Seit heute Mittag, 12:05 Uhr beobachtet das Eleven Research-Team eine neue Malware-Welle von gefälschten O2-Bestellbenachrichtigungen.
Es handelt sich um Text-E-Mails mit dem Betreff “Ihre O2 DSL Bestellung (Kundennummer DE55686936)”. Wie auch bei vorherigen Kampagnen variieren hier im Betreff die Kundennummern. Absender aller E-Mails ist: dsl-kundenservice@cc.o2online.de.
Die Auftragsbestätigung des Kunden befinde sich angeblich im angehängten PDF. Anhang ist jedoch ein zip-Ordner, der eine als PDF getarnte, ausführbare exe-Datei enthält und z.B. als “Ihre_O2_Bestellung-7659477220.pdf.exe” benannt ist. Wird diese geöffnet, wird die Schadsoftware aktiviert und der Rechenr infiziert. Besonders gefährlich: Bislang wird die Malware von fast keinem verbreiteten Virenscanner erkannt.
Manipulation des Empfängers
Analysiert man den Inhalt der E-Mail genauer, fällt zunächst auf, dass eigentlich nur der erste Satz Informationen zum Anlass der Benachrichtigung – nämlich der Bestellung bei O2 – enthält: “Informationen zu Ihrem Auftrag finden Sie im Anhang an diese E-Mail als pdf-Datei.” Anschließend geht es ausschließlich darum, den Empfänger dazu zu bringen, den Anhang der E-Mail zu öffnen.
Dabei wird auch versucht, Vertrauen aufzubauen: Hierzu wird sogar der Link von Adobe angeboten, der zum kostenlosen Download des Acrobat Readers führt. Dieser Link ist echt und führt zur Adobe-Website. Diese Kampagne entspricht ganz dem Trend, Links oder Namen zu verwenden, denen der Empfänger vertraut. Wer beispielsweise zunächst dem Adobe-Link misstraut, ihn jedoch prüft und feststellt, dass er zur korrekten Seite führt, vertraut womöglich dem Rest der E-Mail ebenfalls, so zumindest das Kalkül der Spammer.
Wie in all solchen Fällen sollten Empfänger auf keinen Fall den Anhang öffnen. Sollten Sie tatsächlich eine Bestellung für O2 DSL in Auftrag gegeben haben, sollten Sie sich direkt an den Kundendienst wenden oder Ihren Auftrag im den Online-Kundenbereich von O2 prüfen.
Größte Spam-Welle seit Monaten: Casino-Spam
Neben dieser Malware-Kampagne verzeichnete das Eleven Research-Team am heutigen Tag auch die größte Spam-Welle der vergangenen Monate: Zwischen 1:00 und 8:30 Uhr traten mehrere starke Spam-Wellen zum Thema Online-Casino auf. Der Spam-Anteil am gesamten E-Mail-Aufkommen lag für diesen Zeitraum bei 90,1 Prozent. Dies ist der bisher höchste in diesem Jahr erreichte Wert.
Bei den Spam-Nachrichten handelt es sich um “normale” Text-E-Mails, die keine Bilder dafür jedoch in der Regel zwei Links direkt zu Online-Casinos, wie z.B. “Ruby Palace”, enthalten. Hauptherkunftsländer sind Indien, Rumänien und Russland.
Beide Beispiele zeigen erneut, dass der Einsatz einzelner Spam-Erkennungstechniken nicht erfolgreich ist. Die Verfolgung des Links in der gefälschten O2-Bestellung hätte zur offiziellen Seite von Adobe geführt und zu einer Kategorisierung der E-Mail als „clean“ geführt. Content-basierte Filter, die auf die in letzter Zeit dominierenden Diät-Spam-E-Mails optimiert sind, hätten dagegen mit den Casino-E-Mails große Schwierigkeiten gehabt. Dagegen erkannte die auf der Erkennung massenhaft verbreiteter E-Mails basierende Anti-Spam-Technologie von Eleven beide Wellen schnell und zuverlässig.