PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Vorsicht, gefakte Online-Rechnung!!



xray12
26.01.2005, 17:34
Folgendes Meisterwerk erhielt ich heute, es wird immer besser.
Bloß nicht die Datei öffnen!
Die Telekom hat schon die Staatsanwaltschaft eingeschaltet:
Betreff: Rechnung Online Mo nat Februar 2
Von: <Rechnung-Online [at] t-com.net> ins Adressbuch
An: <xxxxxxx>
Datum: 26.01.05 xx:xx:xx üblicher Header
Betreff: Rechnung Online Mo nat Februar 2
Von: <Rechnung-Online [at] t-com.net> ins Adressbuch 26.01.05 02:56

Received: from [66.235.192.134] (helo=host128.ipowerweb.com)by mx22.web.de with smtp (WEB.DE 4.103 #192)ID: [ID filtered]
Anlagen (zip getarnte exe)
---------------------------------------------------------------------
Viele Grüße
http://img.homepagemodules.de/spook.gif

doc33
26.01.2005, 21:48
Das ist leider nicht neu, genau dasselbe gab es schon für November und Janaur
http://210112.antispam.de/t506047f117954...ungskonto_.html (http://210112.antispam.de/t506047f11795469_Trojaner_Rechnung_Online_Monat_November_Buchungskonto_.html)
http://210112.antispam.de/t506451f117954...at_Januar_.html (http://210112.antispam.de/t506451f11795469_rechnung_Online_Monat_Januar_.html)
Zählt zum Phishing und Exploit Bereich. Da das nun schon solange läuft vermute ich das es noch eine Weile dauern wird bevor der Verursacher erwischt wird http://img.homepagemodules.de/frown.gif

Fidul
26.01.2005, 22:12
Ich verschiebe das dann mal.
--
Wir kriegen euch alle!

doc33
29.01.2005, 10:58
Jetzt hat es eine meiner web.de Adressen auch getroffen, Anhang ist eine Datei namens 1.zip. Habe die mal runtergeladen und mit Norton überprüft der findet aber leider nichts, öffnen tue ich die Datei dann aber besser doch nicht.
Abgekippt wurde das ganze über Korea, da schenk ich mir doch mal gleich das abuse...
Received: from [61.107.196.226] (helo=61.107.196.226)
by mx24.web.de with smtp (WEB.DE 4.103 #192)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sat, 29 Jan 2005 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Sat, 29 Jan 2005 xx:xx:xx +0000
From: <info [at] telekom.de>
Subject: Rechnung
To: <poor [at] spamvictim.tld>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------A96D9019BB549C"
Sender: info [at] telekom.de

Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Februar 2005 beträgt: 269,21 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen
beauftragt - die Einzelverbindungsübersicht.
Nutzen Sie auch unter http://www.t-com.de/rechnung die vielfältigen Möglichkeiten von
Rechnung Online, wie z.B. Sortier- und Auswertungsfunktionen.
=============================
RECHNUNG ONLINE - TIPP DES MONATS
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
http://www.t-com.de/aktuell
Auskunft per SMS
Einfach Anfrage per SMS an die 11833* - Die Antwort kommt sekundenschnell zurück.
11833* - Wir sind die Auskunft.
*pro SMS-Abfrage 99 Cent aus den dt. Mobilfunknetzen, 89 Cent aus dem Festnetz von
T-Com.
Pro Anfrage per Telefonanruf einmalig 20 Cent zzgl. 99 Cent/Min.
=============================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter
http://www.t-com.de/rechnung (oben links) auf "Kontakt".
Mit freundlichen Grüßen
Ihre T-Com
----------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter
http://www.t-com.de/aktuell-agb.
Zum Öffnen der PDF-Dateien verwenden Sie bitte den Adobe Acrobat Reader ab Version
5.0. Ist dieser auf Ihrem PC noch nicht installiert, können Sie die aktuelle
Version unter http://www.t-com.de/pdf kostenlos herunterladen.

webeinspunktnull
29.01.2005, 18:37
erschreckend wie viel unbedarfte da wohl drauf reinfallen

Return-Path: <Rechnung-Online [at] t-com.net>
Delivery-Date: Sat, 29 Jan 2005 xx:xx:xx +0100
Received: from [66.235.199.151] (helo=host175.ipowerweb.com)
by mxeu6.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from qnicnemz (66.145.95.71)
by host175.ipowerweb.com; Sat, 29 Jan 2005 xx:xx:xx -0800
Date: Sat, 29 Jan 2005 xx:xx:xx -0800
From: <Rechnung-Online [at] t-com.net>
X-Mailer: The Bat! (v2.01)
Reply-To: <Rechnung-Online [at] t-com.net>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <>
Subject: =?koi8-r?B?UmVjaG51bmc=?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------71BC47F149C"
Envelope-To:
X-SpamScore: 0.339
tests= NO_REAL_NAME
------------71BC47F149C
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
--
If Windows is the Solution - What was the Problem?

doc33
29.01.2005, 23:17
Habe dieselbe Mail jetzt auch noch auf eine andere Web.de Adresse bekommen, inzwischen ist aber wohl raus was im Anhang drin ist.
Hinweis:
Der Anhang "1.zip" dieser Mail war mit dem Virus Trojan-Downloader.Win32.Vidlo.h infiziert.
Der WEB.DE E-Mail-Virenschutz hat den Anhang gelöscht, der Inhalt der E-Mail sowie eventuelle weitere Anhänge wurden nicht verändert.
Received: from [221.195.112.189] (helo=221.194.156.151)
by mx28.web.de with smtp (WEB.DE 4.103 #192)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sat, 29 Jan 2005 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Sat, 29 Jan 2005 xx:xx:xx +0000
From: <Rechnung-Online [at] t-com.net>
Subject:[Virus entfernt] Rechnung Online Monat Februar 2005 (Buchungskonto: "2230")
To: <poor [at] spamvictim.tld>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------A96D9019BB549C"
Sender: Rechnung-Online [at] t-com.net

webeinspunktnull
11.05.2005, 11:26
nebst niedlichem attachement
Return-Path: <info [at] telekom.de>
Delivery-Date: Tue, 10 May 2005 xx:xx:xx +0200
Received: from [66.235.192.134] (helo=host128.ipowerweb.com)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from drdfsxdz (119.65.194.112)
by host128.ipowerweb.com; Mon, 9 May 2005 xx:xx:xx -0700
Date: Mon, 9 May 2005 xx:xx:xx -0700
From: <info [at] telekom.de>
X-Mailer: The Bat! (v2.01)
Reply-To: <info [at] telekom.de>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <>
Subject: =?koi8-r?B?d3d3LnRlbGVrb20uZGUvcmVj?=
=?koi8-r?B?aG51bmc=?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------209B4F341AC"
Envelope-To:
------------209B4F341AC
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Sehr geehrte Kundin, sehr geehrter Kunde,
Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und -soweit von Ihnen beauftragt- die
Einzelverbindungs&Oslash;bersicht.
Nutzen Sie auch unter http://www.t-com.de die vielfÄltigen M&Atilde;glichkeiten von Rechnung Online, wie z.B. Sortierungs- und
Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter "Hilfe/FAQ" auch n&Oslash;tzliche Tipps zur Nutzung von
Rechnung Online.
Mit freundlichen Gr&Oslash;&ntilde;en
Ihre Deutsche Telekom
------------209B4F341AC
Content-Type: APPLICATION/OCTET-STREAM; name="=?koi8-r?B?UmVjaG51bmcucGRmLmV4ZQ==?="
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="=?koi8-r?B?UmVjaG51bmcucGRmLmV4ZQ==?="
--
If Windows is the Solution - What was the Problem?

Raencker
12.05.2005, 16:17
auch bei mir eingetroffen:


Return-Path: <**************>
Delivery-Date: Thu, 12 May 2005 xx:xx:xx +0200
Received: from [66.235.192.134] (helo=host128.ipowerweb.com)
by mxeu2.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from lvh (216.123.10.107)
by host128.ipowerweb.com; Thu, 12 May 2005 xx:xx:xx -0700
Message-ID: [ID filtered]
Reply-To: <viktor-hense [at] gmx.de>
From: <**************>
To: <*************************>
Subject: Sehr geehrter Kunde
Date: Thu, 12 May 2005 xx:xx:xx -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0029_01C44BD2.2CCAB19E"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Envelope-To: *************************--

Sehr geehrte Kundin, sehr geehrter Kunde,
Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und -soweit von Ihnen beauftragt- die Einzelverbindungsübersicht.
Iht persönliches Passwort lautet: Apfel

Nutzen Sie auch unter http://www.t-com.de die vielfältigen Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter "Hilfe/FAQ" auch nützliche Tipps zur Nutzung von Rechnung Online.
Mit freundlichen Grüßen
Ihre Deutsche Telekom


Content-Type: application/x-zip-compressed;
name="R.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="R.zip"

DocSnyder
12.05.2005, 16:34
Received: from [66.235.192.134] (helo=host128.ipowerweb.com)
Den kennen wir doch. Kommt von dort jemals etwas anderes als Trojaner- und Phishing-Müll? Wohl kaum.
# route add -host 66.235.192.134 reject
[x] DNSBL ergänzt.
/.
DocSnyder.

