Malware: Gefälschte Telekom-Rechnungen mit vollständigen Kundennamen

Seit Ende November 2014 gibt es eine neue Welle von E-Mails mit angehängter Malware, auf die Kunden der Telekom besonders leicht hereinfallen können. Die Mails entsprechen den Schreiben, die bereits seit Anfang November verschickt werden, mit einem wichtigen Unterschied, wie das Unternehmen am 1. Dezember 2014 bekanntgab.

Die Empfänger werden laut einer Mitteilung der Telekom "korrekt mit Vor- und Nachnamen angesprochen". Damit ist es für unvorsichtige Nutzer noch schwerer, die gefälschten Mails von echten Schreiben der Telekom zu unterscheiden. Wer dort nicht Kunde ist, sollte sich aber allein schon darüber wundern, dass ein Unternehmen, mit dem er keine Geschäftsbeziehung unterhält, ihm eine Rechnung schickt.

Woher die Mailadressen samt Klarnamen stammen, darüber kann auch die Telekom nur spekulieren. Der Konzern verweist auf die üblichen Quellen wie anderweitig gestohlene Identitäten sowie Gewinnspiele, für die sich manche Nutzer offenbar immer noch leichtfertig anmelden.

Wie die Mails genau aussehen, erklärt die Telekom im Gegensatz zu ihrer ersten Warnung zu Beginn der Malware-Welle diesmal nicht. Damals sollen die Schreiben einen Link zum Herunterladen eines als PDF getarnten Programms enthalten haben. Diesmal, so das Unternehmen, werde über die Mails "ein Trojaner verbreitet, der Passwörter fürs Online-Banking abgreifen kann". Ob das durch einen Dateianhang geschieht oder durch einen Link, gibt die Telekom nicht an. In der aktualisierten Mitteilung zu den neuen Mails ist aber von einem Download-Link die Rede. Ebenso ist dort zu lesen, dass noch unklar sei, ob es sich bei dem Trojaner um einen Client für ein Botnetz handelt.

Zeitpunkt der Mails fällt oft aus dem Rahmen

Trotz der namentlichen Ansprache gibt es aber immer noch einen Weg, eine solche Mail zu erkennen. Laut Telekom fehlt auch in den aktuellen Schreiben die Buchungsnummer, oder es ist eine falsche angegeben. Zudem könnten Kunden unter https://kundencenter.telekom.de ihre aktuelle Rechnung einsehen. "Der darin angegebene Rechnungsbetrag ist in jedem Fall richtig", betont das Unternehmen. Auch der Termin für das Eintreffen der Mails kann stutzig machen. Die Telekom verschickt Online-Rechnungen stets in einem festen Zeitraum, beispielsweise binnen ein bis drei Tagen nach Ende eines Monats. Eine Mail Mitte des Monats, so das Unternehmen, müsse sofort auffallen.

Für Kunden des Unternehmens sind die anhaltenden Rechnungsfälschungen dennoch ein Ärgernis. Es soll erst in den kommenden Monaten konkrete Abhilfe geben. Das Unternehmen meint dazu: "Die Deutsche Telekom arbeitet an Kriterien, mit deren Hilfe Nutzer eine echte Rechnung noch besser von einer Fälschung unterscheiden können. Die neuen Unterscheidungsmerkmale sollen im ersten Quartal 2015 eingeführt werden." Ob diese Merkmale zum Beispiel digitale Signaturen oder Passwörter für PDFs - welche die Telekom bei anderen Verfahren schon einsetzt - umfassen werden, ist noch nicht bekannt.

Nachtrag vom 2. Dezember 2014, 10:40 Uhr

Ein Leser von Golem.de erhielt eine solche Mail mit seinem vollständigen Namen. Darin war ein als "Telefonrechnung Telekom December 2014" beschrifteter Link enthalten, der zu der Malware führte. Mindestens in dieser Form, also ohne Dateianhang, sind also die aktuellen Mails unterwegs.

Der Link, so unser Leser weiter, führte zu einem inzwischen von dem Server gelöschten ZIP-Archiv, das eine unter Windows ausführbare Datei enthielt. Diese hat der Betroffene bei Virustotal hochgeladen, der Bericht der Online-Virenscanner ist noch einsehbar. Demnach handelt es sich um eine Malware, die unter anderem als "Emotet", "Ponik" oder "Yakes" bekannt ist.

Alle namhaften Antivirenprogramme erkennen den Schädling, teilweise schon seit Ende Oktober 2014. Einer Beschreibung von Eset zufolge versucht die Malware, weiteren Code aus dem Internet nachzuladen und auch Kontakt zu einem Command-and-Control-Server aufzunehmen. Es scheint sich also tatsächlich um den Versuch zu handeln, noch mehr Rechner unter die Kontrolle eines Botnetzes zu bekommen.