Hallo zusammen,

aktuell trudeln auf verschiedenen eMail-Konten falsche Online-Rechnungen von Vodafone ein. Der Rechnungsbetrag von 86,25 Euro variiert bisher nicht. Die angehängte pdf-Datei enthält einen Exploit:
[Link nur für registrierte Mitglieder sichtbar. ]

Der Text der eMail enthält Umlautfehler und wird hier bewußt vollständig wiedergegeben, damit Opfer leichter diesen Beitrag finden:
Vodafone Online-Rechnung. ¨042012 Ihre aktuelle Online-Rechnung

Ihre aktuelle Online-Rechnung steht fur Sie bereit.
Die Gesamtsumme fur den aktuellen Abrechnungszeitraum betragt: 86,25 Euro.
Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

********************************************
Dies ist eine automatisch generierte E-Mail. ¬Â³Bitte senden
Sie keine Antworten an diese Absender-Adresse.
********************************************
Hinweise zu Ihrer Rechnung:
=> Sie konnen Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.
Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.
=> Der Rechnungsbetrag wird fruhestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.
=> Wo steht was auf Ihrer Rechnung? 嬡Alle Informationen rund um die Rechnung finden Sie unter
http://www.vodafone.de/kunden/rechnungserklaerung

-------------------------------------------

Mit freundlichen Grussen,
Ihr Vodafone Team
Vodafone D2 GmbH
Adresse: Am Seestern 3, 34506 Dusseldorf
Sitz: Dusseldorf
Eintragung im Handelsregister: Amtsgericht Dusseldorf, HRB Nr. «Â¢©Â®Â£¨¬34008
Zentrale: Am Seestern 1, 40507 Dusseldorf

Vorstand: Friedrich Joussen Vorsitzender
Jan Geldmacher, Frank Rosenberger, Dr. ÂVolker Ruloff, Michele Angelo Verna

header:
01: From - Fri May 04 xx:xx:xx 2012
02: Return-Path: <[...]@server.expertsweb.org>
03: Delivery-Date: Fri, 04 May 2012 xx:xx:xx +0200
04: Received: from server.expertsweb.org ([96.31.69.80])
05: by mx.kundenserver.de (node=mxbap2) with ESMTP (Nemesis)
06: ID: [ID filtered]
07: Received: from [...] by server.expertsweb.org with local (Exim 4.77)
08: (envelope-from <[...]@server.expertsweb.org>)
09: ID: [ID filtered]
10: for [...]; Fri, 04 May 2012 xx:xx:xx +0100
11: To: [...]
12: Subject: Vodafone Online-Rechnung. 04.2012
13: Date: Fri, 4 May 2012 1:06:44 +0700
14: From: <rechnungonline [at] vodafone.de>
15: Reply-To: rechnungonline [at] vodafone.de
16: X-Sender: <rechnungonline [at] vodafone.de>
17: X-Mailer: The Bat! (v3.10.9) Professional
18: X-Priority: 2
19: Message-ID: [ID filtered]
20: MIME-Version: 1.0
21: Content-Type: multipart/mixed; boundary="b91de63a66e5d2187e31ec62c65cc949"
22: X-AntiAbuse: This header was added to track abuse, please include it with any abuse
23: report
24: X-AntiAbuse: Primary Hostname - server.expertsweb.org
25: X-AntiAbuse: Original Domain - [...]
26: X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
27: X-AntiAbuse: Sender Address Domain - server.expertsweb.org

header:
01: From - Fri May 04 xx:xx:xx 2012
02: Return-Path: <[...]@nyame.mak-educonsult.com>
03: Delivery-Date: Fri, 04 May 2012 xx:xx:xx +0200
04: Received: from nyame.mak-educonsult.com (64-150-189-144.dedicated.codero.net
05: [64.150.189.144])
06: by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
07: ID: [ID filtered]
08: Received: from [...] by nyame.mak-educonsult.com with local (Exim 4.77)
09: (envelope-from <[...]@nyame.mak-educonsult.com>)
10: ID: [ID filtered]
11: for [...]; Thu, 03 May 2012 xx:xx:xx +0000
12: To:[...]
13: Subject: Vodafone Online-Rechnung. ¨042012
14: Date: Thu, 3 May 2012 xx:xx:xx +0700
15: From: <Onlinerechnung [at] vodafone.de>
16: Reply-To: Onlinerechnung [at] vodafone.de
17: X-Sender: <Onlinerechnung [at] vodafone.de>
18: X-Mailer: The Bat! (v3.97.2) Professional
19: X-Priority: 2
20: Message-ID: [ID filtered]
21: MIME-Version: 1.0
22: Content-Type: multipart/mixed; boundary="75decafa0c712a2ffcb538ce3cc0a22c"
23: X-AntiAbuse: This header was added to track abuse, please include it with any abuse
24: report
25: X-AntiAbuse: Primary Hostname - nyame.mak-educonsult.com
26: X-AntiAbuse: Original Domain - [...]
27: X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
28: X-AntiAbuse: Sender Address Domain - nyame.mak-educonsult.com

Vertrauen kann man eigentlich nur der obersten Received-Zeile, die eingetragenen Angaben variieren leicht, z.B. [Link nur für registrierte Mitglieder sichtbar. ] [Link nur für registrierte Mitglieder sichtbar. ]

Nebelwolf