WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Betrugsversuch mit falscher Telkom-Rechnung (http://www.wcm.at/forum/showthread.php?t=247741)

Quintus14 04.06.2014 17:43
Betrugsversuch mit falscher Telkom-Rechnung
 
Siehe hier: link. Ich bekam heute auf den Dienstaccount so eine Rechnung (wurde gleich entsorgt)...

(Mist, kann den Tippfehler im Titel nicht mehr ausbessern....).

zonediver 04.06.2014 18:18
Telekom Deutschland? Wen interessiert das in Österreich??? ;)

KrisKros 05.06.2014 01:13
Habe ich gestern auch bekommen 367€ + wollten sie! Aber wie zonediver richtig schreibt- was brauch ich die DE. Telekom?->Müll!

Christoph 05.06.2014 08:53
Ein Hinweis/Warnung für User, auch solche aus Deutschland, die auf sowas reinfallen könnten!!

Autrob 05.06.2014 09:49
und ich bekomm sie neuerdings von drei. täuschend echt, aber der anhang ist eine word datei und keine pdf, so wie sonst. auch das datum ist zu früh.
als absender geben sie sogar rechnung@drei.at an, im header selbst hab ich nichts auffälliges gefunden, aber er unterscheidet sich doch von einer richtigen rechnung von drei.

CaptainSangria 05.06.2014 11:48
seit 2-3 Tagen habe ich das gleiche Spiel mit gefälschten Mails von willhaben.at
am ersten tag hattens noch einen tippfehler: wilhaben.at
aber seit gestern heißt es schon richtig: support@willhaben.at (als Absender).

Hawi 05.06.2014 11:56
@autrob
Nichts Auffälliges im Header?
Zitat:
Return-Path: rechnung@drei.at
Received: from usr-198-99-57-176.skynetlink.com ([176.57.99.198]) by mx-ha.gmx.net (mxgmx008) with ESMTP (Nemesis) id 0Labh1-1WOW6t1ItT-00mG8E for <xxx@gmx.at>; Mon, 02 Jun 2014

Autrob 05.06.2014 13:55
Zitat:
Zitat von Hawi (Beitrag 2496995)
@autrob
Nichts Auffälliges im Header?
ich reformuliere.
das was du gepostet hast ist für mich näher an suaheli als daß ich daraus ableiten könnte, daß es gefälscht ist.

ich konnte nur den vergleich zwischen einem original mail und dem gefälschten mail anstellen, und das sah anders aus.
aber eben die "text" passagen kann ich nicht interpretieren.

Hawi 05.06.2014 15:21
Der Absender ist gefaked, was zum Ansprechen des Spam-Filters führen sollte. Man sieht das, wenn man sich den Header im Originalzustand ansieht.

Autrob 05.06.2014 16:20
wenn ich mir den vergleich erlauben darf zwischen dem original und dem fake

original
[COLOR=#000080 ][/color][COLOR=#000080 ]Received:[/color][COLOR=#000080 ] from mxddmndb.t-ddm.com ([195.242.67.88]) by mx-ha.gmx.net (mxgmx110) with ESMTP (Nemesis) id 0M9foR-1VvvjT2QaV-00Cvpx fo


fake
[/color][COLOR=#000080 ][/color][COLOR=#000080 ]Received:[/color][COLOR=#000080 ] from usr-198-99-57-176.skynetlink.com ([176.57.99.198]) by mx-ha.gmx.net (mxgmx006) with ESMTP (Nemesis) id 0MbbnR-1X88nl0u9t-00J3Ng fo

dann frag ich mich gerade, wie ich das unterscheiden soll.

mankra 06.06.2014 13:59
Seit einigen Wochen kommen regelmässig "Rechnungen" von A1.

Schaut für "normale" PC-Anwender sicher echt aus.

Interessant ist, daß seit 2 Tagen eine Bestellbestägigung von smc.co.at, eigentlich doch eher eine Seite mit kleinem Zielpuplikum.

