handverlesene Smartphones & Co
handverlesene Tarife
handverlesene Anleitungen, Bücher, Lesestoff

Warnung: Falsche Rechnung von jb@litfas.de

Die falsche Rechnung ist nicht von mir – meine Adresse wird missbraucht

Seit drei Wochen berichten Freunde und Bekannte, sie haben per E-Mail eine falsche Rechnung von mir bekommen. Was tun?

Meine Vermutung: Jemand hat sich E-Mail-Adressen “besorgt” und will damit betrügen. Entweder abkassieren mit Hilfe falscher Rechnungen und/oder Surfer auf eine Phishing-Seite locken, um deren Bankdaten abzufischen und Konten zu leeren. Ich bin nicht als Empfänger betroffen, sondern meine E-Mail-Adresse wird als Absender missbraucht. Empfänger, die mich kennen, sollen glauben ich sei der Absender; und dann arglos auf den gefährlichen Link klicken.

Ich beschreibe den Vorgang und meine Analyse hier als Warnung für mögliche zukünftige Empfänger. Bei den Empfängern, die mich darauf angesprochen haben, bedanke ich mich ausdrücklich. Denn so konnte ich ihnen bestätigen, dass ich diese Rechnungen nicht geschickt habe. Meine Empfehlung war, diese E-Mail sofort zu löschen und die Rechnung auf keinen Fall zu öffnen (Phishing- oder Trojaner-Risiken). Zum Glück hatten das alle schon von sich aus so gemacht.

Dass auch andere Empfänger eine falsche Rechnung von “mir” bekommen haben oder bekommen werden, muss ich befürchten.

Fehlermeldungen, die ich nicht verursacht habe

Ich vermute einen Zusammenhang mit E-Mails, die ich in diesen Tagen bekam: mehrere Fehlermeldungen von MAILER-DAEMON@YAHOO.COM. Diese automatischen Meldungen sind üblich, wenn eine E-Mail wegen eines Fehlers nicht zugestellt werden konnte. Zwei der Fehler sind eindeutig. Eine der Empfänger-Adressen kenne ich, sie existiert seit ca. 5 Jahren nicht mehr, auch nicht in meinen Kontakten. Eine andere Empfänger-Adresse enthält offensichtlich einen Tippfehler (googlmail statt googlemail). Weitere Adressen sind mir völlig unbekannt.

Diese Fehlermeldung kommt normalerweise vom Server des Absenders. “MAILER-DAEMON@YAHOO.COM” lässt vermuten, dass der Absender (in diesem Fall soll ich das sein) eine E-Mail-Adresse bei YAHOO hat. Aber keiner der erkennbaren Beteiligten ist bei YAHOO: Meine eigene (als Name eingetragene) Adresse ist nicht bei YAHOO, die als Absender eingetragene Adresse nicht und auch nicht die als Empfänger eingetragene Adresse. Ich habe zu keiner der Absenderadressen irgendeine Beziehung.

Die Fehlermeldungen betrafen ausnahmslos Absender bei den E-Mail-Providern ATT.NET und SBCGLOBAL.NET. Es scheint eine organisatorische Verbindung zwischen YAHOO.COM und diesen Providern zu bestehen.

In der vergangenen Woche ging eine Meldung zu Yahoo durch die Tagespresse. Z.B. die berichtete WELT: “Hacker haben persönliche Daten von allen drei Milliarden Nutzerkonten von Yahoo gestohlen.” Das ist fast die halbe Weltbevölkerung. Ist das ein zufälliges Zusammentreffen?

Nachtrag 16.10.2017: Es “tröpfeln” immer noch Fehlermeldungen vom MAILER-DAEMON@YAHOO.COM, keiner der Empfänger hat mit mir irgendetwas zu tun. Neben jb@litfas.de benutze ich weitere E-Mai-Adressen. Auch zwei dieser Adressen tauchten als angebliche Absender in den Fehlermeldungen auf.

Die falsche Rechnung im Faktencheck

Ich versuche ein Muster zu erkennen, nach dem die Empfänger betrogen werden sollten. Evtl. kann ich jemand warnen und vor einem Schaden bewahren.

Gibt es Rechnungen oder Zahlungen?

Ich habe den Betroffenen keine Rechnung geschickt, dafür gab es keine Veranlassung. Das war den Empfängern und mir klar.

Bei mir sind keine Zahlungen angekommen. Das wäre natürlich auch nicht die Absicht des Kriminellen gewesen. Ob jemand auf den Betrug hereingefallen ist und an den Kriminellen gezahlt hat, kann ich nicht erkennen.

Sinnvollerweise hat keiner meiner Ansprechpartner die falsche Rechnung geöffnet. Phishing- oder Trojaner-Risiken wären zu groß gewesen. Ich habe also keine Rechnung gesehen. Namen, Adressen, Konten der Betrugsmasche sind mir nicht bekannt.

Stimmt die E-Mail-Adresse?

Die falsche Rechnung war wohl kein PDF-Anhang, sondern ein Link in der E-Mail. Im Absender der E-Mail stand meine E-Mail-Adresse jb@litfas.de. Diese Adresse ist öffentlich bekannt, z.B. aus dem Impressum meiner Webseite litfas.de oder von meiner Visitenkarte. Der Kreis der denkbaren “Verdächtigen” ist nicht überschaubar.

Für einen Hacker mit krimineller Energie ist es einfach, die “missbrauchte” Adresse (hier: jb@litfas.de) als Absender erscheinen zu lassen. Diese Art der Programmierung ist einfach. Der Empfänger liest dann z.B.

jb@litfas.de <hacker@provider.com>

Die Fälschung ist also daran erkennbar, dass der gefälschte “Name” (hier: jb@litfas.de) von der verwendeten E-Mail-Adresse (als Beispiel konstruiert: <hacker@provider.com>) abweicht.

Falsche Rechnung vom gefälschten Empfänger

Tatsächlich wird der Hacker eine weniger auffällige Absender-Adresse verwenden, er will ja den Empfänger nicht mit der Nase auf die falsche Rechnung stoßen. Vermutlich kann er auch diese Adresse fälschen.

Welche Adresse(n) in meinem Fall verwendet wurden, kann ich nicht mehr feststellen, die E-Mails wurden ja gelöscht. Aus den Fehlermeldungen der unzustellbaren E-Mails erkenne ich unterschiedliche Absender bei Providern, die irgendwie mit YAHOO zusammenhängen. Mit diesen Absendern und Providern habe ich nie zu tun gehabt.

Wurde meine E-Mail-Adresse “gekapert”?

Eine Vermutung war, dass meine E-Mail-Adresse “gehackt” wurde. Z.B. könnte ein Krimineller mein Passwort geknackt und meine Kontodaten geändert haben, um meine Adresse für das Senden seiner Betrugs-Mail zu missbrauchen.

Die Vermutung bestätigte sich nicht:

  • Kapern ist überflüssig. Eine Adresse kann missbraucht werden (s.o.), ohne dass der Kriminelle auf den Account zugreifen kann. Dafür ist kein Hacken erforderlich. Dem Kriminellen genügt es, die Adresse zu kennen.
  • Kapern ist schwierig. Mein Passwort gilt als sicher, es ist lang genug, es benutzt Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern. Ich benutze es ausschließlich für diesen Account. Das ist zwar keine Garantie, aber eine ganz ordentliche Basis.
  • Ich konnte mich in meinen Account mit meinem gewohnten Passwort einloggen – verändert war es nicht. In meinem Account fand ich keinen Hinweis auf Eindringlinge. Nach dem Einloggen änderte ich das Passwort sicherheitshalber. Auch nach dieser Änderung bekam ich Hinweise auf Fake-Rechnungen und Yahoo-Fehlermeldungen.

Welche Empfänger sollen getäuscht werden?

Kann jemand mein Adressverzeichnis (meine “Kontakte”) ausgelesen bzw. kopiert haben?

  • Meine Kontakte sind im PC und im Smartphone gespeichert. Beide Datenbestände synchronisiere ich regelmäßig. Weder mein PC noch mein Smartphone waren unbeaufsichtigt und für Unberechtigte zugänglich.
  • Ich habe keine Kontakte in der Cloud gespeichert, also nicht bei Google, WhatsApp oder E-Mail-Providern. Dort können sie nicht gestohlen / kopiert worden sein. Auch wenn WhatsApp mir als üblicher Verdächtiger zuerst einfiel.
  • Es gibt Empfänger, die ich zwar kenne, die aber nicht in meinen Kontakten stehen (z.B. Angehörige meiner Kontakte). Mit denen habe ich auch keine E-Mails ausgetauscht. Wo ist der Zusammenhang mit “meiner” Rechnung?
  • Ich habe relativ viele Kontakte gespeichert, nur ca. 2% meldeten sich bei mir wegen der falschen Rechnung. Blieben die anderen verschont? Wenn ja, warum?

Welche Gemeinsamkeiten haben die Empfänger?

  • Ich erkenne bei den Empfängern überhaupt keine Gemeinsamkeiten bzgl. Wohnort, Arbeitsplatz, Freizeitinteressen, Internet-Aktivitäten, Lebensalter.
  • Die meisten Empfänger kennen sich m.W. untereinander nicht, d.h. sie korrespondieren auch nicht per E-Mail, WhatsApp oder anders.

Wurde mein Computer “gekapert”?

Manche Computer werden – ohne Wissen der Nutzer – Teil eines “Botnetzes”. Viele private Computer werden von Kriminellen “gekapert”. Während die Nutzer ihren Computer nutzen, versenden die gekaperten Computer im Hintergrund Spam und Schadsoftware.

Mein Computer ist nicht betroffen. Dafür sorgte die installierte Schutzsoftware. Das wurde durch zusätzliche Scans und einen Botnet-Check im Internet bestätigt.

Was bedeutet das nun?

Was Sie betrifft

Sie erkennen eine falsche Rechnung ganz einfach daran, dass der “Name” des Absenders (hier: jb@litfas.de) nicht mit der Adresse des Absenders (in spitzen Klammern) übereinstimmt. Ich habe keine falsche Rechnung versendet, Sie brauchen sie nicht zu bezahlen. Öffnen Sie die Rechnung nicht, weder als Link noch als angehängte Datei. Löschen Sie die Rechnungs-Mail sicherheitshalber. Im Zweifel fragen Sie mich.

Was ich tun kann

Ich kann nicht erkennen, dass meine Daten diese falschen Rechnungen ermöglicht haben, und ich habe kein Muster erkannt, nach dem die Empfänger die falsche Rechnung zugeschickt bekamen. Hier gehen immer mehr MAILER-DAEMON-Fehlermeldungen ein, mit immer mehr Empfänger-Adressen, die mit meinen Kontakten nichts zu tun haben. Das kann nur heißen, das meine Kontakte nicht angezapft wurden, und dass meine E-Mail-Adresse ohne mein Zutun bei Adresshändlern und Kriminellen gelandet ist.

Ich habe mein E-Mail-Passwort geändert und den Computer auf Schadsoftware geprüft. Im Internet finde ich für ähnliche Situationen keine weiteren Empfehlungen. Man soll abwarten, bis die Spam-Welle ausgelaufen ist.

Soll ich meine missbrauchte E-Mail-Adresse löschen? Das würde bedeuten, dass ich nicht mehr erreichbar wäre, wenn jemand nur diese Adresse kennt. Kriminelle könnten trotzdem nicht daran gehindert werden, die missbrauchte Adresse und deren Bekanntheitsgrad weiterhin zu missbrauchen. Jede neue Ersatz-Adresse könnte ebenso missbraucht werden.

Was ich nicht beeinflussen kann

Rechnungen per Link zu versenden (anstelle von PDF-Datei oder Briefpost) ist möglich, aber unüblich und sehr selten. Wenn ich Rechnungen versende, mache ich das per E-Mail mit PDF-Anhang. Ich habe nicht vor, das zu ändern.

Das Ziel des Kriminellen sollte offensichtlich mithilfe der Webseite erreicht werden, die in der E-Mail verlinkt war. Wenn diese Webseite “infiziert” ist, kann Sie z.B. diese Schäden verursachen:

  • Sie dient als Phishing-Seite und verleitet den Empfänger, z.B. Bankdaten (wie Kundennummer, PIN und TAN) preiszugeben und damit dessen Bankkonto leer zu räumen.
  • Sie installiert auf dem Gerät des Empfängers einen Trojaner, der eine Hintertür für das spätere Installieren von Schadsoftware (Viren, Phishing etc.) öffnet.

Im Zusammenhang mit einer Rechnung liegt die Phishing-Vermutung nahe. Besonders perfide ist die hier eingesetzte Masche, mit einer persönlich bekannten Adresse (jb@litfas.de) zunächst Vertrauen zu erzeugen und dann zuzuschlagen. Diese Masche nutzt menschliche Eigenschaften für einen Betrug – ähnlich wie der Enkeltrick.

Empfehlung

Ich kann niemanden gezielt warnen. Deswegen hier der allgemeine Appell: Seien Sie so aufmerksam wie die Empfänger, die mich angesprochen haben. Im Zweifel schreiben oder rufen Sie mich an, bevor Sie auf die falsche Rechnung reagieren.

Viel Glück und bleiben Sie wachsam! Es gibt keine Hinweise darauf, ob die Serie abgeschlossen ist.

Falls Sie noch eine mögliche Erklärung oder andere Idee dazu haben, schreiben Sie bitte unten einen Kommentar. Danke!

Kontakt

Sie haben ganz andere Fragen, Wünsche oder Vorschläge? Sprechen Sie mich gern unverbindlich an.
Sie möchten eine E-Mail bei neuen Inhalten als kostenloses Abo?

Print Friendly, PDF & Email

Leave a Reply

  

  

  

Time limit is exhausted. Please reload CAPTCHA.

zum Seitenanfang

Kontakt wegen Privatstunden Kontakt leicht gemacht

Impressum | Datenschutzerklärung | Login