Zum Seiteninhalt
News

Falsche Verbund-Rechnung verbreitet Schadsoftware

Gepostet am 25.08.2016 von Watchlist Internet

Im E-Mailpostfach findet sich eine Rechnung des Stromanbieters Verbund. Kund/innen sollen diese auf der Website „verbund-bill.com“ ansehen. Dem sollen Empfänger/innen nicht nachkommen, denn andernfalls installieren sie Schadsoftware auf ihrem Computer. Sie macht den PC unbrauchbar. Kriminelle fordern Bitcoins, um den Schaden zu beheben.

Ransomware findet durch falsche Rechnungen oder infizierte Websites Verbreitung. Sie sucht auf fremden Computern nach Dateien und verschlüsselt diese. Dadurch können Besitzer/innen die Dokumente nicht mehr benutzen. Kriminelle fordern von ihnen Geld und stellen dafür in Aussicht, die Dateien der Opfer wiederherzustellen. Darauf zielt eine im Umlauf befindliche falsche Rechnung des Verbund an. In Wahrheit stammt sie von Verbrecher/innen. In der Rechnung ist von einer „Detailaufstellung“ die Rede. Wer diese sehen möchte, muss den Link „Ansicht einer Rechnung“ aufrufen:


Die falsche Verbund-Rechnung mit dem Betreff „Detailaufstellung zu Rechnung Nr. 863214615“.

Die Website verbund-bill.com

Der Link „Ansicht einer Rechnung“ führt auf die Website „verbund-bill.com“. Dort findet sich eine ident beschriftete Schaltfläche:


Die Website verbund-bill.com.

Wer die Schaltfläche betätigt, startet den Download der Datei „VERBUND_rechnung.zip“. In ihr verbirgt sich das Dokument „VERBUNG-rechnung.js“:


In der Datei „VERBUND_rechnung.zip“ verbirgt sich das Dokument „VERBUNG_rechnung.js“.

Bei der Datei „VERBUNG-rechnung.js“ handelt es sich um keine Rechnung, sondern um einen Befehl. Er installiert Ransomware auf dem Computer. Sie macht Dateien am PC unbrauchbar. Wer diese wieder nutzen möchte, muss Bitcoins – das ist eine Internetwährung – an Kriminelle zahlen.

Sie wurden Opfer?

In diesem Fall trennen Sie Ihren Computer vom Strom. Das verhindert, dass die Schadsoftware sämtliche Dateien befallen kann. Suchen Sie EDV-Expert/innen auf und besprechen mit diesen das weitere Vorgehen. Erstatten Sie Anzeige bei der Polizei.

Sollen Sie die Bitcoins zahlen?

Wenn Sie die von der Ransomware verschlüsselten Dateien benötigen, sind Sie auf die Hilfe der Kriminellen angewiesen. Die Bezahlung der Bitcoins geht jedoch mit dem Risiko einher, dass Sie die zugesagte Gegenleistung nicht erhalten oder die unbekannten Täter/innen weitere Bitcoins-Zahlungen fordern

Woran erkennen Sie das falsche Verbund-Schreiben?

  • Der Absender der Nachricht ist die „Österreichische Elektrizitätswirtschafts-AG“. Die dazugehörige E-Mailadresse ist „buchung@musteradresse-stadt.de“. Beide Angaben zeigen, dass die E-Mail nicht vom Verbund stammt.
  • Die „Ansicht der Rechnung“ führt auf die Website „verbund-bill.com“. Die Domain gehört nicht dem Verbund. Unbekannte haben sie über einen Anonymisierungsdienst aus Russland registriert.
  • Die Angaben auf der Rechnung sind erfunden und gehen nicht auf die Empfänger/innen ein: Es fehlt beispielsweise ein Hinweis auf die eigene Anschrift. Diese Information findet sich bei Stromrechnungen immer.
  • Die Rechnung befindet sich in einer ZIP-Datei. Unternehmen versenden Zahlungsaufforderungen im PDF-Format.
  • Antivirenprogramme erkennen, dass die ZIP-Datei Schadsoftware verbirgt.

Erklärvideo zu gefälschten Rechnungen

Hinweis: Alternativ können Sie das Erklärvideo auf https://vimeo.com/136098097 sehen.

Wie schützen Sie sich im Vorhinein vor einem Datenverlust?

Sichern Sie in regelmäßigen Abständen wichtige Dokumente auf einem externen Datenträger ab. Trennen Sie diesen von Ihrem Computer. Tun Sie das nicht, kann die Schadsoftware die Datensicherung befallen. Mit der Datensicherung können Sie von Ransomware infizierte Dokumente jederzeit wiederherstellen und müssen keine Bitcoins zahlen. Nutzen Sie für alltägliche Arbeiten am PC ein Benutzerkonto. Es erlaubt Ihnen lediglich die Benutzung des Computers ohne weitere Befugnisse. Wollen Sie Programme installieren oder Änderungen am Betriebssystem vornehmen, müssen Sie dafür auf das Administratorenkonto zugreifen. Das verhindert, dass sich unbemerkt Schadsoftware auf Ihrem Computer installieren kann.

Die Watchlist Internet empfiehlt:

Verschieben Sie die vermeintliche Verbund-Rechnung in Ihren Spam-Ordner. Das bewirkt, dass Sie in Zukunft vergleichbare Nachrichten nicht in Ihrem regulären Posteingang vorfinden! Sollten Sie die Rehnung geöffnet und Opfer der Kriminellen geworden sein, erstatten Sie Anzeige bei der Polizei.

 

(Die Watchlist Internet bedankt sich bei eine, Leser für die Meldung der Nachricht „Detailaufstellung zu Rechnung“.)

Unterstützt von:

Ein Projekt des:

Internet Ombudsmann