Sicherheit
Telekom-Phishing-E-Mails im Umlauf
von
Thorsten
Eggeling - 25.04.2012
Derzeit werden Phishing-E-Mails mit angeblichen Rechnungen der Deutschen Telekom verbreitet. Die PDF-Datei im Anhang nutzt eine Lücke im Adobe Reader, um Spionagesoftware einzuschleusen.
Die gefälschten E-Mails sind kaum von der Original-Rechnung der Deutschen Telekom zu unterscheiden. Die betrügerische E-Mail lässt sich daran erkennen, dass der Kunde im Anschreiben in der Regel nicht mit dem persönlichem Namen angesprochen wird. Außerdem ist der Absender meist „kunden1@telekom.de“ und nicht „rechnungenonline@telekom.de“. Die Phishing-E-Mail enthält eine speziell präparierte PDF-Datei, die darauf abzielt, das Windows-System mit Spionagecode zu infizieren und den Rechner zum Bestandteil eines Bot-Netzes zu machen.
Offenbar versuchen die Kriminellen dabei, eine bereits seit 2010 geschlossene Sicherheitslücke im Adobe Reader zu nutzen. Eine erste Analyse der PDF-Datei von Heise.de hat ergeben, dass über den Schadcode mehrere ausführbare Dateien von unterschiedlichen URLs heruntergeladen und gestartet werden. Diese ändern diverse Systemeinstellungen, lesen das Adressbuch aus und kommunizieren mit einem Command und Control Server.
Aktuelle Virenscanner erkennen die Bedrohung nur teilweise. Bei einem //www.virustotal.com/file/c27e543f5c4539bce550feae05913e903ceef0deb0a35773b19bc4658ff8e9d4/analysis/1335187448/:Test über Virustotal am 23. April 2012 meldeten nur 8 von 42 Antivirus-Programmen einen Schädling. Inzwischen sind es immerhin 20 von 42. Eine der heruntergeladenen EXE-Dateien wurde nur vom Kaspersky-Scanner identifiziert. Am 25. April 2012 meldeten auch hier 20 von 42 Antiviren-Programmen einen Schädling.
So können Sie sich schützenHalten Sie die Software auf Ihrem PC stets aktuell. Vor allem der Adobe Reader, der Adobe Flash Player und Java sollten aktualisiert werden, sobald ein Update verfügbar ist. Ob die Browser-Plugins aktuell sind, prüfen Sie am schnellsten über die Internetseite //www.mozilla.org/de/plugincheck/:Mozilla Plugin-Check. Der Test funktioniert nicht nur mit Firefox, sondern auch mit anderen Browsern.
Wenn der Verdacht besteht, dass der PC bereits infiziert ist, führen Sie einen Virenscan von einem unabhängigen Betriebssystem aus durch. Dafür können Sie beispielsweise die Kaspersky Rescue Disk 10 verwenden.
