Eine falsche Telekom-Rechnung und unfreiwillige Erkenntnisse über die Wirkweise von Spam

Seit gestern werde ich unfreiwillig Zeuge der Wirkweise und auch der Verbreitung von Spam-Nachrichten. Dies blockiert zwar auf der einen Seite Kapazitäten im E-Mail-Postfach. Es ist aber umgekehrt auch interessant zu sehen, wie sorglos manche Zeitgenossen mit unverlangt eingehenden E-Mails umgehen.

Es begann mit einer gefälschten E-Mail, die angeblich von der Telekom stammen sollte. Unter der Betreffzeile „Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 050592725535646573 vom 06.01.2014 des (06-Jan-2014 12:30)“ wurde die folgende Nachricht an die E-Mail-Adresse ueberweisung-f-s-4@finanz-institut.com mit dem Zusatz „High Priority“ versandt:

„Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat December,
Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 050050252532729573 vom 06.01.2014 des Kundenkontos 387387679622).

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 122265872
WEEE-Reg.-Nr.: 60800328“

Dort, wo „Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 050050252532729573 vom 06.01.2014 des Kundenkontos 387387679622)“ steht, war einmal ein Link eingebaut. Beim Überfahren des Links mit der Maus wurde irgendeine ominöse Domain angezeigt, bei der eigentlich sofort klar sein sollte, dass sich dahinter so ziemlich alles, aber niemals die Deutsche Telekom verbergen wird. Auch die sehr „individuelle“ Anrede „Sehr geehrte Kundin, sehr geehrter Kunde“ sollte einem eigentlich zu denken geben.

Der gleiche Blödsinn, der so oft per Spam-Mail kommt also. Da dies eigentlich nicht einmal interessant genug ist, um darüber hier im jhmc Blog zu schreiben, habe ich die Spam-Mail einfach gelöscht.

Doch weit gefehlt: Kurz darauf erhielt ich eine Antwort auf die Spam-Mail. Ein Unternehmen aus Sundern antwortete:

„Sehr geehrte Damen und Herren

Leider können wir die Dateien nicht öffnen.

Mit freundlichem Gruß

(Name des Inhabers)“

Diese Nachricht schickte der Unternehmer aus Sundern an die Absender-E-Mail-Adresse, die sich zwar als „Telekom Deutschland GmbH“ tarnt, in Wahrheit (wie man ebenfalls beim Überfahren der als Link dargestellten E-Mail-Adresse mit der Maus sehen kann) einem Bauunternehmen gehört, dessen Account offensichtlich gehackt wurde. Außerdem setzte er als weiteren Empfänger die offenbar als E-Mail-Verteiler fungierende ursprüngliche Zieladresse ueberweisung-f-s-4@finanz-institut.com ein.

Ja, und damit hatte ich seine Antwort dann ebenfalls im E-Mail-Postfach. Sicherheitshalber rief ich den freundlichen Absender einmal an und fragte, ob die E-Mail über die E-Mail-Adresse der Jörg Haupt Management Consulting gekommen wäre. Dies wurde jedoch verneint. Seit der Unternehmer seine Antwort an die oben genannten E-Mail-Adressen geschickt hatte, hatte er aber offenbar hunderte Rückmeldungen bekommen. Offensichtlich funktioniert also tatsächlich eine der genannten E-Mail-Adressen als E-Mail-Verteiler.

Interessanterweise springen seitdem weitere Unternehmer aus dem Verteiler auf den Zug auf. Alle antworten dem oben zitierten Unternehmer aus Sundern, dass sie keine Rechnung geschickt hätten. Und alle setzen auch brav die gefälschte Telekom-E-Mail-Adresse sowie die Verteiler-Adresse ueberweisung-f-s-4@finanz-institut.com in CC. Und damit erhalte ich nun ebenfalls alle Antworten, die an den Unternehmer aus Sundern gerichtet sind.

Ein Unternehmer aus Radevormwald antwortet, dass er dem Unternehmer aus Sundern keine Rechnung geschickt hätte. Ein weiterer Unternehmer aus Hennef gibt dem Unternehmer aus Sundern immerhin den Hinweis, wie mit solchem Spam umzugehen ist:

„Sehr geehrter Herr (Unternehmer aus Sundern),

die Dateien, bzw. den Link sollten Sie auch nicht öffnen, da es sich wohl hier um einen versandten Virus handelt.

Der E-Mailaccount des Versenders (E-Mail-Adresse des Bauunternehmens) ist wohl gehackt worden um die Virus-E-Mail zu versenden.

Auch unsere Firma hat diese E-Mail bekommen.

@(Bauunternehmen): Bitte Ihren Account prüfen lassen, da er wohl gehackt wurde.“

Allerdings setzte er ebenfalls die Verteiler-Adresse ueberweisung-f-s-4@finanz-institut.com in CC – und verlangte auch noch eine Lesebestätigung, die ich natürlich verweigert habe.

Eine Agentur aus Travemünde schreibt:

„Sehr geehrte Damen und Herren,

diese E-Mail ist eine Junk-E-Mail. Sie wird mit Sicherheit einen schädlichen Virus enthalten. Bitte öffnen Sie die Datei nicht. Der Absender wird auf keinen Fall die Deutsche Telekom sein.“

Ja, damit hat sie Recht, schickt ihre E-Mail aber ebenfalls an den gehackten Account und die Verteiler-Adresse. Wie gut, wenn man den Spammern auch noch bestätigt, dass es die eigene E-Mail-Adresse tatsächlich gibt. 😉

Ein weiterer Unternehmer schreibt:

„… das ist Spam – und der Anhang vermutlich mit Viren verseucht.

Falls sonst noch jemand mitliest: bitte die Passwörter für die Mailserver ändern. Sonst hört das ja nie auf :-(“

Nun ja, mein Passwort habe ich längst geändert. Das spielt allerdings keine Rolle, da auch dieser Unternehmer schön brav die gehackte E-Mail-Adresse und den E-Mail-Verteiler in Kopie gesetzt hatte.

Das Sekretariat der Geschäftsleitung eines Unternehmens aus Berggießhübel antwortet an den Unternehmer aus Sundern sowie den gehackten Account und den Verteiler:

„ist das ein Irrläufer? In meiner Mail befinden sich keine Anhänge.“

Ein Unternehmen aus Pulheim warnt ebenfalls vor Viren, hat aber brav den gehackten Account und den Verteiler in CC gesetzt. Ein Autohaus aus Lennep antwortet mit dem Hinweis „Irrläufer!!!“ und – Sie ahnen es bereits – hat ebenfalls wieder den gehackten Account und den Verteiler in CC gesetzt. Um die Sache perfekt zu machen, hat das Autohaus auch noch eine Lesebestätigung angefordert, die ich natürlich ebenfalls verweigert habe.

Einige Spaßvögel antworten ohne Texteingabe und auch ein nicht ganz unbekannter Lebensmittelhersteller gibt den freundlichen Hinweis, dass die E-Mail wohl ein Irrläufer sei. Offenbar fehlt also auch richtig großen Unternehmen oftmals die geeignete Unternehmenspolitik hinsichtlich des Umgangs mit Spam. Die Mitarbeiter klicken derweil auf alles, was sich nicht schnell genug ducken kann. Dass die hier zitierten Leute alle ebenfalls nicht nur dem Unternehmer aus Sundern geantwortet haben sondern schön brav den gehackten Account und den Verteiler in CC gesetzt haben, muss eigentlich schon nicht mehr erwähnt werden, oder?

Auch das Deutsche Rote Kreuz informiert den Unternehmer aus Sundern und auch den gehackten Account sowie den Verteiler, dass es sich um eine „badmail“ handelt. Ein Unternehmen aus Meerbusch schreibt derweil:

„wir erhalten Ihre Korrespondenz, die nicht für uns bestimmt ist.

Prüfen Sie bitte Ihre Emailadressen. Wir setzen Sie nunmehr auf unseren Spamfilter.“

Damit ist natürlich nicht die Jörg Haupt Management Consulting gemeint. Denn das Meerbuscher Unternehmen schickte seine E-Mail natürlich an den Unternehmer aus Sundern, den gehackten Account des Bauunternehmens und den Spam-Verteiler ueberweisung-f-s-4@finanz-institut.com.

Weitere Empfänger dieses unfreiwilligen E-Mail-Verkehrs habe ich einfach gelöscht, denn sonst könnte ich noch den ganzen Tag so weiter machen. Etliche dieser E-Mails waren wiederum mit Lesebestätigung.

Wow, was für ein Bohei! Dabei ist der Umgang mit Spam doch ganz einfach: Ablage „P“. Löschen, nicht antworten, niemals auf enthaltene Links klicken oder gar die Anhänge öffnen. Aber manche lernen es offenbar nie. Und so lange das der Fall ist, wird es auch weiterhin Spam geben – und ich habe etwas zum Bloggen. 😉

Ebenfalls genial: So kann man auch Adressen von Unternehmen inklusive der Ansprechpartner sammeln.  😉

Kontakt +++ jhmc +++ jhmc @ twitter +++ jhmc @ Facebook +++ jhmc @ Google +

Bookmark and Share

Schreibe einen Kommentar