1&1-Rechnung...Fake?

[Ollek]

Hi, habe interessanterweise eine Rechnung von 1&1 bekommen, obwohl ich dort noch nie etwas bestellt habe, Kunde bin oder sonstwas.

Hier mal ein Auszug:

"Ihre Kundennummer: 23705592

Sehr geehrter Herr *******,

heute erhalten Sie Ihre Rechnung vom 14.02.2012 im PDF-Format.
Der Betrag wird in den nächsten Tagen von Ihrem Konto abgebucht.

Um das PDF-Dokument zu lesen und auszudrucken, benötigen Sie das Programm 'Acrobat Reader' von Adobe. Einfach kostenlos unter http://www.adobe.de/products/acrobat/readstep2.html herunterladen.

Sicherheitshinweis - Wie Sie sich vor gefälschten E-Mails schützen:
===================================================================
Bitte beachten Sie, dass manche Betrüger E-Mails als Rechnungen der 1&1
Telecom GmbH tarnen. Mit diesen gefälschten E-Mails kann schädliche Software auf
den Rechner des Empfängers gelangen. Wenn Sie sich nicht sicher sind, von wem
eine E-Mail stammt, dann öffnen Sie bitte auf keinen Fall die Dateien, die an
diese E-Mail angehängt sind.

Um Sie so gut wie möglich vor gefälschten Rechnungen zu schützen, reagieren wir
zeitnah auf jede neue Version einer solchen E-Mail und leiten alle weiteren
notwendigen Schritte ein. Sollten Sie Bedenken bei einer unserer Rechnungen per
E-Mail haben, dann kontaktieren Sie uns bitte. Wir kümmern uns darum.

Wie können Sie eine echte Rechnung von 1&1 erkennen?

Damit Sie sich sicher sein können, dass es sich nicht um eine gefälschte
Rechnung handelt, haben wir für Sie die Merkmale einer Rechnung von 1&1
zusammengestellt. So können Sie schnell und einfach feststellen, ob es sich um
eine echte Rechnung handelt:

- Unsere E-Mail enthält immer Ihre Kundennummer bei 1&1
- Wir sprechen Sie mit Ihrem Namen an
- Ihre Rechnungen finden Sie außerdem in Ihrem 1&1 Control-Center

Darüber hinaus garantiert ein E-Mail-Siegel die Echtheit unserer Rechnungen.
Das bedeutet für Sie: Wenn wir Ihnen eine E-Mail an Ihr Postfach bei WEB.DE
oder GMX senden, erkennen Sie unsere E-Mail auf einen Blick am 1&1 Logo. Damit
sind unsere E-Mails eindeutig gekennzeichnet und Sie können sie sicher von
gefälschten E-Mails unterscheiden.

Am besten halten Sie auch immer den Update-Status Ihres Betriebssystems und
Ihrer Anti-Viren-Software auf dem neuesten Stand.

Hilfe & Kontakt:
================
Haben Sie Fragen zu Ihrer Rechnung? In unserem Hilfe-Center finden Sie Antwort auf die häufigsten Rechnungsfragen unter http://hilfe-center.1und1.de/billing.
Gerne sind unsere Mitarbeiter der Rechnungsstelle auch telefonisch für Sie da. Sie erreichen uns täglich rund um die Uhr - kostenfrei aus dem Fest- und Mobilfunknetz der 1&1 Telecom GmbH - unter:

0721 96 00


Mit freundlichen Grüßen

Ihre 1&1 Telecom GmbH



--

1&1 Telecom GmbH
Elgendorfer Straße 57
56410 Montabaur

Amtsgericht Montabaur HRB 22331

Die 1&1 Telecom GmbH ist eine 100%ige Tochtergesellschaft der 1&1 Internet AG
Geschäftsführer: Robert Hoffmann, Markus Huhn, Martin Witt


Würdet ihr sagen, das ist echt? Die Rechnung im Anhang habe ich mal lieber nicht geöffnet..

Antworten wären nett. lg

 

[Insanic]

Na wenn du kein Kunde bist, kann es nicht echt sein, dann hast du ja auch keine Kundennummer etc.

 

[acidarchangel]

Wenn du nie etwas bestellt hast und auch kein Kunde bist, ist das eindeutig ein u.U. Virenverseuchte Spam Mail! Direkt löschen und weg damit!

 

[Precide]

Wie kann es denn echt sein, wenn du dort kein Kunde bist und sie keine Kontoinfos haben?

 

[pstreiter]

Also ich bin 1&1 Kunde und meine sieht auch so aus.