--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

Raencker
16.05.2005, 18:42
... und wieder einmal


Return-Path: <***************>
Delivery-Date: Mon, 16 May 2005 xx:xx:xx +0200
Received: from [66.235.192.134] (helo=host128.ipowerweb.com)
by mxeu2.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from detfiim (46.185.185.187)
by host128.ipowerweb.com; Mon, 16 May 2005 xx:xx:xx -0700
Date: Mon, 16 May 2005 xx:xx:xx -0700
From: <***************>
X-Mailer: The Bat! (v2.01)
Reply-To: <***************>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <*************************>
Subject: Rechnung 2005
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------2D4C2C50A4F"
Envelope-To: *************************--

Sehr geehrte Kundin, sehr geehrter Kunde,

die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 296,02 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und -soweit von Ihnen beauftragt- die
Einzelverbindungsübersicht.

Nutzen Sie auch unter http://www.t-com.de/rechnung-online die vielfältigen Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und
Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter "Hilfe/FAQ" auch nützliche Tipps zur Nutzung von
Rechnung Online.
Mit freundlichen Grüßen
Ihre Deutsche Telekom


Content-Type: APPLICATION/OCTET-STREAM; name="Rechnung.pdf.exe"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="Rechnung.pdf.exe"

kalau
30.05.2005, 23:28
Das Tierchen ist schon wieder unterwegs... Aber immerhin, die Programmierer haben sich richtig Mühe gegeben.
Die angehängte EXE ist mit "UPX" komprimiert, das hält sie schon schlank.
Beim Start versucht das Teil die cnt.php auf wachholtz.com anzuschubsen, und danach die Datei XX.EXE von folgenden Servern nachzuladen, was zumindest bei der 2. URL noch funktioniert:
- w w w . snscrew.com/??????/xx.exe
- w w w . enchanted-images.com/??????/xx.exe
- w w w . wacholtz.com/??????/xx.exe
[ich habe mal die Verzeichnisse ein wenig unkenntlich gemacht, daß sich keiner durch stupides Draufklicken noch was einfängt und ich bin dann dran Schuld... :)]
Diese EXE ist wiederum mit "FSG" gepackt und wird anscheinend wirklich von den Virenscannern nicht weiter verdächtigt...
Was dieses Tierchen genau macht konnte ich nicht genau testen, auf jeden Fall hängt es sich wohl aktiv in die Prozessliste ein, müsste es aber noch genauer unter die Lupe nehmen...
Jedenfalls ist wie immer Vorsicht angesagt, und vielleicht mal bei allen Bekannten nochmal auf die Gefahren mit dieser leidlichen Dateiendungs-Ausblenderei hinweisen...

DocSnyder
30.05.2005, 23:35
Kommt der aktuelle Run auch wieder von host128.ipowerweb.com? Wenn dies so weitergeht, wäre fast zu empfehlen, ganz Ipowerweb beim DE-CIX zu nullrouten oder dies Ipowerweb zumindest anzudrohen.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

Investi
04.07.2005, 11:48
Auch heute wieder mal über IPowerweb eingetrudelt:

Return-Path: <Rechnung-Online @t-com.net>
Delivery-Date: Mon, 04 Jul 2005 xx:xx:xx +0200
Received: from [66.235.192.134] (helo=host128.ipowerweb.com)
by mxeu7.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from hgve (249.29.61.115)
by host128.ipowerweb.com; Sun, 3 Jul 2005 xx:xx:xx -0700
Message-ID: [ID filtered]
Reply-To: <Rechnung-Online @t-com.net>
From: <Rechnung-Online @t-com.net>
To: <abuse [at] ....de>
Subject: [SPAM?]: Telekom
Date: Sun, 3 Jul 2005 xx:xx:xx -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_004C_01C40673.A15B41E9"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Envelope-To: info [at] ....de
X-SpamScore: 2.539
tests= MSGID_OUTLOOK_INVALID: [ID filtered]


Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 610,12 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.
Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter http://www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
http://www.t-com.de/aktuell.
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter http://www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen
Ihre T-Com
------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter http://www.t-com.de/aktuell-agb.
Im Anhang eine Datei mit dem unauffälligen Namen Rechnung.pdf.exe http://img.homepagemodules.de/death.gif

Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)

Raencker
04.07.2005, 15:30
Scheinbar über Korea versendet:


<span style="font-size:9pt">Return-Path: <Rechnung-Online [at] t-com.net>
Delivery-Date: Mon, 04 Jul 2005 xx:xx:xx +0200
Received: from [221.143.220.186] (helo=221.143.220.186)
by mxeu2.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Mon, 4 Jul 2005 xx:xx:xx +0000
From: "Deutsche Telekom AG" <Rechnung-Online [at] t-com.net>
Subject: Rechnung Online Monat Juli 2005 (68743322)
To: <***********************>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------11A1391A8148E6F0A"
Envelope-To: ***********************</span>
Bei mir sind`s 830 Euro, ansonsten inhaltlich und anhänglich gleich.
Thomas


--
Ich bin stolzer Nichtbesitzer eines Terrorknochens.
Ich leiste mir den Luxus, nicht immer und überall für jedermann erreichbar zu sein.

Angidome
06.07.2005, 00:57
Habe heute nachmittag solche Rechnung erhalten. D. h. meine Frau erhielt sie (Höhe EUR 830,00) und rief mich völlig aufgelöst in der Arbeit an. Nur durch langes, langes Zureden hab ich sie wieder auf den Boden der Tatsachen gebracht.
Trotzdem hat uns das dermaßen aufgewühlt, dass ich gleich morgen bei den hiesigen Polizeibehörden Strafanzeige gegen Unbekannt stellen werde.
Hat mein Vorhaben bereits jemand anders vollzogen? Ablauf?
Freue mich auf Eure Mails!
Gruß
gez. Dominik

Raencker
06.07.2005, 07:32
Gegen eine Anzeige ist nicht einzuwenden, ich habe aber erhebliche Zweifel ob dies zum Erfolg führt. Chancen sehe ich eigentlich nur, wenn die Mail über dien dt. Rechner (Zombie) gelaufen ist.
Mein Tipp für die Zukunft:
- Bezieht man die T-Com-Rechnung Online?
- Passt das Eintreffen einer solchen Mail zum regelmäßigen Ausstellungsdatum der T-Com-Rechnung?
- Ist die im Betreff angegebene Buchungskontonummer korrekt? <span style="font-size:8pt">(hier haben die Banausen offensichtlich dazu gelernt)</span>
Wird eine der Fragen hier mit Nein beantwortet, sollte die Email gelöscht werden. Keinesfalls sollte der Anhang geöffnet werden.
Um Verwirrung zu vermeiden, sollte man den Versand von "Rechnung-Online" und ggf. auf die Benachrichtigung deaktivieren. Die Rechnungen stehen Online auch zum Download zur Verfügung.
Thomas


--
Ich bin stolzer Nichtbesitzer eines Terrorknochens.
Ich leiste mir den Luxus, nicht immer und überall für jedermann erreichbar zu sein.

Investi
06.07.2005, 09:29
Und heute wieder. Diesmal mit blankem Textfeld, jedoch einer HTML-Datei im Anhang und einer pdf.exe

Return-Path: <Rechnung-Online [at] t-com.net>
Delivery-Date: Wed, 06 Jul 2005 xx:xx:xx +0200
Received: from [67.33.161.45] (helo=adsl-33-161-45.asm.bellsouth.net)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Wed, 6 Jul 2005 xx:xx:xx +0000
From: "Deutsche Telekom AG" <Rechnung-Online [at] t-com.net>
Subject: [SPAM?]: Rechnung Online (78456787)
To: <abuse [at] ....de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------11F431A234CFEB85"
X-RBL-Warning: warn.bl.kundenserver.de says: This mail has been received from a dialup host.
Envelope-To: info [at] ....de
X-SpamScore: 2.904
tests= DATE_IN_FUTURE_03_06


Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)

blattlaus
06.07.2005, 10:36
Am besten Rechnungen von der Telekom nur schicken lassen. Viel zu umständlich der Ausdruck. Bringt doch nichts.