Der E-Mail-Dienst für PC-Profis, Ausgabe vom 6. Dezember 2005

Gefälschte Telekom-Rechnungen im Umlauf

Von Dr. Giesbert Damaschke, München

Liebe Leser,

es scheint so, als wollten die Viren- und Wurmprogrammierer zum Jahresende noch mal so richtig aufdrehen. Die Sober-Welle ist noch nicht vorbei (noch immer landen pro Tag mehrere Dutzend Sober-Mails in meinem Posteingang), da kursiert bereits der nächste Schädling.

Vertraute Masche

Wie bei Sober handelt es sich auch dieses Mal um einen alten Bekannten bzw. um eine bereits vertraute Masche. Der Wurm, der unter den Namen T.ComBill.K oder Trojan.Schoeberl und Trojan.Downloader bekannt ist, tarnt sich als scheinbare Telekom-Rechnung und verdutzt den Empfänger mit Rechnungen über mehrere Hundert Euro, die Details befänden sich angeblich im Mail-Anhang.

Der Empfänger, der erschrocken über den hohen Betrag die vermeintliche Rechnung öffnet, startet damit die Infizierung seines Computers. Anders als viele andere Schadensprogramme, deren Schaden vor allem in ihrer massenhaften Verbreitung besteht, ist T.ComBill.K richtig gefährlich. Er installiert einen so genannten "Keylogger", mit dem im Hintergrund alle Tastatureingaben protokolliert und via Internet an die Betrüger geschickt werden. So können Zugangsdaten, Passwörter, PINs ausspioniert, kurz: reale, finanzielle Schäden angerichtet werden.

Verbesserte Fälschung

Eine ähnliche Welle ging bereits vor mehreren Monaten durchs Netz, seinerzeit war es allerdings so, wie derzeit bei den angeblichen BKA-Mails: Sie waren formal fehlerhaft genug, dass sie schnell als Fälschung zu erkennen waren.

Doch die Programmierer der Schädlingsprogramme lernen dazu. Dieses Mal ist die scheinbare Telekom-Rechnung von groben formalen Schnitzern frei, die Mail ist in korrektem Deutsch und besitzt keine besonders auffälligen Signale, an denen man eine Fälschung erkennen könnte. Lediglich die unpersönliche Anrede "Guten Tag" könnte einen stutzig machen, schließlich werden Rechnungen in aller Regel persönlich adressiert.

Besonders fatal ist es, dass die Fälschungen fast zeitgleich mit den echten Telekom-Abrechnungen verschickt wurden. Dass es sich um eine Fälschung handeln muss, war mir zum Beispiel nur deshalb sofort klar, weil ich mehrere, verschiedene Rechnungen bekommen habe – und weil ich überhaupt kein Telekom-Kunde bin.

Chaos bei der Telekom

Bei meiner Suche nach eindeutigen Merkmalen, an denen auch ein Laie im Büroalltag eine solche Fälschung als Fälschung erkennt, besuchte ich natürlich zuerst die Telekom-Seiten. Ich hatte erwartet, hier – wie etwa auf den in diesem Punkt vorbildlichen Webseiten der Postbank – sofort und deutlich sichtbar Warnungen und Sicherheitshinweise zu finden.

Doch ganz so einfach ist es nicht. Die Probleme beginnen bereits bei der Webadresse. Wer die nahe liegenden Adresse "www.telekom.de" eingibt, der findet nach einigem Geklicke schließlich einen Menüpunkt "Rechnung Online". Dort muss man auf das "FAQ"-Icon klicken und schließlich auf den letzten Eintrag "Ich erhalte seltsame Rechnungs-E-Mails. Sind diese von der Deutschen Telekom?". Erst dann erhält man einen Link zu allgemeinen "Sicherheitshinweisen", bei denen der aktuell kursierende Trojaner endlich da behandelt wird, wo er hingehört: An erster Stelle.

Anders sieht es aus, wenn man, gewitzt, durch frühere Erfahrung mit dem Magenta-Riesen, die Adresse "www.t-com.de" ansteuert. Hier findet man zwar auch auf der Startseite keinerlei Hinweis, aber dafür bringt einen der Menüpunkt "Rechnung / Rechnung Online" zu einer entsprechenden Webseite, die mit einer Warnung vor gefälschten Rechnungen beginnt.

Immerhin.

Was die Telekom dazu sagt

Um Ihnen oder Ihren Mitarbeitern und Bekannten die lästige Klickerei und Suche auf den Telekom-Seiten zu ersparen, zitiere ich hier, was die Telekom selbst zu dem Problem zu sagen hat:

"Die Echtheit unserer Rechnung per E-Mail erkennen Sie an folgenden Merkmalen:

• Zu 98 % werden unsere Kunden in der E-Mail persönlich angesprochen.
• Es werden von der Deutschen Telekom keine Passwörter in einer E-Mail versandt.
• Ihre exakte Buchungskontonummer steht in der Betreffzeile.
• Rechnung und Einzelverbindungsübersicht sind nur als Datei mit der Endung *.pdf oder *.zip angehängt.
• Bei der digitalen Signatur ist zusätzlich noch eine Datei mit der Endung *.pkcs7 enthalten.
• In der Benachrichtigung per E-Mail ist niemals eine Datei enthalten.
• angegebene Links beginnen immer mit www.t-com.de"

Ich muss zugeben, dass ich ein wenig verwirrt bin – einerseits werden Rechnungen "nur als Datei mit der Endung *.pdf oder *.zip angehängt", andererseits aber heißt es, dass in "der Benachrichtigung per E-Mail ist niemals eine Datei enthalten" ist – ja, was denn nun?