 

[Eraz]

Lad die Datei doch einfach ohne zu öffnen und überprüf sie sann mit www.virustotal.com

 

[realAudioslave]

Wenn du bei denen nix laufen hast, kanns ja eigentlich nur ein Fake sein, oder?

 

[[_LuTz_]]

also der text sieht sehr original aus aber wenn du fragen hast ruf doch einfach den service an (die nummer ist vom festnetz kostenlos) und frag nach was die wissen

 

[atari2k]

Hmmmm...die Tel. Nr 0721 96 00 ist auf jeden Fall korrekt.

Also halt einfach mal anrufen und danach Sicherheit haben!

So ziemlich jeder, der deine Adresse und KtoNr hat, kann bei 1und1 was bestellen....stand mal in der c´t.

Ansosnten evtl. Abbuchungen sofort zurück buchen lassen!

atari2k

 

[derChemnitzer]

Text wahrscheinlich original und im Anhang ein Trojaner

 

[TheRuhlander]

Hi!

Ich hatte vor zwei Wochen das gleiche mit Vodafone.

Wenn du da defintiv kein Kunde bist könnte es eventuell sein das es ein einfach Fehler von denen ist.

Grundsätzlich würde ich mich mit 1&1 in Verbindung setzen und das klären um mögliche weitere Probleme auszuschliesen. Da du ja noch nie Kunde da warst ist ja auf jeden Fall die Frage zu klären wo deine Daten herkommen.

 

[f1st]

Also der Text ist der einer üblichen Rechnung, habe das soeben überprüft.
Könntest eventuell mal nach dem Absender schauen, bei mir ist es "rechnungsstelle@1und1.de".

Sofern du dort nie was gekauft/beantragt hast einfach ignorieren und das auch in Zukunft mit anderen Fällen so handhaben.

 

[dominiczeth]

Wie war die E-Mail-Adresse mit der das kam?

Darüber hinaus garantiert ein E-Mail-Siegel die Echtheit unserer Rechnungen.
Das bedeutet für Sie: Wenn wir Ihnen eine E-Mail an Ihr Postfach bei WEB.DE
oder GMX senden, erkennen Sie unsere E-Mail auf einen Blick am 1&1 Logo. Damit
sind unsere E-Mails eindeutig gekennzeichnet und Sie können sie sicher von
gefälschten E-Mails unterscheiden.

Wo hast du dein E-Mail-Konto? War das Logo so?

 

[Ollek]

Völlig bescheuert...ich habe gerade bei 1&1 angerufen, das ist wohl ein einmaliger Fall. Derjenige, dem die Rechnung zugeschickt werden sollte, wohnt in einer ganz anderen Stadt mit einer anderen Adresse und keiner weiß was falsch gelaufen ist, aber sie nehmen meine E-Mail-Adresse zumindest raus...ganz komisch, aber danke für eure Antworten.

Ergänzung (15. Februar 2012)

Die E-Mail war also echt.

 

[[_LuTz_]]

jaja bei 1&1 weiß niemand was der andre tut und irgendwelche verwechslungen haben die dort häufiger ( hab seit über 2 jahren nenn vertrag bei denen hab also schon einiges mitbekommen)^^

 

[florian.]

Ich hab ne ähnliche Mail bekommen, leider mit Virus und leider mit ausgeschaltetem Gehirn
(ex 1und1 kunde und dachte "was wollen die denn schon wieder von mir" -.-)

Virenfund: unerwünschtes Programm EXP/CVE-2010-0188.B
die Sicherheitslücke CVE-2010-0188 scheint geschlossen zu sein, daher hoffe ich einfach das Beste.


falls es jemand interessiert:

Ihre Kundennummer: 150154321802645



Sehr geehrter Herr xxx xxx,



heute erhalten Sie Ihre Rechnung vom 17.10.2012 im PDF-Format.

Der Betrag wird in den nachsten Tagen von Ihrem Konto abgebucht.





Ihre 1&1 Telecom GmbH



---------



1&1 Telecom GmbH

Elgendorfer Strasse 57

27853 Montabaur



Amtsgericht Montabaur HRB 29527

Anhang: RG15005648294.pdf

 

[purzelbär]

Na hoffentlich hast du nicht die vermeintliche Rechnung im PDF Dateiformat geöffnet, wenn doch, sicherheitshalber dein System per Virenscannner überprüfen lassen.

 

[florian.]

ja doch, ich sagte doch, das Gehirn war aus.

