eine richtig gute Virenmail: „RechnungOnline Monat April 2013“

Posted on by

Wir gratulieren dem glücklichen Gewinner des erstmal verliehenen Anerkennungspreises für eine gelungene Virenemail: Herzlich Glückwunsch in die Ukraine.

Da die Email  nahezu perfekt ist, keine Deutschfehler enthält und auch keine Phisinglinks auf verdächtige Webseiten, müssen wir uns den Emailheader vornehmen:

Hier der nur leicht geänderte Header ( wir möchten ja nicht zuviel über unsere Fallen verraten ):

Return-path: <fidgetingjg@telekom.de>
Envelope-to: <Unsere Spamfallen verraten wir nicht>
Delivery-date: Thu, 16 May 2013 01:22:45 +0200
Received: from 36-231-89-213.dynamic-ip.hinet.net ([36.231.89.213])
	by <Unsere Spamfallen verraten wir nicht> with esmtp (Exim 4.76)
	(envelope-from <fidgetingjg@telekom.de>)
	id 1UyvV3-0002xl-1E
	for <Unsere Spamfallen verraten wir nicht>; Thu, 16 May 2013 12:34:21 +0200
Received: from [67.99.155.25] (account carpenteredqkj7@telekom.de HELO lgumvcvdfcmhbd.cnbtwtwlo.ua)
	by 36-231-89-213.dynamic-ip.hinet.net (CommuniGate Pro SMTP 5.2.3)
	with ESMTPA id XXXXXXXXXXXXXXX for <Unsere Spamfallen verraten wir nicht>; Thu, 16 May 2013 17:14:12 +0800
From: <rechnungonline.@telekom.de>
To: <Unsere Spamfallen verraten wir nicht>
Date: Thu, 16 May 2013 16:14:12 +0800
MIME-Version: 1.0
X-Priority: 3
X-Mailer: iwmexoinn_57
Message-ID: <56S980021XX76808.SSS$DY630SXX@jaxbjxqcnxv.uxfouxpniaeskql.com>
Content-Type: multipart/mixed;
  boundary="----=a__wiye_36_38_75"
Subject:  RechnungOnline Monat April 2013

Wie man im Receivedheader schön nachlesen kann, stammt die ursprüngliche Email aus der Ukraine und damit natürlich nicht mehr von der Telekom:

lgumvcvdfcmhbd.cnbtwtwlo.ua

Der unbekannte Mailversender hatte  wohl Spaß bei der Sache:

X-Mailer: iwmexoinn_57

So könnte der Name zustande gekommen sein:

„I want my email exchanged over internet“ (Version 57)

Was es auch in Wirklichkeit bedeuten mag, es ist kein übliches Programm zum Senden von Mails.

From: <rechnungonline.@telekom.de>

Der Punkt in dem Absendernamen ist uns ja schon hinlänglich bekannt, von früheren EMails dieser kriminellen Bande. Die Rücksendeadresse:

Return-path: <fidgetingjg@telekom.de>

sieht natürlich auch verdächtig nach Fiktion aus.

Sollte man all dies übersehen haben, ist natürlich der angefügte Virus/Trojaner das beste Indiz für einen versuchten Angriff, vom Umstand, daß man gar kein Kunde bei der Telekom ist, mal ganz abgesehen.

Seriöse Unternehmen schicken Ihnen eine EMail, in der die neue Rechnung mit Betrag erwähnt wird und einem Verweis, daß Sie diese im Kundencenter einsehen und herunterladen können.  Ohne Links in den Kundencenter, den den haben Sie ja als Kunde bereits.