Phishing Alarm! Online Download Service AG

OK, das ist nicht lustig. Nach gefühlten 20 Stunden Arbeit, will ich noch schnell mal eben meine Emails checken und was müssen meine übermüdeten Augen sehen? Abo-Rechnug-Zahlungsaufforderungs-Bullshit. Na dann mal los.

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Das ist die Mail:

From: "Online Download Service AG" <beate-werner@onlinehome.de>
To: "Hugo" <hu-goes-into-the-forrest@non.sense>
Subject: Service Online Download 20.05.2014 Abo Paket Abrechnung für Hugo

<html>
<body>
<p><strong>Sehr geehrter Vertragsnehmer Hugo,</strong></p>
<p>wir begrüßen Sie als neuen Kunden und bedanken uns bei Ihnen für 
Ihr Vertrauen. Wir freuen uns sehr, dass Sie sich für „Online Download 
Service AG“ entschieden haben. Wir wünschen Ihnen weiterhin gute Unterhaltung
auf unserer Plattform.<br>
 <br>
Wir weisen Sie freundlich darauf hin, dass durch die Bestätigung der 
AGBs von Online Download Service AG ein rechtskräftiger Vertrag 
abgeschlossen wurde. Die Rechnung ist innerhalb von 7 Tagen zu begleichen. 
<strong>Im Anhang finden Sie nochmal die Kostenaufstellung mit unserer 
Bankverbindung. Sollten Sie unser Angebot nicht annehmen, können Sie 
bequem innerhalb von 2 Wochen mit Hilfe des im Anhang erhaltenem 
Schreiben den Vertrag stornieren.</strong><br>
<br>
<strong>Die 30 tägige Gebühr beträgt 39,95 €. Die Laufzeit Ihres ABOs 
beträgt 6 Monate und kann jeweils zum Monatsende gekündigt werden.</strong></p>
<p>Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 
Tagen erhalten, werden wir die Gebühren des Mahnverfahrens und 
Verzugszinsen Ihnen in Rechnung stellen müssen.</p>
<p>Mit freundlichen Grüßen.</p>
<p><em>Letspay Office GmbH und Online Download Service AG<br>
 Emil Weigel</em></p>
</body>
</html>

+ Anhang: Abo-Rechnung für Wenauchimmer vom 20.05.2014.zip

Erster Eindruck

  • "<html><body>"... na super, eine mies formatierte HTML Email, wen wollen die beeindrucken?
  • "Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform."... wieso weiterhin? Hab ich was verpasst? Und zudem: Welche Plattform?
  • "Wir weisen Sie freundlich darauf hin"... Sie mit Ihrem gesamten Hab und Gut bürgen und bla blupp.. jaja...
  • "Rechnung ist innerhalb von 7 Tagen zu begleichen..." Klar, sofern ich nicht von meinem Widerrufsrecht gebrauch mache.
  • "...nicht annehmen, können Sie bequem innerhalb von 2 Wochen ... stornieren."... Ich soll also wieder in 7 Tagen löhnen, darf aber bis zu 14 Tagen warten bis ich mich entschieden hab? Back-To-Future, oder was?
  • "Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 Tagen..."... Man, wiederhol die Grundschule! Hast wohl zu viel Mathe-Stunden verpasst... Hallo? Ich hab 14 Tage Widerrufsrecht. Punkt.
  • "...werden wir die Gebühren des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen."... Ja, ich fühl mich auch ganz kuschelig wohl bei eurem Verein.
  • "Mit freundlichen Grüßen."... Punkt.
  • "Letspay ... GmbH"... Ist ein Scherz, oder?

Sehr vertrauenserweckend ist der Text ja nicht gerade, vor allem ist er bereits anderen Spam-Mails stilistisch ähnlich. Schmalzig süß und freundlich fängt der Brief an und droht letztendlich mit ahndenden Maßnahmen bei Säumnis der Zahlung.

Internet-Check

Der erste Check geht eigentlich fast automatisch gegen Google. Allein im ersten Satz meint Google dazu: Trojaner, Betrugsversuch

Was noch so drin ist

Wenn die Email nicht zugestellt werden kann ist ein Email-Rückkanal eingeplant. So kann man auf dem Account des Return-Path alle faulen Emails, die nicht zugestellt werden können ausmisten.

Return-Path: beate-werner@onlinehome.de

Woher kommt denn die Email?