PDF ging auf, meldete das irgend ein Zeichensatz Fehlt und stürzte ab.
Der Virenscanner blieb stumm.
erst als ich das File kopiert habe hat er gemeckert das EXP/CVE-2010-0188.B drin steckt.
CVE-2010-0188 ist eine Sicherheitslücke vom Acrobat Reader welche 2010 geschlossen wurde.
nun eben die alles entscheidende Frage: soll ich das System neu aufsetzen....

 

[purzelbär]

Zumindest mal zuerst dein System komplett scannen lassen, alternativ mit Malwarebytes Free im Abgesicherten Modus oder mit einer Rescue Disk wie Kaspersky Rescue Disk 10 und wenn du dann noch Zweifel hast das da noch was wäre(Infektion)das System neu aufsetzen wenn du kein Backup hast. Siehe auch hier: https://www.computerbase.de/forum/t...arch-and-destroy.1123744/page-2#post-12860948 ab Posting 33

 

[EDVGGlas]

Hallo,

ja die Rechnung ist ein Fake/Scam .. das PDF versucht eine Lücke im Acrobat Reader auszunützen und den im PDF eingebetteten Schadenscode nachzuladen. Ich habe den Schadenscode nicht weiter analysiert - wenn das jemand machen will, kann ich das PDF gerne zur Verfügung stellen. Ich vermute einen Loader für einen Trojaner der dann aus dem Internet nachgeladen wird.

Das Nachladen des Codes klappt nur bei Acrobat 8.x vor 8.2.1 und 9.x vor 9.3.1. Der Acrobat Reader wird dabei zum Absturz gebracht - bei allen neueren Versionen wird ein PDF angezeigt und eine Fehlermeldung das die Schrift nicht geladen werden konnte.

Ich habe die Rechnung ueber eine einmal E-Mail Addresse erhalten welche ich seit 2008 ausschliesslich bei hm-sat.yatego.com verwendet habe - ob die Kontaktdaten (E-Mail Addresse) bei Yatego oder bei dem Händer abhanden gekommen sind kann ich leider nicht sagen. Auch kann ich nicht sagen ob noch andere Daten abhanden gekommen sind.

Auffallend ist aber das es sich um eine gezielte Attacke auf Nutzer aus Deutschland handelt daher scheinen die Kontaktdaten bei einem deutschen Online Shop gestohlen worden zu sein - ich kann aber nicht sagen welcher. Evt Melden sich ja noch weitere Benutzer.

Hier die relevanten E-Mail Header:

From: <Rechnungsstelle@1und1.de>
X-Mailer: The Bat! (v2.01)
Reply-To: <Rechnungsstelle@1und1.de>
X-Priority: 3 (Normal)
Message-ID: <xxxxxxxxxx.20120205004826@1und1.de>
Return-Path: <Rechnungsstelle@1und1.de>
Received: from quieroalojamiento.com (unknown [212.34.139.18])
by xxxxxxxxxxxxxxxxx with SMTP id DED8B8BC0
for <xxxxxxx-yatego.com@xxxxxxxxxxxxxx>; Mon, 22 Oct 2012 14:25:38 +0200 (CEST)
Received: from clfswu (39.206.44.87)
by quieroalojamiento.com; Mon, 22 Oct 2012 14:18:20 +0200

39.206.44.87 ist eine dynamische IP Addresse eines Providers in Indonesien - der vermutlich von einem Bot übernommen wurde.

212.34.139.18 ist ein Linux Server Mailserver - möglicherweise wurde dieser von einem Bot übernommen da Port 2222 offen und auf 7200 eine weiter SSHd Instanz laeuft - Server gehört einer IT Dienstleistungs Firma http://informaticos.co/

Könnt ihr evt eure E-Mail Header Informationen Posten ?
Habt ihr bei einer der oben genannten Firmen bestellt ?

Abweichend zu euren Emails befindet sich in meiner kein Hinweis auf einen Handelsregistereintrag (HRB xxxxx) - evt wird das verwendet um Fuzzy Checksum zu umgehen.


Der Text bei mir lautet wie folgt und enthält im Original keinen Vor und Nachnamen - es ist also anzunehmen, daß diese nicht entwendet wurden:

-----------------------------------------

Ihre Kundennummer: 1411765796207

Sehr geehrte Kunden,

heute erhalten Sie Ihre Rechnung vom 22.10.2012 im PDF-Format.
Der Betrag wird in den nachsten Tagen von Ihrem Konto abgebucht.


================================================
Hinweis: Bitte antworten Sie nicht auf diese Nachricht, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.


Mit freundlichen Gruessen

Ihre 1&1 Telecom GmbH

---

1&1 Telecom GmbH
Elgendorfer Strasse 57
70705 Montabaur