Vorsicht ist die Mutter ...

Die Telekom scheint von der aktuellen Mailattacke offensichtlich überfordert zu sein, anders sind solche widersprüchlichen Angaben ja kaum zu erklären.

Was also ist zu tun? Ganz einfach: Man erinnert sich an das bekannte Sprichwort von der Mutter der Porzellankiste. Wann immer eine E-Mail eintrifft, in der man aufgefordert wird, einen Dateianhang zu öffnen, wann immer der erste Impuls des Empfängers darin besteht, dieser Aufforderung zu folgen, ist Vorsicht geboten. Hier wird mit hoher Wahrscheinlichkeit versucht, den Empfänger zu überrumpeln. Wenn der Anhang dann noch nur scheinbar aus einer Datendatei *.pdf oder *.zip besteht und es sich in Wahrheit um ein ausführbares Programm handelt – zu erkennen an der doppelten Dateiendung *.pdf.exe bzw. *.zip.exe –, dann ist die Sache klar: Es handelt sich um eine Schädlingsmail, die man am besten sofort löscht.

Ihr

Dr. Giesbert Damaschke

Aldi wird Mobilfunkanbieter

Es war nur eine Frage der Zeit, bis die Discounter den Mobilfunkmarkt entdecken. Nun ist es soweit: Ab dem 7. Dezember wird Aldi Mobilfunkanbieter.

Wie Simyo, Blau.de und ähnliche Angebote bietet auch "Aldi Talk" die Basisleistungen ohne Vertragsbindung und ohne gesponserte Handys. Und wie die anderen Anbieter basiert auch das Aldi-Angebot auf dem E-Plus-Netz.

Besonders günstig wird der Aldi-Tarif allerdings nur, wenn Aldi-Kunden untereinander telefonieren. Dann fallen lediglich 5 Cent pro Minute an, eine SMS kostet ebenfalls nur 5 Cent.

Ansonsten bleibt Aldi im derzeit üblichen Preisrahmen und verlangt für ein Telefonat in alle deutschen Netze (ob Mobil- oder Festnetz) 15 Cent pro Minute. Der Versand von SMS-Mitteilungen ist mit 15 Cent pro SMS sogar relativ teuer.

Ob die anderen Anbieter und Discounter auf den Markt-Einstieg von Aldi reagieren werden, ist noch nicht absehbar. Wahrscheinlich aber ist, dass Aldi nicht lange allein bleiben wird.

ARD sagt Teilnahme an der Ifa 2006 ab

Die Internationale Funkausstellung wird 2006 ohne die ARD statt finden. Dies gab die Senderanstalt nun bekannt. Als Grund werden die Kosten in Höhe von 1,5 bis zwei Millionen Euro genannt, die im Falle einer Ifa-Teilnahme auf die ARD zukämen. Ob das ZDF auf der Funkausstellung präsent sein wird, wird erst 2006 entschieden, im Budget für 2006 sei der Auftritt aber noch nicht eingeplant.

Bislang fand die Ifa alle zwei Jahre statt. Wegen des großen Erfolges soll die Funkausstellung ab 2006 jährlich statt finden. Durch diese Entscheidung setzten die Berliner Veranstalter die Cebit in Hannover unter Druck, da einige IT-Firmen, die auf dem Markt der Unterhaltungselektronik aktiv sind, die Cebit-Teilnahme zugunsten der Ifa abgesagt haben.

Firefox 2.0: Die Entwicklungsarbeiten beginnen / Zeitplan liegt vor

Kaum ist die Version 1.5 von Firefox erschienen, legen die Entwickler den Zeitplan für die Version 2.0 (Codename: Bon Echo) fest:

• Firefox 2.0 Alpha 1 – 10. 2. 2006
• Firefox 2.0 Alpha 2 – 10. 3. 2006
• Firefox 2.0 Beta 1 – 7. 4. 2006
• Firefox 2. 0 Beta 2 – 5. 5. 2006
• Firefox 2.0 RC 1 – 26. 5. 2006
• Firefox 2.0 RC 2 – 7. 6. 2006
• Firefox 2.0 RC 3 – 19. 6. 2006
• Firefox 2.0 Release Ready – 23. 6. 2006
• Firefox 2.0 Final – 27. 6. 2006

Allerdings sollte man diese Angaben eher als Absichtserklärungen lesen und nicht als definitive Termine. Die Software-Entwicklung ist von zu vielen Faktoren abhängig, als dass man hier auf den Tag genau präzise planen könnte.

Auf der Todo-Liste der Entwickler steht unter anderem eine neue Verwaltung der Lesezeichen und der Chronik (Liste der besuchten Webseiten). Verbessern will man auch die Suchfunktion und die Integration von RSS. Neue Sicherheitsfunktionen soll den Anwender vor Phishing-Sites schützen.