Menü

Trojaner-Alarm: Vorsicht vor gefälschten Rundfunkbeitrag-Mails

Derzeit sind ziemlich gut gemachte Fake-Mails im Namen von ARD, Deutschlandradio und ZDF in Umlauf, die mit einer Zwangsvollstreckung drohen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 52 Beiträge
Von

Wer dieser Tage eine E-Mail mit dem Betreff "Ankündigung der Zwangsvollstreckung – Beitragsservice" erhält, sollte sich dadurch nicht verunsichern lassen: Dabei handelt es sich um eine gefälschte Nachricht, die darüber hinaus noch gefährlich ist. Wer den Dateianhang öffnet, fängt sich einen Trojaner ein. Alles deutet darauf hin, dass es sich dabei um einen Windows-Schädling handelt. Heise Security liegt so eine Mail vor.

Die unbekannten Absender drohen mit einer Zwangsvollstreckung, weil die Empfänger der Nachricht angeblich ihre Rundfunkbeiträge nicht gezahlt haben. Nun soll man den Betrag zügig zahlen, um weitere Konsequenzen zu verhindern. Dabei handelt es sich um leere Drohungen und die Nachricht ist nur eine Spam-Mail von Millionen.

Aufgrund offizieller Logos und einem überzeugend formulierten Text wirkt die Mail auf den ersten Blick legitim. Ein paar Formatierungsfehler am Ende der Nachricht lassen jedoch das erste Mal aufhorchen. Zwar erscheint auch die Absenderadresse "mahnung@rundfunkbeitrag-deutschland.com" glaubwürdig, die Domain existiert aber gar nicht.

Glücklicherweise sind Makros in Microsoft Office standardmäßig deaktiviert: Betrüger müssen sich also immer wieder etwas einfallen lassen, damit Opfer diese aktivieren. Klappt das, ist ein Computer in der Regel nach wenigen Sekunden infiziert.

Im Anhang der Mail findet sich ein Antwortbogen im Word-Format. Diese Datei sollte man unter keinen Umständen öffnen. Zwar ist das Öffnen an sich noch nicht gefährlich, wer im Anschluss aber die Makros in dem Dokument aktiviert, holt sich einen Trojaner auf den Computer.

Damit Opfer das machen, behaupten die Betrüger in dem Dokument in Form einer bebilderten Anleitung, dass man den Text nur lesen kann, wenn man die Schaltflächen "Bearbeitung aktivieren" und "Inhalt aktivieren" anklickt. Machen Sie das auf gar keinen Fall!

Einem kurzen Versuch zufolge funktionieren die Makros aber nur mit Microsoft Word. Als wir das Dokument in Libre Office geöffnet haben, ist nichts passiert. Was der Trojaner im Detail anstellt, ist derzeit nicht bekannt. Auf der Analyseplattform Virustotal schlagen derzeit 34 der 59 Online-Scanner Alarm. (des)