Received: from mout.kundenserver.de ([212.227.17.13])... by mx-ha.gmx.net
Received: from kuhn-desktop (p54884334.dip0.t-ipconnect.de [84.136.67.52])
	by mrelayeu.kundenserver.de (node=mreue101) with ESMTP (Nemesis)

Oha, heute mal einer aus eigenem Lande... mal sehen.

> whois kundenserver.de
...
Name: Hostmaster EINSUNDEINS
Organisation: 1&1 Internet AG
Address: Brauerstr. 48
PostalCode: 76135
City: Karlsruhe

Ohje, ohje... was macht denn 1&1 da?

> whois t-ipconnect.de
...
Name: DNS Admin
Organisation: Deutsche Telekom AG
Address: T-Online Allee 1
PostalCode: D-64295
City: Darmstadt

Oh oh oh... Die Telekom mischt mit. Was da wohl abgeht? Egal.

Viel interessanter als der Emailheader ist aber der Anhang... Mal sehen, was drin ist.

Obacht beim Öffnen von ZIP Anhängen per Doppelklick, hier kann sich Schadsoftware getarnt als gepacktes Archiv verstecken. Unter Windows ist dies leider allzu einfach. Wenn die Datei schon geöffnet werden muss, dann bitte mit einem Drittanbieter-Tool, oder noch besser unter einem anderen Betriebsystem, wie Linux.... am Besten aber die Finger weglassen und die Datei löschen!

In einem für .exe und .com ungefährlichem Bereich riskiere ich mal einen Blick in die Datei.

> unzip -l Abo-Rechnung\ für\ Hugo\ vom\ 20.05.2014.zip 
Archive:  Abo-Rechnung für Hugo vom 20.05.2014.zip
  Length     Date   Time    Name
 --------    ----   ----    ----
	45804  05-21-14 17:32   Rechnung f++r Abo-Paket f++r Hugo 20.05.2014.zip
 --------                   -------
	45804                   1 file

Zunächst ist dort nichts Wildes drin, ausser eine andere ZIP Datei, mit ähnlichem Dateinamen. Mal weitergraben.

> unzip Abo-Rechnung\ für\ Hugo\ vom\ 20.05.2014.zip

Nach dem Entpacken wird wiedermal rein gelurt.

> unzip -l Rechnung\ f++r\ Abo-Paket\ f++r\ Hugo\ 20.05.2014.zip 
Archive:  Rechnung f++r Abo-Paket f++r Hugo 20.05.2014.zip
  Length     Date   Time    Name
 --------    ----   ----    ----
	45568  05-21-14 17:32   Hugo Ihre Online Rechnung von Online Download Service AG.com
 --------                   -------
	45568                   1 file

Aha noch eine Datei, diesmal eine .com Commando Datei... (oder vielleicht doch ein Link?)

> unzip Rechnung\ f++r\ Abo-Paket\ f++r\ Hugo\ 20.05.2014.zip

Ok, die Hugo Ihre Online Rechnung von Online Download Service AG.com Datei kann ich nun endlich mal inhaltlich unter die Lupe nehmen.

> less Hugo\ Ihre\ Online\ Rechnung\ von\ Online\ Download\ Service\ AG.com

Wie für Maschinen-Code immer gilt: er ist schwer bis gar nicht zu lesen. Versuchen wir dennoch einiges zu entdecken.

Auffälliger Inhalt:

  • "Jpg file corrupted!" steht da im klartext. Seltsame Fehlermeldung für eine Rechnung.
  • Jede Menge Chinesischer zeihen drin - kann aber auch am Font des Terminals liegen.
  • Am Ende der Datei befinden sich einige Methoden-Namen, vermutlich in den ebenso aufgelisteten .dll Dynamic Link Libraries, wie kernel32.dll, user32.dll. gdi32.dll, ntdll.dll. Klingt sehr systemnahe und vermutlich böse... für eine Rechnung...

Online-Analyse

Was sagt denn virustotal.com zu dem Thema?

6 von 53 Virenscannern weisen auf einen Trojaner bzw. Inspector hin.

Im Abschnitt "Behavioural information" sieht man, dass die svchost.exe des Systems aufgerufen wird. Es wird also versucht einen Dienst einzurichten, der vermutlich nicht gesund ist für's System.

Fazit

Jungs, das wird nichts mit der Kohle. Hiermit mache ich von meinem Schredderrecht gebrauch.

Löschen! Mail -> Mülleimer -> Mülleimer leeren

Copyright ©   2009-2021 Damian Thater Impressum Datenschutzerklärung