-Rechnung die eigene EMailadresse als Absender. Als Anhang werden Rechnungen (siehe: Diese Betreffs sind bisher bekannt) mit einem Link getarnt als word-Datei versendet. So ist es heute meinem Arbeitgeber passiert. Hauptangriffziel sind nicht die Exchange-Server, sondern Windows Server und Terminalserver. Glücklicherweise konnte ein Schaden abgewendet werden.
      Bei dem Trojaner handelt es sich um Ransomware.
      Nach zurücksetzung des Terminalservers und zusätzlicher Installation von Sophos Intercept X (kostenpflichtig) zu Sophos Antivirus (Sophos Home für Privat Kostenlos), war das Problem behoben. Intercept X ist nicht auf die verschiedenen Trojaner etc. ausgerichtet, sondern auf deren Verhalten. Originaldateien werden sauber gesichert und alles andere vom Server und Rechner entfernt. Das einzig mangelhafte an Sophos sind die Beschreibungen zu den Fehlercodes, für Nicht-ITler eher unwichtig.

      Antworten
    3. Moin Moin,
      ich habe auch so eine Rechnungs Mail bekommen am 15.12.16, wurde aber nicht von Kaspersky Total Security erkannt.
      Kam Angeblich von der Firma EGT Gebäudetechnik, hab auf der Homepage der Firma Nachgeschaut, das was da in der Rechnung steht vertreiben die nicht.

      Antworten
    4. Hallo zusammen,

      eine derartige Mail ist auch bei mir am 15.12.2016 eingegangen, Betreff [Mein Name] Kalkulation #HFYJ2273560VOTC Rechnungsbetrag 10094.77€, Rechnung ausgestellt von der
      Firma GEFA FACHGROßHANDEL GMBH und CO KG.
      Stuttgarter-Str. 7
      Dresden 01189
      +49 (2871) 18 44 00
      Die Firma am genannten Standort aus der Rechnung existiert auch dort, Telefonnummer ist aber nicht korrekt und Produkte aus der Rechnung passen auch nicht zum Produktportfolio der Firma. Aus dem erweiterten Header der Mail geht hervor, dass die Mail über die IP 95.226.204.130 versendet wurde., Geolocation ist Süditalien Region Calabrien. Return-Path der Mail lautet [email protected].
      Es ist recht eindeutig, dass die Daten aus einem Datenklau, woher auch immer, stammen, der schon eine Weile in der Vergangenheit liegt, die Adresse aus der Rechnung ist seit mehreren Jahren nicht mehr meine aktuelle Anschrift.
      In vielen Fällen ist es recht einfach derartige Mails zu entlarven, bei dieser Art musste ich erst einmal eine 1/4 Stunde Recherche betreiben um sie eindeutig als Spam zu identifizieren, auch abschließend verifiziert durch diesen Artikel, vielen Dank hierfür.
      Beste Grüße
      JB

      Antworten
    5. Ich habe eine email bekommen mit meinem Namen und richtiger Adresse.soll 4100€ bezahlen.Von einem Bauunternehmen Sattler GmBH
      Am Schlosspark 76
      69488 Birkenau von einem Herrn Steve Rueckwardt
      ID BW5451300744

      Antworten
    6. Hallo, es wurden Emails mit unseren Firmendaten (Contactlinsencentrum Maxam GmbH) versendet. Bis jetzt haben sich zwei Personen telefonisch bei uns gemeldet. Glücklicherweise hat bisher niemand auf den Rechnungslink geklickt. Ich habe dies auch auf unserer Homepage gepostet mit einer Verlinkung zu dieser Website. Vielen Dank für die Aufklärung und die Informationen.

      Antworten
    7. bekommen habe ich die Mail am 15.12.16, Absender: Jan Ottlinger , Betreff: [mein Name] Rechnung #NIU0456449HBI, von GEBR. KALTENBACH KG, Karlsruher Str. 181, Muggensturm, 76461, +49 (911) 53 30 66

      Firma existiert, Telefon-Nr passt aber nicht zur Adresse, dass eine Firma eine nicht zu ihrer Domain gehörige E-Mail-Adresse benutzen sollte, erscheint mir eher ungewöhnlich und dass ein Kieswerk Software verkauft ist auch nicht unbedingt üblich 😉 – Also genügend Hinweise, dass da was nicht stimmen kann!
      AV-Software hat nix dazu gesagt (wieso auch? nur wer auf „herunterladen“ klickt bekommt ja den Tojaner) und als Spam wurde es auch nicht beanstandet.

      Antworten
    8. Microsoft Security Essentials
      Email empfangen, nicht Download angeklickt (und hoffentlich somit nichts heruntergeladen) eine Erkennung hat nicht stattgefunden.

      Die Rechnung belief sich auf 16800,06 Euro, Absender war Cindy Ohlhöft ([email protected]).
      Firma war: Bau-Siegel GmbH & Co. KG – 98716 Geraberg

      Wir haben Security Essentials im Vollscan durchlaufen lassen aber ausser zwei älteren Exploits (CVE 2012 und CVE 2013) nichts gefunden.

      Muss man sich trotzdem sorgen?

      Viele Grüße
      D.T.

      Antworten
      • Hallo D.T.,

        wenn Sie den Link nicht angeklickt haben und auch nichts heruntergeladen wurde, brauchen Sie sich keine Sorgen machen. Löschen Sie die E-Mail einfach, so Sie das noch nicht getan haben.

        Viele Grüße aus der Redaktion

        Antworten
        • klasse, vielen Dank.
          P.s.:
          Tolle Seite hier, nimmt einem erstmal den Schrecken! (5 Sterne) 🙂

          Wir haben dennoch vorsorglich einen Scan vorgenommen und Passwörter für eMail, Online Shops und Banking geändert.
          Weiß man schon näheres über die Art der Malware?

          Antworten
    9. habe am 15.12. so eine e-mail bekommen , über 8700 euro !! Gott sei Dank , habe ich nichts geöffnet ! Angeschrieben wurde ich mit :(Gerd Rewerski ) Faktur#DEL5486546URMH gesendet hat eine Heidrun Busse der Firma Hedderheimer Metallwarenverbrik GmbH aus Fluorn-Winzeln 78737 Sportplatzweg 2 ID:UILI22376243KEA habe die Mail gelöscht !

      Antworten
    10. Ich habe die Rechnung von angeblich ESA Elektroschaltanlagen Grimma GmbH bekommen, Faktur # PEF9688128254TROZ.Anhang zum Glück nicht geöffnet, die reale Firma per email informiert.

      Antworten

    Schreibe einen Kommentar