Warnung: Gefälschte Bahn-Buchungsbestätigungen verbreiten Virus

Eleven, führender deutscher E-Mail-Sicherheitsanbieter, warnt vor gefälschten Buchungsbestätigungen der Deutschen Bahn, die derzeit in großer Zahl per E-Mail versandt werden und einen gefährlichen Virus verbreiten. Die E-Mail hat den Absender buchungsbestaetigung@bahn.de, den die Bahn tatsächlich für Buchungsbestätigungen einsetzt. Auch die Nachricht selbst wirkt äußerst authentisch: Sie enthält Auftrags- und Kundennummer sowie einige Links, die auf die Orginalseiten der Bahn verweisen. Inhalte, Formulierungen und Links sind exakt aus echten Buchungsbestätigungen herauskopiert und erzeugen daher den Eindruck einer echten Nachricht der Bahn. Nur bei der Betreffzeile haben die Spammer einen Kopierfehler gemacht: Statt „Vielen Dank für Ihren Fahrkartenkauf“ plus Auftragsnummer in Klammern haben sie einen Betreff nach dem Muster „Ihren Fahrkartenkauf (Auftrag DX62SG)“.

Die Gefahr verbirgt sich im Anhang: Dieser ist eine ZIP-Datei, deren Dateiname den Betreff zitiert und beispielsweise „Ihren Fahrkartenkauf_SQ7OTD.zip“ lautet. Im Zip-Archiv befindet sich eine als PDF-File getarnte ausführbare Datei (.exe). Wenn der Nutzer diese anklickt, wird die Schadsoftware auf dem Rechner installiert. Bei der Malware handelt es sich um einen Trojaner, der Windows-Systeme befällt und derzeit nur von sehr wenigen Virenscannern erkannt wird. Die Welle begann am Morgen des 15. Mai 2013 und gehört zu den drei größten Virenausbruchswellen der letzten 30 Tage.

Erkannt werden können die gefälschten E-Mails an der fehlerhaften Betreffzeile und daran, dass die Auftragsnummer im Betreff nicht mit jener in der E-Mail und jener im Dateinamen des Anhangs übereinstimmt. E-Mail-Nutzern, die solche E-Mails erhalten und tatsächlich kürzlich eine Online-Buchung beider Deutschen Bahn getätigt haben, wird geraten, die E-Mail-Nachricht mit der tatsächlichen Buchungsbestätigung, die jeder Kunde unmittelbar nach getätigter Buchung erhält, oder mit den Angaben zur Buchung, die im Kundenbereich der Bahn-Website einzusehen sind (zu erreichen unter bahn.de und Klick auf „Login“) zu vergleichen. In keinem Fall sollte der Anhang geöffnet werden, da nur dann eine Infektion des Rechners stattfindet.

Die derzeitige Welle bestätigt den Trend hin zu länderspezifischen Spam- und Malware-Kampagnen, die in der jeweiligen Landessprache verfasst sind und im Zielland bekannte und populäre Marken oder Online-Dienste als Köder benutzen. Dafür spricht auch, dass das Eleven Research-Team zeitgleich E-Mails mit der gleichen Schadsoftware im Anhang und aus den gleichen Quellen entdeckt hat, die in spanischer Sprache verfasst sind (Betreff: „Mensajes multimedia (MMS)“). Diese geben vor, vom Mobilfunkanbieter Vodafone zu stammen und über den Erhalt einer MMS zu informieren. Zielgerichtete und auf Nutzer eines bestimmten Landes oder Sprachgebietes zugeschnittene Wellen sollen dem Empfänger die Legitimität der E-Mail vortäuschen und die Öffnungsrate von Spam- und Malware-E-Mails gegenüber herkömmlichen nach dem „Gießkannenprinzip“ verbreiteten Kampagnen deutlich erhöhen.

130515_Beispiel E-Mail DB

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen zum Datenschutz...

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen