Die vermeintliche Mobilfunkrechnung der Deutschen Telekom über 354,85 Euro im E-Mail-Postfach soll den Empfänger erschrecken. So sehr, dass manche Internetnutzer jede Vorsicht vergessen und auf einen Link klicken, der angeblich die Rechnung auf den Bildschirm holen soll, der aber von Kriminellen mit böser Absicht vorbereitet wurde. Mit aufwändig gefälschten Phishing-Mails greifen Kriminelle derzeit vermehrt Internetnutzer an.
"Gefälschte Rechnungen der Telekom sowie anderer Provider, Online-Shops oder Online-Paymentsysteme sind ein bewährtes Mittel der Cyberkriminellen, um Schadsoftware zu verteilen", sagte Christian Funk, Senior Virus Analyst bei Kaspersky Lab, der Nachrichtenagentur dpa. "Wir können bestätigen, dass seit Mai verstärkt eine Welle schädlicher E-Mails mit dieser Masche im Umlauf ist."
Das Schadprogramm der Angreifer (englisch Malware) tarnt sich als PDF, ist aber tatsächlich ein ZIP-Archiv. Darin enthalten sein könnte etwa ein ausführbarer Code, der einen Trojaner installiert und dann den betroffenen Rechner übernimmt und zu einem "Zombie-PC" macht, der von außen gesteuert werden kann.
Für die Telekom gehört Phishing inzwischen zum Tagesgeschäft: "Es gibt leider ständig den Versuch, auch über gefälschte Telekom-Rechnungen Schadsoftware zu verbreiten und Daten zu erschleichen", räumt Telekom-Sprecher Philipp Blank ein. Der Konzern warne seine Kunden immer wieder vor solchen Angriffen und gebe aktuelle Tipps zur Gefahrenabwehr. In dieser Woche soll die Öffentlichkeit erneut auf die Gefahr hingewiesen werden.
Auch Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überraschen diese Attacken nicht mehr: "Solche Phishing-Mails sind leider alltäglich geworden. Empfänger solcher Mails sollten diese löschen und auf keinen Fall auf enthaltene Links oder Dateianhänge klicken." Die Bezeichnung "Phishing" setzt sich aus den englischen Wörtern "Password harvesting fishing" (deutsch: Passwort abgreifen oder abfischen) zusammen. Gemeint ist das Abgreifen von Passwörtern durch gefälschte E-Mails, Webseiten und Schadsoftware.
In der Phishing-Mail heißt es beispielsweise: "Sehr geehrte Kundin, sehr geehrter Kunde, mit diesem Schreiben erhalten Sie eine Benachrichtigung über Ihre aktuelle Rechnung. Die zur Zahlung fällige Summe für Juni 2014 beläuft sich auf: 354,85 Euro." Während früher Phishing-Mails oft sofort durch Rechtschreibfehler oder schlechte Übersetzungen aus dem Englischen aufgefallen, sehen die aktuell gefälschten Mails bis auf die Absenderadresse einer echten Telekom-Rechnung zum Verwechseln ähnlich.
Die Ähnlichkeit mit den echten Kunden-Mails macht es auch so schwierig, die Phishing-Mails als Spam auszufiltern. Wegen der seriösen Betreffzeile und anderer technischer Details könne man kein Herausfiltern durch einen Spam-Filter garantieren, erkläre ein Sprecher des Sicherheitssoftwareanbieters Kaspersky. Wenn die Signaturen der Sicherheitssoftware auf dem neuesten Stand sind, müsste der Trojaner selbst aber als Schadsoftware erkannt und blockiert oder gelöscht werden, wenn der Anwender aus Versehen auf den Link klickt.
Ein weiteres Prüfmerkmal sei die Adresse des Download-Links zu der Datei im Format PDF. Hier lasse sich erkennen, dass es sich bei dem Link um keine URL der Telekom handeln kann. Unter der darin enthaltenen Adresse salesloft.net ist ein Callcenter-Anbieter aus Cleveland im US-Bundesstaat Ohio erreichbar.
Bereits Anfang Juni hatte die Verbraucherzentrale Rheinland-Pfalz vor den Phishing-Mails im Namen der Telekom gewarnt. "Hinter dem Phishing-Link in der Mail kann sich eine Schadsoftware, beispielsweise ein Trojaner verbergen", sagte Martina Totz von der Verbraucherzentrale. Die Verbraucherzentrale riet, zur Erkennung die Rechnungs-Mail auf die fehlende Kunden- und Rechnungsnummern zu prüfen. Wer den Link bereits angeklickt hat, sollte seinen PC sofort von einem Experten überprüfen lassen, seine Passwörter ändern, Strafanzeige bei der Polizei erstatten und die Kontoauszüge auf Unregelmäßigkeiten überprüfen. (dpa/rs)