PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 1&1-Rechnung...Fake?



Ollek
15.02.2012, 13:57
Hi, habe interessanterweise eine Rechnung von 1&1 bekommen, obwohl ich dort noch nie etwas bestellt habe, Kunde bin oder sonstwas.

Hier mal ein Auszug:

"Ihre Kundennummer: 23705592

Sehr geehrter Herr *******,

heute erhalten Sie Ihre Rechnung vom 14.02.2012 im PDF-Format.
Der Betrag wird in den nächsten Tagen von Ihrem Konto abgebucht.

Um das PDF-Dokument zu lesen und auszudrucken, benötigen Sie das Programm 'Acrobat Reader' von Adobe. Einfach kostenlos unter http://www.adobe.de/products/acrobat/readstep2.html herunterladen.

Sicherheitshinweis - Wie Sie sich vor gefälschten E-Mails schützen:
===================================================================
Bitte beachten Sie, dass manche Betrüger E-Mails als Rechnungen der 1&1
Telecom GmbH tarnen. Mit diesen gefälschten E-Mails kann schädliche Software auf
den Rechner des Empfängers gelangen. Wenn Sie sich nicht sicher sind, von wem
eine E-Mail stammt, dann öffnen Sie bitte auf keinen Fall die Dateien, die an
diese E-Mail angehängt sind.

Um Sie so gut wie möglich vor gefälschten Rechnungen zu schützen, reagieren wir
zeitnah auf jede neue Version einer solchen E-Mail und leiten alle weiteren
notwendigen Schritte ein. Sollten Sie Bedenken bei einer unserer Rechnungen per
E-Mail haben, dann kontaktieren Sie uns bitte. Wir kümmern uns darum.

Wie können Sie eine echte Rechnung von 1&1 erkennen?

Damit Sie sich sicher sein können, dass es sich nicht um eine gefälschte
Rechnung handelt, haben wir für Sie die Merkmale einer Rechnung von 1&1
zusammengestellt. So können Sie schnell und einfach feststellen, ob es sich um
eine echte Rechnung handelt:

- Unsere E-Mail enthält immer Ihre Kundennummer bei 1&1
- Wir sprechen Sie mit Ihrem Namen an
- Ihre Rechnungen finden Sie außerdem in Ihrem 1&1 Control-Center

Darüber hinaus garantiert ein E-Mail-Siegel die Echtheit unserer Rechnungen.
Das bedeutet für Sie: Wenn wir Ihnen eine E-Mail an Ihr Postfach bei WEB.DE
oder GMX senden, erkennen Sie unsere E-Mail auf einen Blick am 1&1 Logo. Damit
sind unsere E-Mails eindeutig gekennzeichnet und Sie können sie sicher von
gefälschten E-Mails unterscheiden.

Am besten halten Sie auch immer den Update-Status Ihres Betriebssystems und
Ihrer Anti-Viren-Software auf dem neuesten Stand.

Hilfe & Kontakt:
================
Haben Sie Fragen zu Ihrer Rechnung? In unserem Hilfe-Center finden Sie Antwort auf die häufigsten Rechnungsfragen unter http://hilfe-center.1und1.de/billing.
Gerne sind unsere Mitarbeiter der Rechnungsstelle auch telefonisch für Sie da. Sie erreichen uns täglich rund um die Uhr - kostenfrei aus dem Fest- und Mobilfunknetz der 1&1 Telecom GmbH - unter:

0721 96 00


Mit freundlichen Grüßen

Ihre 1&1 Telecom GmbH



--

1&1 Telecom GmbH
Elgendorfer Straße 57
56410 Montabaur

Amtsgericht Montabaur HRB 22331

Die 1&1 Telecom GmbH ist eine 100%ige Tochtergesellschaft der 1&1 Internet AG
Geschäftsführer: Robert Hoffmann, Markus Huhn, Martin Witt


Würdet ihr sagen, das ist echt? Die Rechnung im Anhang habe ich mal lieber nicht geöffnet..;)

Antworten wären nett. lg

Insanic
15.02.2012, 14:02
Na wenn du kein Kunde bist, kann es nicht echt sein, dann hast du ja auch keine Kundennummer etc.

acidarchangel
15.02.2012, 14:03
Wenn du nie etwas bestellt hast und auch kein Kunde bist, ist das eindeutig ein u.U. Virenverseuchte Spam Mail! Direkt löschen und weg damit!

