E-Mail Postfach gehackt und zum Spamversand missbraucht

Aus aktuellen Anlass werden in diesen Tagen wieder tausende Kunden von ihren Providern per E-Mail benachrichtigt, mit der Information, dass ihr E-Mailkonto gehackt wurde und als Spamversender missbraucht wird. Vornehmlich nehmen die Provider an, das die Kontoinformationen nicht von ihren eigenen Systemen entwendet wurden, sondern gehen davon aus, dass eine Infektion in Form von Malware die Informationen auf Kunden PCs ausgespäht und zu weiteren Aktivitäten verwendet.

So könnte der Text der E-Mail lauten:

“…Wir vermuten, dass ein Virus auf Ihrem Computer die Zugangsdaten
zu Ihrem Postfach ausspioniert hat. Als Ergebnis dieses
Datenklaus, versendet dieses Postfach nun ohne Ihr Wissen infizierte
E-Mails…”

Nachforschungen haben ergeben, dass alle dieser betroffenen Nutzer in den vergangen Tagen oder Wochen, Opfer von gefälschten Telekom-Rechnungen geworden sind. Anders als im Bericht “Neue Welle gefälschter Online-Rechnungen von der Telekom rollt auf uns zu!” beschrieben, liegt der E-Mail keine Datei -Anhang bei, sondern der Nutzer wird über einen verschleierten Malware-Link auf den Virendownload gelenkt. Auffällig ist hier, dass der Text nahezu fehlerfrei ist, aber im gesamten 3 unterschiedliche Rechnungsnummern genannt werden:

Guten Tag,mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2014 beträgt: 250.64 Euro. Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:Download Mitteilung, Rechnungsrückstände 596775632139816676 Telekom Deutschland GmbH vom 13.01.2014Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse.Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum SEPA finden Sie hier.Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen Informationsservice an.
Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Wer auf den Link “Download Mitteilung, Rechnungsrückstände (ZAHL) Telekom Deutschland GmbH vom 13.01.2014” klickt, landet z.B. auf der Domain: http://mot{…}.ru/telekom, die eine ZIP-Datei mit einem relativ unscheinbaren Namen “Rechnungsruckstande_9698169830015001.zip” zum Download bietet. Zum Zeitpunkt der Veröffentlichung dieses Blog-Beitrags werden sowohl die Domains, als auch die Datei nur von einer sehr kleinen Anzahl von Anti-Virenschutzsoftware erkannt.

Bildschirmfoto 2014-01-23 um 11.05.04

HitmanPro Scan result

Wenn Sie von Ihrem Provider diese E-Mail erhalten haben, sollten Sie schnell handeln:

  1. Überprüfen Sie alle Geräte ihres Netzwerkes mit ihrer Antivirenlösung im vollständigen Suchlauf. Zusätzlich sollten Sie den Rechner mit dem für den im privaten Gebrauch für 30 Tage im vollen Umfang nutzbaren EU-Cleaner von Surfright (HitmanPro) überprüfen.
  2. Ändern Sie sofort von einem sicheren und virenfreien Rechner alle Ihre Zugangsdaten, nicht nur das des Mailkontos sondern auch z.B. Facebook, Amazon, Online-Banking etc. Wenn Sie keinen anderen “sauberen” Rechner haben können Sie das auch mit einem Linux -Livesystem oder mit der aktuellen Antibot CD 3.5 über die integrierte Desktopumgebung sicher tätigen.
  3. Wen Sie nicht damit zurecht kommen, melden Sie sich bitte in unserem kostenfreien Forum und erstellen einen Beitrag. Die Experten dort helfen “Schritt für Schritt” bei dem Problem.

1&1 Kunden, deren E-Mailkonten im Zuge des Missbrauchs gesperrt wurden, finden weitere Informationen beim 1&1 Hilfecenter:
E-Mail-Konto durch 1&1 Abuse Department gesperrt.

ABBZ:
Wie Sie sich allgemein vor Infektionen schützen können, lesen Sie in einem weiteren Bericht>> von uns.
 

4 thoughts on “E-Mail Postfach gehackt und zum Spamversand missbraucht”

  1. Toll. Da wird auch gleich eine Kaufware mit ausgelobt. Dkie dann wieder tausende Anwender runterladen und damit ihren Rechner schrotten. Ich liebe es.

    Kann man nicht einfach mal dieses Laiengeschafel bleiben lassen?

  2. Hallo zusammen,

    nach dem der PC heute anfing sehr träge zu laufen, erhielt ich
    gegen Abend eine E-Mail von meinen Telefon und Internetanbieter mit dem nachfolgend aufgeführten Inhalt.

    Zumindest habe ich schon einmal Avira EU Cleaner laufen lassen, welches dann
    welche dann eine Schadsoftweare gefunden hat und diese jetzt beseitigt.
    In wie Fern kann ich sicher sein das ich beim Ändern von Passwörtern (z.B. OnlineBanking) der Empfhelung von netcologne folgen kann.
    Was können sie mir ansonsten empfehlen.

    Gruß P. B.
    Sehr geehrte NetCologne-Kundin,
    sehr geehrter NetCologne-Kunde,

    wir erhielten Hinweise des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie, welches gemeinsam mit dem BSI (Bundesamt fuer Sicherheit in der Informationstechnik) diverse Webserver bzw. sog. “Command&Control” Server ueberwachen laesst. Diese Server dienen als Kontrollinstanzen für diverse Botnetze und Schadsoftware-Auslieferung.

    Ihre IP-Adresse wurde bei einem Zugriff auf einen solchen Server registriert und konnte auf Ihren Account nc-betzinpe zurueckgefuehrt werden.
    (Zugriffszeitpunkt: 2015-01-10 14:42:53.00)

    Da es sehr unwahrscheinlich ist, dass dies ein “normaler”, beabsichtigter Zugriff war, sieht alles danach aus, dass einer Ihrer Computer oder ein anderes Ihrer internetfaehigen Geraete mit einem Trojaner (Virus) infiziert ist.

    Dies bedeutet, dass mindestens ein unbekannter Dritter mittels dieses Trojaners Vollzugriff auf Ihr System sowie zu allen dort verwalteten Daten hat und dies zu seinem Vorteil (und Ihrem und unserem Schaden) nutzen kann.

    Wir empfehlen daher dringend:
    * Pruefen Sie Ihre Systeme mit einem *aktuellen* Virenscanner (Hilfe gibt es etwa bei der Initiative botfrei.de)
    * Aendern Sie das Passwort auf ein schwierig zu erratendes.
    * Nutzen auch Sie fuer alle Dienste (z.B. Banking/Online-Haendler/Chats..)
    unterschiedliche Passwoerter!

    Vielen Dank.

    Mit freundlichen Gruessen,

    Ihr NetCologne Abuse-Team


    NetCologne Gesellschaft für Telekommunikation mbH Am Coloneum 9 ; 50829 Köln
    Geschäftsführer:
    Jost Hermanns,
    Mario Wilhelm
    Vorsitzender des Aufsichtsrates:
    Dr. Andreas Cerbe
    HRB 25580, AG Köln

  3. Hallo,

    der in dem Bereich:

    1&1 Kunden, deren E-Mailkonten im Zuge des Missbrauchs gesperrt wurden, finden weitere Informationen beim 1&1 Hilfecenter:

    genannte Link bei 1und1 existiert nicht mehr

Kommentare sind geschlossen.