Trojaner Gefälschte Telekom-Rechnung installiert Schadsoftware

Wer dieser Tage per E-Mail eine Rechnung der Telekom erhält, sollte Vorsicht walten lassen: Es könnte sich um eine Fälschung handeln, die den Rechner mit einem Spionageprogramm infiziert.

Die E-Mail sieht täuschend echt aus: "Telekom GmbH Online_Rechnung. 042012" lautet der Betreff, in der Nachricht selbst finden sich keine Rechtschreibfehler, am Ende grüßt wie jedes Mal der Leiter des Kundenservice.

Telekom-Logo (Symbolbild): Falsche April-Rechnung installiert Trojaner auf dem Rechner.

(Foto: Bloomberg)

Doch das pdf-Dokument, das im Anhang zu finden ist, enthält nicht etwa die Einzelposten der April-Rechnung, sondern auf das Betriebssystem Windows zielende Schadsoftware, die sich auf dem Rechner des Benutzers breitmacht.

Nach einer Analyse des Online-Dienstes heise.de installiert sich ein Trojaner, der eine ältere Sicherheitslücke ausnutzt, um den Computer zum Teil eines Botnetzes ferngesteuerter Rechner machen zu können und das Adressbuch auszulesen.

Im Netz berichten inzwischen einige Nutzer, eine solche Rechnung erhalten zu haben. Laut der Malware-Analyseplattform Virustotal.com erkennen derzeit nur zehn Virenscanner, dass das pdf-Dokument infiziert ist. Bei den nachgeladenen Programmen schlägt laut heise.de nur ein einziges Virenprogramm Alarm.

Empfänger der E-Mail können allerdings an einigen Punkten sehen, ob es sich um eine gefälschte oder die echte Telekom-Rechnung handelt. Diese haben heise.de und der Online-Dienst Main-Netz.de zusammengetragen.

[] Statt mit "Sehr geehrter Herr/ sehr geehrte Frau xy" oder "Sehr geehrter Kunde/sehr geehrte Kundin" heißt es im Anschreiben formlos "Sehr geehrte Damen und Herren". Allerdings berichten Nutzer auch davon, dass sie mit ihrem richtigen Namen angeschrieben wurden.

[] In der Original-Mail findet sich ein Absatz, der in der Kopie fehlt. Der lautet "Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular."

[] Die Mail stammt nicht von rechnungonline@telekom.de, sondern von der Adresse kunden1telekom.de.

[] Das pdf ist mit 19,3 Kilobyte deutlich kleiner als eine herkömmliche Rechnung, die etwa 200 Kilobyte groß ist.

[] Der Betreff "Rechnung042012" entspricht nicht dem der regulären Online-Rechnung. Dort ist der Rechnungsnummer die Kundennummer angehängt.

[] Der in der Mail genannte Rechnungsbetrag liegt bei 110,27 Euro. Dies soll dazu dienen, dass die Kunden das pdf öffnen, um sich über die Gründe für den hohen Betrag zu informieren.

[] Die falsche Rechnung wird willkürlich an Adressen verschickt - Kunden sollten prüfen, ob sie das betroffene E-Mail-Konto überhaupt bei der Telekom angegeben haben.

Um sich vor die Ausnutzung von pdf-Sicherheitslücken zu schützen, sollten Nutzer die neueste Version des Acrobat-Readers installiert haben, in der die Lücke bereits behoben ist, oder eine Alternativsoftware verwenden. Da anzunehmen ist, dass die Virenscanner das Trojaner-Dokument in den kommenden Tagen erkennen dürften, sollte zudem die Anti-Viren-Software stets auf dem neuesten Stand sein. E-Mail-Anhänge sollen generell nicht ohne weiteres geöffnet werden.