Gefälschte Condor-Buchungsbestätigungen

Bis zum Oster-, Pfingst- oder Sommerurlaub ist es nicht mehr weit und viele Reiselustige buchen den Flug ins Urlaubsparadies über das Internet, beispielsweise bei Condor. Das wissen auch die Kriminellen. Sie versuchen diese Gelegenheit zu nutzen, um Schadsoftware zu verbreiten. Zurzeit werden E-Mails mit dem Betreff „Ihre Bordkarte(n)“ und dem Absender „no-answer@condor.com“ verbreitet. Wer gerade auf eine Buchungsbestätigung wartete, könnte die Nachrichten für echt halten. Der Inhalt klingt zumindest plausibel und ähnelt dem, den Condor tatsächlich verschickt. Mit „Lieber Passagier“ gibt es keine persönliche Anrede in den Spam-E-Mails. Das ist in der Regel das erste Indiz für unseriöse E-Mails. Allerdings verwendet auch Condor in Original-Bestätigungen nur „Sehr geehrter Kunde, sehr geehrte Kundin“. Das sollte zur Verbesserung der Sicherheit geändert werden.

Im Anhang der gefährlichen E-Mail findet sich die Datei „BoardingPasses_97723927_598620_01 NEC 56642145 ACE 03.zip“ und darin die Datei „BoardingPasses_20130319_124966_01 NEC 37450037 ACE 03.pdf.exe“ mit dem eigentlichen Schädling. Condor verschickt dagegen nur PDF- aber keine ZIP-Dateien. Zur genauen Funktion der Schadsoftware ist noch nichts bekannt. Bei einer Prüfung über Virustotal erkennen bisher nur 18 von 45 Antiviren-Produkten einen Trojaner. Wie oft bei neuen Schädlingen bieten also viele Virenscanner nur unzureichenden Schutz.

Bei der com! vorliegenden Spam-E-Mail ist auch der Weg der Nachricht interessant. Laut Mail-Header stammt die E-Mail ursprünglich von 2e-systems.com, einer deutschen Firma, die Software für die Flug- und Reise-Industrie liefert. Die nächste Station ist dann t-online.de und danach netvigator.com, ein Netzwerkausrüster aus Hongkong. Durch die letzte Station wurde die E-Mail dann mit dem Absender „concluded3@condor.com“ versehen. Ob sich einer der beteiligten Server unter der Kontrolle von Kriminellen befindet oder ob der Mail-Header komplett gefälscht ist, lässt sich allerdings nicht mit einfachen Mitteln herausfinden.

Sie sollten auch nach erstem Anschein plausible E-Mails genau prüfen und Anhänge im Zweifel über Virustotal auf Schadsoftware testen. ZIP- und EXE-Dateien im Anhang sollten grundsätzlich den Argwohn wecken. Aber auch die Unternehmen sind gefragt. Selbst PDFs als Anhang sind nicht unproblematisch, da sich auch darüber Schadsoftware einschleusen lässt. Es wäre besser, wenn die Unternehmen Rechnungen oder Buchungsbestätigungen nur zum Download über den Kundenbereich ihrer Internet-Präsenz anbieten würden.