Precide
15.02.2012, 14:03
Wie kann es denn echt sein, wenn du dort kein Kunde bist und sie keine Kontoinfos haben?

pstreiter
15.02.2012, 14:04
Also ich bin 1&1 Kunde und meine sieht auch so aus.

Eraz
15.02.2012, 14:04
Lad die Datei doch einfach ohne zu öffnen und überprüf sie sann mit www.virustotal.com

realAudioslave
15.02.2012, 14:04
Wenn du bei denen nix laufen hast, kanns ja eigentlich nur ein Fake sein, oder?

[_LuTz_]
15.02.2012, 14:04
also der text sieht sehr original aus aber wenn du fragen hast ruf doch einfach den service an (die nummer ist vom festnetz kostenlos) und frag nach was die wissen

atari2k
15.02.2012, 14:06
Hmmmm...die Tel. Nr 0721 96 00 ist auf jeden Fall korrekt.

Also halt einfach mal anrufen und danach Sicherheit haben!

So ziemlich jeder, der deine Adresse und KtoNr hat, kann bei 1und1 was bestellen....stand mal in der c´t.

Ansosnten evtl. Abbuchungen sofort zurück buchen lassen!

atari2k

derChemnitzer
15.02.2012, 14:07
Text wahrscheinlich original und im Anhang ein Trojaner

TheRuhlander
15.02.2012, 14:10
Hi!

Ich hatte vor zwei Wochen das gleiche mit Vodafone.

Wenn du da defintiv kein Kunde bist könnte es eventuell sein das es ein einfach Fehler von denen ist.

Grundsätzlich würde ich mich mit 1&1 in Verbindung setzen und das klären um mögliche weitere Probleme auszuschliesen. Da du ja noch nie Kunde da warst ist ja auf jeden Fall die Frage zu klären wo deine Daten herkommen.

f1st
15.02.2012, 14:20
Also der Text ist der einer üblichen Rechnung, habe das soeben überprüft.
Könntest eventuell mal nach dem Absender schauen, bei mir ist es "rechnungsstelle@1und1.de".

Sofern du dort nie was gekauft/beantragt hast einfach ignorieren und das auch in Zukunft mit anderen Fällen so handhaben.

dominiczeth
15.02.2012, 14:23
Wie war die E-Mail-Adresse mit der das kam?


Darüber hinaus garantiert ein E-Mail-Siegel die Echtheit unserer Rechnungen.
Das bedeutet für Sie: Wenn wir Ihnen eine E-Mail an Ihr Postfach bei WEB.DE
oder GMX senden, erkennen Sie unsere E-Mail auf einen Blick am 1&1 Logo. Damit
sind unsere E-Mails eindeutig gekennzeichnet und Sie können sie sicher von
gefälschten E-Mails unterscheiden.


Wo hast du dein E-Mail-Konto? War das Logo so?

Ollek
15.02.2012, 15:15
Völlig bescheuert...ich habe gerade bei 1&1 angerufen, das ist wohl ein einmaliger Fall. Derjenige, dem die Rechnung zugeschickt werden sollte, wohnt in einer ganz anderen Stadt mit einer anderen Adresse und keiner weiß was falsch gelaufen ist, aber sie nehmen meine E-Mail-Adresse zumindest raus...ganz komisch, aber danke für eure Antworten.;)

Ergänzung vom 15.02.2012 15:15 Uhr: Die E-Mail war also echt.;)

[_LuTz_]
15.02.2012, 15:25
jaja bei 1&1 weiß niemand was der andre tut und irgendwelche verwechslungen haben die dort häufiger ( hab seit über 2 jahren nenn vertrag bei denen hab also schon einiges mitbekommen)^^

florian.
18.10.2012, 21:14
Ich hab ne ähnliche Mail bekommen, leider mit Virus und leider mit ausgeschaltetem Gehirn :freak
(ex 1und1 kunde und dachte "was wollen die denn schon wieder von mir" -.-)

Virenfund: unerwünschtes Programm EXP/CVE-2010-0188.B
die Sicherheitslücke CVE-2010-0188 scheint geschlossen zu sein, daher hoffe ich einfach das Beste.


falls es jemand interessiert:

Ihre Kundennummer: 150154321802645



Sehr geehrter Herr xxx xxx,



heute erhalten Sie Ihre Rechnung vom 17.10.2012 im PDF-Format.

Der Betrag wird in den nachsten Tagen von Ihrem Konto abgebucht.





Ihre 1&1 Telecom GmbH



---------



1&1 Telecom GmbH

Elgendorfer Strasse 57

27853 Montabaur



Amtsgericht Montabaur HRB 29527

Anhang: RG15005648294.pdf

purzelbär
18.10.2012, 21:23
Na hoffentlich hast du nicht die vermeintliche Rechnung im PDF Dateiformat geöffnet, wenn doch, sicherheitshalber dein System per Virenscannner überprüfen lassen.

florian.
18.10.2012, 21:34
ja doch, ich sagte doch, das Gehirn war aus.

PDF ging auf, meldete das irgend ein Zeichensatz Fehlt und stürzte ab.
Der Virenscanner blieb stumm.
erst als ich das File kopiert habe hat er gemeckert das EXP/CVE-2010-0188.B drin steckt.
CVE-2010-0188 ist eine Sicherheitslücke vom Acrobat Reader welche 2010 geschlossen wurde.
nun eben die alles entscheidende Frage: soll ich das System neu aufsetzen....

purzelbär
18.10.2012, 21:43
Zumindest mal zuerst dein System komplett scannen lassen, alternativ mit Malwarebytes Free im Abgesicherten Modus oder mit einer Rescue Disk wie Kaspersky Rescue Disk 10 und wenn du dann noch Zweifel hast das da noch was wäre(Infektion)das System neu aufsetzen wenn du kein Backup hast. Siehe auch hier: http://www.computerbase.de/forum/showthread.php?p=12860948#post12860948 ab Posting 33;)

EDVGGlas
22.10.2012, 16:41
Hallo,

ja die Rechnung ist ein Fake/Scam .. das PDF versucht eine Lücke im Acrobat Reader auszunützen und den im PDF eingebetteten Schadenscode nachzuladen. Ich habe den Schadenscode nicht weiter analysiert - wenn das jemand machen will, kann ich das PDF gerne zur Verfügung stellen. Ich vermute einen Loader für einen Trojaner der dann aus dem Internet nachgeladen wird.

Das Nachladen des Codes klappt nur bei Acrobat 8.x vor 8.2.1 und 9.x vor 9.3.1. Der Acrobat Reader wird dabei zum Absturz gebracht - bei allen neueren Versionen wird ein PDF angezeigt und eine Fehlermeldung das die Schrift nicht geladen werden konnte.

Ich habe die Rechnung ueber eine einmal E-Mail Addresse erhalten welche ich seit 2008 ausschliesslich bei hm-sat.yatego.com verwendet habe - ob die Kontaktdaten (E-Mail Addresse) bei Yatego oder bei dem Händer abhanden gekommen sind kann ich leider nicht sagen. Auch kann ich nicht sagen ob noch andere Daten abhanden gekommen sind.

Auffallend ist aber das es sich um eine gezielte Attacke auf Nutzer aus Deutschland handelt daher scheinen die Kontaktdaten bei einem deutschen Online Shop gestohlen worden zu sein - ich kann aber nicht sagen welcher. Evt Melden sich ja noch weitere Benutzer.

Hier die relevanten E-Mail Header:



From: <Rechnungsstelle@1und1.de>
X-Mailer: The Bat! (v2.01)
Reply-To: <Rechnungsstelle@1und1.de>
X-Priority: 3 (Normal)
Message-ID: <xxxxxxxxxx.20120205004826@1und1.de>
Return-Path: <Rechnungsstelle@1und1.de>
Received: from quieroalojamiento.com (unknown [212.34.139.18])
by xxxxxxxxxxxxxxxxx with SMTP id DED8B8BC0
for <xxxxxxx-yatego.com@xxxxxxxxxxxxxx>; Mon, 22 Oct 2012 14:25:38 +0200 (CEST)
Received: from clfswu (39.206.44.87)
by quieroalojamiento.com; Mon, 22 Oct 2012 14:18:20 +0200


39.206.44.87 ist eine dynamische IP Addresse eines Providers in Indonesien - der vermutlich von einem Bot übernommen wurde.

