'Die Gesamtrechnung werden Sie in der Datei reservierung8642.zip finden'

Das ist besonders tückisch und zugleich raffiniert, denn der Empfänger denkt sich natürlich: "Ich? Was bestellt? Für 154 Euro? Die spinnen wohl?!! Was soll das denn sein? Das guck ich mir mal an..." und schon hat man den Quatsch per Doppelklick geöffnet.

Malware-Datei-Icon

In meinem Fall heißt die Datei reservierung8642.zip und die enthaltene Malware mit dem Dateinamen buchung4921.exe hat ein Einkaufswagen-Icon, doch diese Namen können abweichen (wahrscheinlich vor allem bei den Zahlen), derzeit kursieren auch Rechnungen von Vodafone und Telekom (siehe weiter unten).

Zur Stunde, jetzt, erkennen ihn so gut wie keine Scanner. In jedem Fall gilt: Finger weg, ignorieren, löschen. Wer sein Geld haben will, soll eine Rechnung auf Papier schicken.

Die Mail sieht zum Beispiel so aus:

Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen! 
Ihre Bestellung #17822015592 wird 09.06.2014 verschickt werden.

Datum: 02.06.2014 12:07:05
Summe: €154.66  
Bezahlungstyp: Banküberweisung  
Transaktionsnummer: 34AA41ECF5B2FB 

Die Gesamtrechnung werden Sie in der Datei reservierung8642.zip finden 

Mit freundlichen Grüßen, 
Verkaufsabteilung 
Giougas Dirks
+49 7841 3925 338

'Die Gesamtrechnung werden Sie in der Datei reservierung8642.zip finden'

'Die Gesamtrechnung werden Sie in der Datei reservierung8591.zip finden '

Vodafone: 'Ihre neue Rechnung als PDF'

Hier zwei Varianten mit "Vodafone-Rechnung", leicht abweichend, aber man erkennt das Schema. (Danke an Sabine W. für den Screenshot!)

Vodafone: 'Ihre neue Rechnung als PDF'

Vodafone: 'Ihre neue Rechnung als PDF'

Telekom: 'Rechnung Online für Monat ...'

Ja, es nimmt kein Ende, hier eine Variante mit Telekom-Rechnung: (Danke an Florian S. für den Screenshot!)

Telekom: Rechnung Online (Malware-Fake)

Lockvogel: Völlig überhöhte Rechnung

Auffällig ist, dass die Rechnung drastisch höher sind als "normal", wahrscheinlich, um den Affekt auszulösen: Schock! -> Wie-kann-das-sein? -> Ich-seh-mir-das-mal-an -> Doppelklick.

Daher gilt wie stets: Keine Panik! Ruhe bewahren. Und den Quatsch löschen.

Soll man dem Absender schreiben?

Nein. Der scheinbare Absender (kann fallweise anders lauten) ist unschuldig, sein E-Mail-Absender wurde gefälscht. Es hilft nichts, ihm zu schreiben, er sei infiziert - er ist es nicht. Er hat mit alledem gar nichts zu tun. Und vielleicht haben andere Mails "von Ihnen" erhalten.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau ’normaler Nutzer‘ und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht’s um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

6 Antworten

  1. Dana1220 sagt:

    Das habe ich heute erhalten

    Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen!
    Ihre Bestellung #93624044340 wird 04.06.2014 verschickt werden.

    Datum: 02.06.2014 15:08:38
    Summe: €180.26
    Bezahlungstyp: Kreditkarte
    Transaktionsnummer: 91F74DB0634D07

    Die Gesamtrechnung werden Sie in der Datei reservierung3747.zip finden

    Mit freundlichen Grüßen,
    Verkaufsabteilung
    Gudmundur Hampel
    +497311793422

  2. al sagt:

    Ich finde der Rat dem absender nicht zuschreiben falsch, auch ich erhalte solche Sachen und Banken sogar auf meine CH Mail.

    Ich aber Informiere so den vermeintlichen Absender Post oder Banken über die Hauptseite Kundenkontakt und Informiere das was herumgeistert, auch mache ich Meldung an die Onlinebehörden je nach dem in CH oder D.

    • Ich rede nur von den scheinbaren Absendern im privaten Bereich; denn die haben gar nichts mit der fraglichen Mail zu tun, müssen Ihre Mail nur zwangsläufig als weitere Verwirrung empfinden (nicht wenige Mitmenschen werden in solchen Hinweis-Mails ja auch beleidigend, was ich hiermit nicht unterstellt haben möchte).

      Banken und Behörden sind ein ganz anderes Blatt: Können Sie denn von positiven Effekten berichten, a) bei den angeschriebenen Banken b) bei den angeschriebenen (welche kann man da anschreiben?) Onlinebehörden?

  3. Jochen Wingerter sagt:

    auch "in meinem Namen" wird folgender Text versendet :-(

    Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen! Ihre Bestellung #82115493325 wird 06-06-2014 verschickt werden.Datum: 02-06-2014 16:39:18Summe: €184.16 Bezahlungstyp: Banküberweisung Transaktionsnummer: 8E9FC33F59B5E4 Die Gesamtrechnung werden Sie in der Datei auftrag8651.zip finden Mit freundlichen Grüßen, Verkaufsabteilung Karolina Drees+496413408792