Aus aktuellen Anlass werden in diesen Tagen wieder tausende Kunden von ihren Providern per E-Mail benachrichtigt, mit der Information, dass ihr E-Mailkonto gehackt wurde und als Spamversender missbraucht wird. Vornehmlich nehmen die Provider an, das die Kontoinformationen nicht von ihren eigenen Systemen entwendet wurden, sondern gehen davon aus, dass eine Infektion in Form von Malware die Informationen auf Kunden PCs ausgespäht und zu weiteren Aktivitäten verwendet.
So könnte der Text der E-Mail lauten:

“…Wir vermuten, dass ein Virus auf Ihrem Computer die Zugangsdaten
zu Ihrem Postfach ausspioniert hat. Als Ergebnis dieses
Datenklaus, versendet dieses Postfach nun ohne Ihr Wissen infizierte
E-Mails…”

Nachforschungen haben ergeben, dass alle dieser betroffenen Nutzer in den vergangen Tagen oder Wochen, Opfer von gefälschten Telekom-Rechnungen geworden sind. Anders als im Bericht “Neue Welle gefälschter Online-Rechnungen von der Telekom rollt auf uns zu!” beschrieben, liegt der E-Mail keine Datei -Anhang bei, sondern der Nutzer wird über einen verschleierten Malware-Link auf den Virendownload gelenkt. Auffällig ist hier, dass der Text nahezu fehlerfrei ist, aber im gesamten 3 unterschiedliche Rechnungsnummern genannt werden:

Guten Tag,mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2014 beträgt: 250.64 Euro. Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:Download Mitteilung, Rechnungsrückstände 596775632139816676 Telekom Deutschland GmbH vom 13.01.2014Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse.Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum SEPA finden Sie hier.Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen Informationsservice an.
Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Wer auf den Link “Download Mitteilung, Rechnungsrückstände (ZAHL) Telekom Deutschland GmbH vom 13.01.2014” klickt, landet z.B. auf der Domain: https://mot{…}.ru/telekom, die eine ZIP-Datei mit einem relativ unscheinbaren Namen “Rechnungsruckstande_9698169830015001.zip” zum Download bietet. Zum Zeitpunkt der Veröffentlichung dieses Blog-Beitrags werden sowohl die Domains, als auch die Datei nur von einer sehr kleinen Anzahl von Anti-Virenschutzsoftware erkannt.

Bildschirmfoto 2014-01-23 um 11.05.04

HitmanPro Scan result

Wenn Sie von Ihrem Provider diese E-Mail erhalten haben, sollten Sie schnell handeln:

  1. Überprüfen Sie alle Geräte ihres Netzwerkes mit ihrer Antivirenlösung im vollständigen Suchlauf. Zusätzlich sollten Sie den Rechner mit dem für den im privaten Gebrauch für 30 Tage im vollen Umfang nutzbaren EU-Cleaner von Surfright (HitmanPro) überprüfen.
  2. Ändern Sie sofort von einem sicheren und virenfreien Rechner alle Ihre Zugangsdaten, nicht nur das des Mailkontos sondern auch z.B. Facebook, Amazon, Online-Banking etc. Wenn Sie keinen anderen “sauberen” Rechner haben können Sie das auch mit einem Linux -Livesystem oder mit der aktuellen Antibot CD 3.5 über die integrierte Desktopumgebung sicher tätigen.
  3. Wen Sie nicht damit zurecht kommen, melden Sie sich bitte in unserem kostenfreien Forum und erstellen einen Beitrag. Die Experten dort helfen “Schritt für Schritt” bei dem Problem.

1&1 Kunden, deren E-Mailkonten im Zuge des Missbrauchs gesperrt wurden, finden weitere Informationen beim 1&1 Hilfecenter:
E-Mail-Konto durch 1&1 Abuse Department gesperrt.
ABBZ:
Wie Sie sich allgemein vor Infektionen schützen können, lesen Sie in einem weiteren Bericht>> von uns.