212.34.139.18 ist ein Linux Server Mailserver - möglicherweise wurde dieser von einem Bot übernommen da Port 2222 offen und auf 7200 eine weiter SSHd Instanz laeuft - Server gehört einer IT Dienstleistungs Firma http://informaticos.co/

Könnt ihr evt eure E-Mail Header Informationen Posten ?
Habt ihr bei einer der oben genannten Firmen bestellt ?

Abweichend zu euren Emails befindet sich in meiner kein Hinweis auf einen Handelsregistereintrag (HRB xxxxx) - evt wird das verwendet um Fuzzy Checksum zu umgehen.


Der Text bei mir lautet wie folgt und enthält im Original keinen Vor und Nachnamen - es ist also anzunehmen, daß diese nicht entwendet wurden:

-----------------------------------------



Ihre Kundennummer: 1411765796207

Sehr geehrte Kunden,

heute erhalten Sie Ihre Rechnung vom 22.10.2012 im PDF-Format.
Der Betrag wird in den nachsten Tagen von Ihrem Konto abgebucht.


================================================
Hinweis: Bitte antworten Sie nicht auf diese Nachricht, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.


Mit freundlichen Gruessen

Ihre 1&1 Telecom GmbH

---

1&1 Telecom GmbH
Elgendorfer Strasse 57
70705 Montabaur

Dimmel
22.10.2012, 17:24
Hallo!

Ich hatte eben auch eine solche mail. Leider habe ich nur "Telecom" gesehen und "Rechnung" und gar nicht mehr weiter auf die Empfänger-Mailadresse und auch leider nicht auf alles weitere geachtet. Also Hirn aus und klicke auf die PDF-Datei.
Lies sich aber nicht öffnen, bzw. sagte was von fehlenden Schriftzeichen, wie es mein Vorredner schon beschrieben hat.
Habe die mail daraufhin gelöscht. Header und Email-Inhalt gleich wie bei EDVGGlas schon beschrieben.
Bestellt habe ich mit der email-Adresse, wo die mail ankam, noch nie etwas.
Lasse jetzt System-Scan machen und hoffe das nichts passiert ist.

purzelbär
22.10.2012, 17:53
Also Hirn aus und klicke auf die PDF-Datei.
Und das ist der grösste Fehler den zu viele User immer noch leider machen. Tipp: wenn du noch nicht hast, nimm ein Virenschutz Programm das E-Mail Klienten wie Outlook, Thunderbird usw unterstützt. Das nennt sich dann Mail Scutz und schaut zum Beispiel bei Avast Free so aus: http://www.abload.de/thumb/12ruam.jpg (http://www.abload.de/image.php?img=12ruam.jpg) Ruftst du nämlich deine Mails mit Outlook, Thunderbird oder dergleichen ab, prüft besagte Komponente beim abholen der Mails von den Servern mögliche Anhänge auf Infizierungen und löscht die Anhänge bzw deren(infizierten)Inhalt.
Tipp 2: Mach zusätzlich mit Malwarebytes Free (http://de.malwarebytes.org/products/malwarebytes_free)(nicht die Pro nehmen)einen Komplett-Scan deines Systems zusätzlich zu dem Scan deines Virenschutz Programms.

Dimmel
22.10.2012, 17:56
Ich habe Avira in der Vollversion drauf, die eigentlich alle eingehenden mails checkt. Hat auch schon ein paar mal angeschlagen.
Deswegen habe ich wohl auch nicht bei dieser mail drauf geachtet.
Lasse jetzt den Scan laufen und hoffe.

florian.
22.10.2012, 22:13
Das Nachladen des Codes klappt nur bei Acrobat 8.x vor 8.2.1 und 9.x vor 9.3.1. Der Acrobat Reader wird dabei zum Absturz gebracht - bei allen neueren Versionen wird ein PDF angezeigt und eine Fehlermeldung das die Schrift nicht geladen werden konnte.
danke, das wollt ich hören.
ich hab einfach aktuell nicht den nerf/zeit/lust um mein System zu plätten.


Der Text bei mir lautet wie folgt und enthält im Original keinen Vor und Nachnamen-
Bei mir Stimmte der Name allerdings heißt meine E-mail Addy auch Nachname.Vornahme@googlemail.com

Ich hab schon bei vielen Seiten bestellt aber bei deinen genannten noch nie.

Flachzange
22.10.2012, 22:38
Interessant ist, dass nur wenige Scanner wirklich Alarm schlagen.

PC-User
22.10.2012, 22:41
Was ich ja interessant finde ist, dass sie es hinbekommen die Straße samt Hausnummer zu kopieren, aber dann eine falsche Postleitzahl verwenden... 56410 ist die richtige, alle anderen nicht.

Dimmel
23.10.2012, 15:55
Interessant ist, dass nur wenige Scanner wirklich Alarm schlagen.
Also mein Scanner hat keinen Alarm angezeigt. Werde beim Öffnen, noch nachdem ich das bemerkt habe beim Scannen im nachhinein.
Kann es damit zusammenhängen, dass dieser "Schriftsatz" nicht geladen wurde?
Ist der Schriftsatz der geladen werden sollte eventuell der Schädling?
Kann dazu jemand was sagen?

Flachzange
23.10.2012, 22:02
Auf jeden Fall ein Trojaner. Siehe weiter oben.

EDVGGlas
23.10.2012, 22:19
Hi,

das liegt vermutlich daran, das der Schädling in der Form erst seit kurzem im Umlauf ist (First seen by VirusTotal 22.10.2012 12:00:13 UTC) und noch keine Signaturen dafür bereit stehen. Waren es gestern noch 2 von 43 Scannern (Comodo und F-Secure) sind es zur Zeit 17 von 43 [1]. Vermutlich werden bis zur Ende der Woche alle Anbieter ihre Signaturen aktualisiert haben.

Der Schädling benutzt dabei einen Fehler in der Verarbeitung des eingebetteten TIFF Grafik, um dann einen Code welcher ebenso im PDF eingebettet ist, auszuführen - diese Methode ist nicht wirklich neu und wurde bereits im März 2010 demonstriert. [2]

Der Signatur von Comodo zu schliessen, stammt der Schadenscode vermutlich aus dem Blackhole exploit kit 2.0 und wurde am 14.6.2012 das erste mal entdeckt, eine veränderte Form kommt in diesem PDF zum Einsatz. [3]

[1] https://www.virustotal.com/file/680f253e130df33f874f7bad00d239fef001f7a7cc72e3131920c81ac119e23b/analysis/
[2] http://bugix-security.blogspot.co.at/2010/03/adobe-pdf-libtiff-working-exploitcve.html
[3] http://support.clean-mx.de/clean-mx/viruses?virusname=TestSignature.JS.Pdfka.FBQ



/edit
Hallo,



Was ich ja interessant finde ist, dass sie es hinbekommen die Straße samt Hausnummer zu kopieren, aber dann eine falsche Postleitzahl verwenden... 56410 ist die richtige, alle anderen nicht.


das ist schnell erklaert - es handelt sich hierbei um einen (nicht sehr effektiven) hashbuster [1].

[1] http://en.wikipedia.org/wiki/Hash_buster

hildefeuer
27.10.2012, 15:48
Sicherlich eine Virenschleuder.
Gut das ich für solche Fälle ein Ubuntu booten kann und die Datei damit öffnen kann.
Man sollte Mail-Anhänge von Absendern, mit dehnen man nichts zu tun hat, bzw. die sonst nix senden niemals öffnen.

maikdb1
13.02.2013, 12:43
seit gestern läuft wieder eine Phishing-Welle mit Absender rechnungsstelle@ 1und1.de
Seit gestern 17.15 h läuft dazu eine Ansage.

Aktuell gibt es eine Welle von gefälschten E-Mails, die den Namen von 1&1 ausnutzen. Die Kriminellen dahinter versenden Mails mit einem scheinbaren 1&1 Absender und einer gefälschten Rechnung. Bitte ignorieren Sie diese E-Mails.

Also wer kein 1und1 kunde ist, löschen.
Wer 1und1 Kunde ist ins CC und kontrolieren gegebenenfals Rechnungssupport kontakten.