Aktuell kursieren E-Mails, die sich als Rechnung von 1&1 ausgeben. Die angehängte Mailware "Maze" verschlüsselt den Rechner des Opfers.
Aktuell warnt das LKA Niedersachsen, Zentrale Ansprechstelle Cybercrime, vor einer als E-Mail-Anhang getarnten, vermeintlichen Rechnung des Internetproviders 1&1 für den Monat Oktober 2019. Klickt man darauf und aktiviert zudem noch das in einer Word-Datei enthaltene Markro, wird die Ransomware Maze auf dem PC installiert und verschlüsselt den Rechner.
Fälschung nicht sofort offensichtlich
Die von Cyberkriminellen stammende E-Mail sieht auf den ersten Blick einer echten Rechnungs-E-Mail von 1&1 täuschend ähnlich. Auch beim Internet-Anbieter 1&1 hängt man die monatliche Rechnung an eine E-Mail an ihre Kunden. Sowohl das Logo, als auch das Firmendesign von Maze sind identisch. Auf den zweiten Blick allerdings gibt es Unterschiede, anhand derer sich die Fälschung erkennen lässt. Allein schon das Fehlen einiger Satzzeichen deutet auf mangelnde Professionalität hin. Zudem ist auch die Unterzeichnung nicht normgerecht. Den dritten Hinweis gibt der Anhang. Es ist eine Word-Datei. Von 1&1 kommen jedoch stets Dateien im pdf-Format.
Hier die E-Mail-Fälschung im O.-Ton.
„Sehr geehrte Damen und Herren
Heute erhalten Sie Ihre Rechnung vom 28.10.2019 Sie finden diese im Anhang als Word-Datei. Ihre Rechnung, Monat Oktober 2019
Den Betrag von 137,26 EUR buchen wir am 7.11.2019 von Ihrem Konto ab.
Ich wünsche Ihnen weiterhin viel Freude mit den Leistungen von 1&1.Danke für Ihre Aufmerksamkeit Freundliche Grube aus Montabaur“
Maze-Erpresser setzen auf Neugier
In der E-Mail setzt man darauf, dass der Empfänger unbedingt erfahren will, was es mit einem völlig überzogenen Rechnungsbetrag auf sich hat. Er wurde bewusst überteuert angegeben, um die Empfänger dazu zu verleiten, auf den Mailanhang, die Word-Datei, zu klicken. Darin verbirgt sich die Ransomware Maze. Beim Anklicken der speziellen Word-Datei öffnet sich ein Hinweis, der dazu auffordert, die Makro-Aufzeichnung zu aktivieren. Begründet wird der Schritt damit, die Word-Datei sei angeblich durch eine Verschlüsselung geschützt. Folgt der Empfänger den Anweisungen, startet er den Makro-Virus in der Word-Datei. Das geht einher mit einem Scannen der Festplatte und dem Sperren des Zugriffs auf private Dateien. In einer Lösegeldforderung machen die Erpresser bei eingehender Zahlung, Hoffnung auf eine Datenfreigabe. Eine Garantie dafür gibt es jedoch nicht.
Wer sich gar nicht erst auf ominöse E-Mailanhänge einlassen möchte, sollte sich Rechnungen besser im Kundencenter des jeweiligen Anbieters direkt herunterladen. In diesem Fall wäre es das 1&1-Control-Center, in dem die Rechnungen ebenfalls bereitstehen. Nur halt ohne Erpresser-Software von Cyberkriminellen im Schlepptau…
Foto von Maze Jackson_893, thx!
Tarnkappe.info