[Warnung] Virus im Namen von Nurflug.de

ANZEIGE

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
ANZEIGE
Ich bin mir nicht ganz sicher ob es überhaupt hierher gehört - eventuell also löschen/verschieben.

Angesichts der akutellen Ausmaße des Verschlüsselungstrojaners Locky (https://de.wikipedia.org/wiki/Locky) und des vorgegaukelten Absenders (Nurflug.de) möchte ich das hier aber doch einmal anbringen.
Ich habe heute Mittag folgende Mail (zugegebenermaßen an meine SPAM-Adresse) erhalten:
Sehr geehrte/r Kundin/Kunde,
vielen Dank für Ihre Buchung XXXXXX

In der Anlage übermitteln wir Ihnen Ihre Bestätigung/Rechnung im PDF Format.
Sollten Sie das PDF Dokument nicht öffnen können, so erhalten Sie den Acrobat Reader dazu kostenlos unter [link entfernt]
Wir wünschen Ihnen eine schöne und erholsame Reise !
Ihr Reise- & Buchungsservice Team
PS: Beachten Sie bitte unsere geänderten AGBs die wir für Sie unter [link entfernt] bereitgestellt haben.
Das XXXXXX entspricht dabei einer wohl fiktiven - aber in der Theorie gültigen - PNR. Als Absender ist Nurflug.de(info@nurflug.de) angegeben. Dass das wohl nicht stimmt, dürfte klar sein.
Anbei ist eine .zip-Datei... was beim Öffnen passieren dürfte, kann sich wohl jeder ausmalen.
Im Grunde sollte das Erkennen dieser Sachen zum kleinen 1x1 des Internetnutzers gehören, aber die Realität sieht bei der durchschnittlichen deutschen HID-Bedienungseinheit leider häufig anders aus - wie der Erfolg von Locky zeigt.
Da es im Unister-Universum nicht ausgeschlossen ist, dass bei A bestellt wird, die Rechnung aber auf B läuft und das mit den Tickets und Rechnungen immer ein wenig "eigenartig" läuft, trotzdem hier der Hinweis.

P.S. Hat noch wer diese Mail erhalten?
 
  • Like
Reaktionen: konnimutti und feb

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
Dieser Typ SPAM ist wohl der einzige, den ich nicht bekomme! :cry: Wo kann ich mich anmelden? Will auch adelig werden. :(
 

Interhart

Neues Mitglied
01.03.2016
2
0
Diese Spam Mail von "nurflug.de" habe ich heute auch erhalten, natürlich nichts geöffnet. Also auch sage: Größte Vorsicht, da sind Verbrecher auf dem Weg ...
 

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
Hallo und herzlich willkommen Interhart.
Ich möchte aber ausdrücklich darauf hinweisen, dass diese Mail wohl nicht von Nurflug.de selber stammt. Nurflug.de dürfte hier genau so Opfer sein, wie jeder Empfänger.

Interessante Randbeobachtung: Der Anhang scheint vom Namen her folgendes Format aufzuweisen: JahrMonatTagID
Mich würde mal interessiere, was diese fortlaufende Nummer zu bedeuten hat. Wenn diese wirklich eindeutig und fortlaufend ist (worauf es momentan hindeutet), wurden wohl schon >650k dieser Mails verschickt. Was der Absender mit der Nummerierung wohl beabsichtigt? Identifizierung von HoneyPots - also Empfänger, die diese Mails bei Empfang veröffentlichen?
 

Interhart

Neues Mitglied
01.03.2016
2
0
Hallo Steppo, ja, ich nehme auch an, dass diese Mail ein Fake ist, und nicht von Nurflug.de selbst stammt. Eigenartig ist nur, dass ich tatsächlich eben einen Flug gebucht hatte (nicht bei Nurflug.de, aber da hatte ich wohl auch zuvor recherchiert), also nehme ich an, dass diese Website gefilzt wird. Leider kommt sowas in dieser Art immer wieder vor, man muss dabei höllisch aufpassen, dass keine Bankdaten oder so gestohlen werden. Ich habe einen guten Virenscanner, aber über die E-Mail kommt heut zu Tage mehr Betrug rein als Jahre zuvor. Auch die E-Mail muss gut überwacht sein. Mein Filter hatte mir bei Empfang diese Bemerkung davor gesetzt: "Suspicious part has been deleted :Buchung/Rechnung DH80RK". Die Nummerierung versteh ich auch nicht.
 

Zocky

Erfahrenes Mitglied
23.11.2015
2.030
108
ZRH
Bei uns in der Bank geistert dieser Virus auch herum. Allerdings kommt der Anhang nicht von nurflug, resp. als Fakeabsender.Hier scheinbar als Worddokument verkleidet und nennt sich "Invoice 12345" oder "New Docxxx.docm" und bringt Makros mit. Beim Öffnen fordert der Trojaner, dass man die Makros aktiviert. Führt man dies aus, verbindet sich das Makro mit einem Befehlsserver und lädt eine Software herunter, die all die Dateien verschlüsselt. Danach wird man darüber in Kenntnis gesetzt und gebeten ein halbes bis zwei Bitcoins wegen der nun fälligen Entschlüsselung zu bezahlen. Der Trojaner hilft gerne und erklärt Schritt für Schritt das weitere Vorgehen, von der nicht zu knackenden Verschlüsselung und über die Kontaktaufnahme mit den "ehrenwerten" Schlüsselbesitzern.Nein ich habs nicht ausprobiert, dass hat unsere IT als Info und Warunung mitgegeben :)
 

nhobalu

Forumskater
18.10.2010
10.832
-38
im Paralleluniversum
Leider nein. Ein guter Virenscanner lässt ausführbare Dateien (z.B. ZIP) natürlich nicht durch. ;)


Stimmt. Und genau deswegen bin ich seit Monaten im Stress mit dem Scheiss Telekomikerladen, weil die uns jeden Monat immer noch eine Rechnung als ZIP schicken. Die kommt noch nicht mal im Outlook an sondern wird im Scanner sofort gelöscht...
Witzigerweise sind alle anderen Rechnungen im PDF Format.
 

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
Durchaus bemerkenswert finde ich auch die Reaktion des "Opfers". Heute Mittag war die Seite noch regulär erreichbar. Nun wird doch glatt mit einem 301-Redirect (Gleichbedeutend mit: Diese Seite wurde abgeschaltet, benutzen Sie bitte nur noch die andere) auf eine wohl "neuere" Version der Seite unter anderer Domain umgeleitet. Man nimmt den extra-Traffic verunsicherter Benutzer offensichtlich gerne mit. Ich hätte allerdings mindestens einen Hinweis erwartet.. aber nunja.
Guerilla-Marketing v4.0 - mir kommt da eine Idee...:idea:
 

SleepOverGreenland

Megaposter
09.03.2009
20.442
8.726
FRA/QKL
Stimmt. Und genau deswegen bin ich seit Monaten im Stress mit dem Scheiss Telekomikerladen, weil die uns jeden Monat immer noch eine Rechnung als ZIP schicken. Die kommt noch nicht mal im Outlook an sondern wird im Scanner sofort gelöscht...
Witzigerweise sind alle anderen Rechnungen im PDF Format.
Ich glaube bei uns kommt nur eine Email, dass die Rechnung irgendwo im Kundencenter als PDF abrufbar ist.
 

SaschaT82

Erfahrenes Mitglied
23.01.2012
2.418
1
In dem Zusammenhang:
Neuer Virus schützt sich mit einem Passwort | heise Security

Stimmt. Und genau deswegen bin ich seit Monaten im Stress mit dem Scheiss Telekomikerladen, weil die uns jeden Monat immer noch eine Rechnung als ZIP schicken. Die kommt noch nicht mal im Outlook an sondern wird im Scanner sofort gelöscht...
Witzigerweise sind alle anderen Rechnungen im PDF Format.

Ich bekomme meine monatliche Privatkunden Rechnung als PDF Anhang von denen.
 

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
Inzwischen ist die alte Seite wieder online und mit Hinweis. :thumbup:
Dann war 301 wohl einfach unglücklich gewählt..