Home // Sicherheit // Achtung – Trojaner in falschen Telekom-Mails

Achtung – Trojaner in falschen Telekom-Mails

Zur Zeit schwappt wieder eine Welle von Virenmails durchs Netz, die sich als die für Kunden der Deutschen Telekom gewohnte monatliche RechnungOnline-Mail tarnt. Das Perfide daran ist, dass dafür eine originale Telekom-Mail verwendet wird. Aber im Anhang lauert dann ein Trojaner!

Die Mail sieht haargenau aus wie die Telekom-Mails, alle enthaltenen Links verweisen auf die Website der Telekom (www.telekom.de/…). Selbst die Werbung für Telekom-Produkte ist angehängt, ebenso das übliche Kleingedruckte.

Selbst der Name der angehängten ZIP-Datei entspricht der Namenskonvention der Telekom. Das einzige was nicht stimmt, ist natürlich die Buchungskonto-Nummer. Aber wer guckt da in dem Moment schon so genau hin?

Gefährlich ist das vor allem auch für Nicht-Telekomkunden, die denken, dass sie fälschlicherweise eine Rechnung erhalten, aber keine Vergleichsmöglichkeit zu den echten RechnungOnline-Mails haben.

Die ZIP-Datei, die angeblich die Rechnung enthält, bedient sich wieder der uralten Masche mit dem doppelten Dateianhang. Die Datei heißt dann z.B. „2013_01rechnung-123456789.pdf.exe“. In der Standardeinstellung sind in Windows die Dateiendungen bei bekannten Dateitypen ausgeblendet, so dass man nur „2013_01rechnung-123456789.pdf“ sieht und vielleicht darauf hereinfällt.
Aus genau diesem Grund empfehle ich meinen Kunden IMMER, diese Option im Windows Explorer auszuschalten.

Hier im Überblick die Erkennungsmerkmale:

  • Der Absender der Virenmails ist „rechnungonline.@telekom.de“. Die Originalmails haben den Absender „Telekom Deutschland GmbH (NoReply)“ mit der Mailadresse „rechnungonline@telekom.de“ (ohne Punkt vor dem @).
  • Im Betreff der Virenmails steht lediglich „RechnungOnline Monat“. Der Betreff der Originalmails sieht so aus: „RechnungOnline Monat Februar 2013 (Buchungskonto: 123456789)“
  • Im Dateinamen des Viren-Anhangs ist eine willkürliche Zahlenfolge als Buchungskontonummer enthalten.

Stand 21.02.2013 11:47 Uhr erkennen diesen Trojaner bereits sehr viele (27 von 46) Virenschutzprogramme, darunter die bekanntesten, aber eben noch nicht alle.

Update 11.04.2016: Seit März 2015 schreibt die Telekom in den Betreff Ihrer E-Mails zusätzlich noch einen Teil der Anschrift (z.B. Straße und Hausnummer), damit man diese E-Mails noch besser von eventuell gefälschten E-Mails unterscheiden kann. Ausführliche Infos dazu bietet die Telekom auch auf einer eigenen Infoseite.

Posted in Sicherheit, Virenschutz and tagged as , ,

4 Comments

  • So eine E-Mail ist auch bei mir im Spam-Ordner gelandet. Unglaublich mit welchen Mitteln hier versucht wird Schaden anzurichten.

  • Meine Freundin hat heute auch so eine Rechnung bekommen.
    Gott sei dank hat der Virenscan den Trojaner erkannt.

  • Ralph Leucht

    11.11.2014 at 19:33

    Habe ebenfalls am07.11.2014 eine derartige E-Mail zur Zahlungsauforderung erhalten.
    Bin kein Telekomkunde und habe den Link nicht geöffnet.

  • Habe am Samstag, 27.02.2016, eine E-Mail mit dem Absender: Telekom Deutschland GmbH {NoReply} bekommen. Im Text will der Absender aber dann doch Geld haben und mir nichts erstatten. Da bin ich stutzig geworden. Zum anderen werden meine Zahlbeträge per LS abgebucht, so dass ich sowieso keine Zahlung getätigt hätte. Ein Anhang ist nicht beigefügt.
    Vielleicht haben ja noch andere eine solche E-Mail erhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.