Christoph 06.06.2014 18:12
Auf smc.co.at gibt´s sogar einen, sehr löblichen, Hinweis darauf:

Zitat:
HINWEIS Spammail

Sehr geehrte Damen und Herren,

Wie schon bei anderen namhaften Unternehmen, sind auch wir aktuell leider Opfer eines Spam/Fishing-Angriffes.
In unserem Namen und von unserer Adresse "w.franz@smc.co.at" werden aktuell solche Mails versendet. Anscheinend wurde das Adressbuch eines Partnerunternehmens geplündert und nun missbräuchlich verwendet.

Das Merkmal dieser Emails ist in erster Linie der Betreff " Ihre Bestellung ***** vom *****".

Wir entschuldigen uns für eventuelle Unannehmlichkeiten und bitten Sie diese Mails zu ignorieren.

Mit freundlichen Grüßen
Wolfgang Franz, Geschäftsführer

Christoph 18.06.2014 21:23
Hab heute auch eine "Nachricht" von A1 bekommen; Anhang eine RTF-Datei in der man 2x auf die "Rechnungskopie" klicken sollte, hab´s natürlich nicht gemacht. ;)

"Leicht" zu erkennen daran, daß der Mailheader nicht persönlich ist sondern, ....user@...

KrisKros 19.06.2014 00:38
Heute wieder die T- Mobile rechnung der Deutschen Telekom erhalten mit Absender autodetlef.de oder so! Diesmal nur 240+ €! ;):D

Sloter 19.06.2014 12:09
Bei mir ist eine guter Fake von einem Installateurgroshandel reingekommen, die wollen nur 23.- Euro von mir :-)

Satan_666 19.06.2014 21:32
Gerade vor 1 Minute bekommen:

Zitat:
Guten Tag {mein korrekter Name},

aus Sicherheitsgründen überprüfen wir alle PayPal-Konten.
Da es in letzter Zeit immer wieder zu Übergriffen kam wo Konten missbraucht wurden,

bitten wir Sie die nachfolgenden Schritte zu beachten und durchzugehen um Sie bestmöglich vor Betrügern zu schützen.


Damit wir ihr Konto schnellstmöglich wieder Freischalten können bitten wir Sie, um Ihre Mithilfe.

Was müssen Sie tun?

Bitte klicken Sie auf "Konfliktlösungen".
Hier sehen Sie die wichtigsten Informationen

{Button Konfliktlösungen (Link auf linkcrypt.net/c)}

Wir bedanken uns für Ihre Mithilfe und Ihr Verständnis in dieser Angelegenheit.

Mit freundlichen Grüßen
Ihr PayPal -Team
Wie die Mail ausschaut? Keine Ahnung, mein Mail-Client zeigt externe Inhalte standardmäßig nicht an und bei solchen Mails will ich es auch gar nicht wissen. Landet gleich im virtuellen Papierkorb.
:cool:

Sloter 21.06.2014 00:06
Nur her mit solchen links , schau da gerne nach zwecks lernen :-)

Christoph 21.06.2014 11:23
Zu spät, hab gestern wieder zwei solcher Mails bekommen, mit dem Titel "A1 Ihre 3Rechnung", das nächste schicke ich Dir.

Sloter 21.06.2014 13:07
Zur Info, meistens finde ich dort alte .scr mit "alter" Software. Macht keinen besonders professionellen Eindruck. Da hat sich wieder einer um einen tausender ein paar mailadressen gekauft......word dürfte er/sie aber beherrschen :-)

Satan_666 10.07.2014 08:53
Liste der Anhänge anzeigen (Anzahl: 1)
Gestern wieder mal gekommen (sieh Bild) ...

Der Link führt auf eine Website pp-safeverify-card1.com :rolleyes:

Satan_666 22.07.2014 23:14
Offenbar ein unerfahrener Gauner ... :D

Zitat:
Guten Tag,
Durch das von uns entwickelte System zur Erkennung von Betrugs-versuchen was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht, war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.

Bei der letzten Überprüfung ihres Accounts sind uns ungewöhnliche Aktivitäten aufgefallen, im Bezug auf ihre hinterlegten Zahlungsmittel und ihr Zahlverhalten.
Bitte bestätigen Sie ihre hinterlegten Informationen, damit sie ihren Account wieder in vollem Umfang nutzen können.


Zur Verifizierung


Diese überprüfung ist für Sie selbstverständlich vollkommen kostenlos.

Mit freundlichen Grüssen,
Amazon.at

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.
Der Verifizierungs-Link zeigt auf amazon-austria.com - und die erkennt mein Virenscanner als Betrugsversuch und zeigt sie mir daher nicht an. Als Absende-Mailadresse ist test[at]voedimex.de angeführt.
:D :cool:

Christoph 22.07.2014 23:30
Auch ich hab heute wieder einen Fakerechnung von angeblich A1 erhalten mit einer RTF-Datei die Malware enthält.

lowrider82 22.07.2014 23:46
In der RTF-Datei ist doch keine Malware. Sicher nur ein Link zu einer Homepage, die dies verbreitet.

Christoph 22.07.2014 23:48
Danke ganz herzlich für die fachkundige Richtigstellung. :look:

enjoy2 23.07.2014 20:25
Zitat:
Zitat von lowrider82 (Beitrag 2497928)
In der RTF-Datei ist doch keine Malware. Sicher nur ein Link zu einer Homepage, die dies verbreitet.
nein, das Problem ist die RTF-Datei im Zusammenhang mit Fehlern im Officepaket
siehe auch http://www.cert.at/warnings/all/20140325.html oder http://diepresse.com/home/techscienc...ucke-in-Office
Zitat:
Beschreibung
Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke (CVE-2014-1761) in einer Komponente von Microsoft Office veröffentlicht. Die Schwachstelle wird laut Microsoft bereits in gezielten Attacken aktiv ausgenützt.

Die Schwachstelle kann dazu benutzt werden, auf den PCs von Benutzern, die ein präpariertes RTF-File öffnen oder betrachten, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen.
Es ist zu erwarten, dass entsprechende Dateien bald via zum Beispiel Spam-Mails verteilt oder auf entsprechenden Webseiten zum Download angeboten werden.

Es besteht auch der Verdacht, dass momentan an Adressen in Österreich versandte Spam-Mails mit Subjects wie "A1 Rechnung 5795377 von 24-03-14" und einem gefälschten Absender der A1 Telekom, genau diese Lücke auszunutzen versuchen.

lowrider82 23.07.2014 20:55
Und deswegen verwendet mein Bekanntenkreis Open bzw. LibreOffice. Deswegen predige ich immer, daß eine Rechnung niemals als RTF vorliegt. Aber sollte das Loch nicht seit März gestopft sein?

enjoy2 24.07.2014 21:00
Zitat:
Zitat von lowrider82 (Beitrag 2497945)
Und deswegen verwendet mein Bekanntenkreis Open bzw. LibreOffice. Deswegen predige ich immer, daß eine Rechnung niemals als RTF vorliegt. Aber sollte das Loch nicht seit März gestopft sein?
wenn alle die Updates installiert hätten ...

lowrider82 24.07.2014 21:52
Gehört dazu wie ein Virenschutz. Kein Mitleid.

Christoph 24.07.2014 22:46
Alle die hier dazu gepostet haben sind nicht Opfer solcher Betrugsversuche geworden. :D

mankra 25.07.2014 16:09
Neuester Schmäh:
Eine Rechnung von Anmeldung@ebay.at

Christoph 25.07.2014 22:44
Ah, bei Dir auch ebay?
Bei mir waren heute zwei angebliche ebay Rechnung, als RTF natürlich, im Posteingang; ab in den Kübel. ;)


Alle Zeitangaben in WEZ +2. Es ist jetzt 23:25 Uhr.

Powered by vBulletin® Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag