Heute erhielt ich Post von einer gemeinen Kröte. Normalerweise lösche ich solche Mails gleich. Aber die war halbwegs plausibel und hatte nur auf den zweiten Blick erkennbar einen Trojaner drin. Deswegen habe ich mir den Spaß gemacht und die Mail näher angeschaut. Hier erst mal der Text:
Guten Tag,
Ihr Auftrag Nr. SP9327678 wurde erfullt.
Ein Betrag von 6220.88 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
Sie finden die Details zu der Rechnung im AnhangPayPal (Europe)
S.941; r.l. & Cie, S.C.A.
67-85 Boulevard Royal
L-2248 LuxembourgGruss,
Vertretungsberechtigter: Latoya Crouch
Handelsregisternummer: R.C.S. Luxembourg B 502 263
Als Absender-Adresse dieser angeblichen Paypal-Mail wird "Latoya Crouch" <vhsyxysid@bookreviewclub.com> angegeben, das Betreff ist "Ihre Rechnung N85696203". Abgesehen davon, dass das außerdem noch an meine SPAM-Adresse ging, enthält die Mail ein paar sachliche Fehler, die entweder auf der Dummheit oder mangelnde Sprachkenntnis beruhen:
- Wenn sie mir etwas abbuchen, dann sollte es nicht "Ihre Rechnung" sondern "unsere Rechnung" heißen.
- Der Betrag wird bei uns mit Komma angegeben und nicht mit Punkt. Banker wissen das.
- Was auf meinem Bankauszug steht, wissen die nicht. Aber man kann als Auftraggeber den Überweisungszweck angeben.
- Wer Paypal kennt, wird wissen, wie der Geldtransfer mittels Paypal funktioniert.
Das beiliegende Zip namens "Rechnung_S833.zip" enthielt nur die Datei "Rechnung___________________________________________NRDKJH8833423444229.exe", die so richtig verseucht war.
Der Header der Mail enthielt übrigens:
Delivered-To: GMX delivery to xxx (von mir entfernt)
Received: (qmail invoked by alias); 24 Jul 2008 19:19:16 -0000
Received: from francepub.net1.nerim.net (EHLO francepub.net1.nerim.net) [62.212.108.213]
by mx0.gmx.net (mx081) with SMTP; 24 Jul 2008 21:19:16 +0200
Received: from [62.212.108.213] by mx2.balanced.looney.mail.dreamhost.com; Thu, 24 Jul 2008 20:19:15 +0100
Die Mail wurde also vermutlich von der IP-Adresse 62.212.108.213 abgeschickt. Wobei fraglich ist, ob der Absender wirklich böse ist oder nur sein Rechner gehackt wurde… Vielleicht hat er auf die "Rechnung" geklickt?