Das Eleven Research-Team warnt vor gefälschten Buchungsbestätigungen der Deutschen Bahn, die derzeit in großer Zahl per E-Mail versandt werden und einen gefährlichen Virus verbreiten. Die E-Mail hat den Absender buchungsbestaetigung@bahn.de, den die Bahn tatsächlich für Buchungsbestätigungen einsetzt. Auch die Nachricht selbst wirkt äußerst authentisch: Sie enthält Auftrags- und Kundennummer sowie einige Links, die auf die Orginalseiten der Bahn verweisen. Inhalte, Formulierungen und Links sind exakt aus echten Buchungsbestätigungen herauskopiert und erzeugen daher den Eindruck einer echten Nachricht der Bahn. Nur bei der Betreffzeile haben die Spammer einen Kopierfehler gemacht: Statt “Vielen Dank für Ihren Fahrkartenkauf” plus Auftragsnummer in Klammern haben sie einen Betreff nach dem Muster “Ihren Fahrkartenkauf (Auftrag DX62SG)”.
Eine der drei größten Virenausbruchswellen der letzten 30 Tage
Die Gefahr verbirgt sich im Anhang. Dieser ist eine ZIP-Datei, deren Dateiname den Betreff zitiert und beispielsweise “Ihren Fahrkartenkauf_SQ7OTD.zip” lautet. Im Zip-Archiv befindet sich eine als PDF-File getarnte ausführbare Datei (.exe). Wenn der Nutzer diese anklickt, wird die Schadsoftware auf dem Rechner installiert. Bei der Malware handelt es sich um einen Trojaner, der Windows-Systeme befällt und derzeit nur von sehr wenigen Virenscannern erkannt wird. Die Welle begann am Morgen des 15. Mai 2013 und gehört zu den drei größten Virenausbruchswellen der letzten 30 Tage. Erstmals gesehen wurden die E-Mails heute um 09:28 Uhr und konnten bereits wenige Sekunden später als “Outbreak” klassifiziert werde. Als Virus wurden sie um 14:28 Uhr, fünf Stunden später, erkannt.
Erkannt werden können die gefälschten E-Mails an der fehlerhaften Betreffzeile und daran, dass die Auftragsnummer im Betreff nicht mit jener in der E-Mail und jener im Dateinamen des Anhangs übereinstimmt. E-Mail-Nutzern, die solche E-Mails erhalten und tatsächlich kürzlich eine Online-Buchung bei der Deutschen Bahn getätigt haben, wird geraten, die E-Mail-Nachricht mit der tatsächlichen Buchungsbestätigung, die jeder Kunde unmittelbar nach getätigter Buchung erhält, oder mit den Angaben zur Buchung, die im Kundenbereich der Bahn-Website einzusehen sind (zu erreichen unter http://bahn.de und Klick auf “Login”) zu vergleichen. In keinem Fall sollte der Anhang geöffnet werden, da nur dann eine Infektion des Rechners stattfindet.
Zeitgleiche E-Mail-Welle in spanischer Sprache mit identischer Schadsoftware
Die derzeitige Welle bestätigt den Trend hin zu länderspezifischen Spam- und Malware-Kampagnen, die in der jeweiligen Landessprache verfasst sind und im Zielland bekannte und populäre Marken oder Online-Dienste als Köder benutzen. Dafür spricht auch, dass das Eleven Research-Team zeitgleich E-Mails mit der gleichen Schadsoftware im Anhang und aus den gleichen Quellen entdeckt hat, die in spanischer Sprache verfasst sind (Betreff: “Mensajes multimedia (MMS)”). Diese geben vor, vom Mobilfunkanbieter Vodafone zu stammen und über den Erhalt einer MMS zu informieren. Zielgerichtete und auf Nutzer eines bestimmten Landes oder Sprachgebietes zugeschnittene Wellen sollen dem Empfänger die Legitimität der E-Mail vortäuschen und die Öffnungsrate von Spam- und Malware-E-Mails gegenüber herkömmlichen nach dem “Gießkannenprinzip” verbreiteten Kampagnen deutlich erhöhen.