Hinweis

Ihre Browserversion wird leider nicht mehr unterstüzt. Dies kann dazu führen, dass Webseiten nicht mehr fehlerfrei dargestellt werden und stellt ein erhebliches Sicherheitsrisiko dar. Wir empfehlen Ihnen, Ihren Browser zu aktualisieren oder einen der folgenden Browser zu verwenden:

Achtung vor gefälschter Telekom-Rechnung

Seit kurzem kursieren angeblich von der Deutschen Telekom stammende Mails im Internet, die vorgeben, Informationen zur aktuellen Telefonrechnung zu enthalten. Die in unverdächtigem und fehlerfreiem Deutsch formulierte Nachricht mit dem Betreff "Rechnung Online Monat November 2004 (Buchungskonto: 6801432458)" weist am Ende einen Link auf, der zur Rechnung und der Einzelverbindungsübersicht führen soll.

Ein Klick auf diese ziemlich offensichtlich nicht zur Telekom gehörenden Adresse öffnet dann eine Seite, die in einem Frame tatsächlich die Login-Seite der Telekom-Online-Rechnungsstelle lädt.

Unsichtbar lädt sie allerdings auch einen zweiten Frame -- und der versucht auf verschiedenen Wegen, einen Trojaner auf dem System des Opfers zu installieren, indem er bekannte Schwachstellen des Internet Explorer ausnutzt. Nach bisherigem Kenntnisstand von heise Security versucht die Seite jedoch nicht, im Login-Frame eingegebene Daten zu "phishen" das heisst Passwörter auszulesen. Unter anderem bedient sich der versteckte Frame der IE-Fehler bei der Verarbeitung lokaler Hilfeseiten und HTML-Redirects sowie einer Sicherheitslücke in der Java-VM von Microsoft, um in Systeme einzudringen.

Bei dem Trojaner handelt es sich um einen so genannten Downloader, der Software nachlädt.

Was diese auf infizierten System genau macht, ob sie Spyware installiert, Zugangsdaten erschnüffelt oder Hintertüren öffnet, müssen weitere Tests zeigen.

In Windows-Systeme, auf denen alle verfügbaren Patches installiert sind, sollte der Trojaner nach bisherigen

Erkenntnissen nicht eindringen können. Einige Virenscanner erkennen zudem den Schädling schon beim Öffnen der Seite und schieben ihn in die Quarantäne. Die Telekom ist bereits über den Vorfall informiert.

Einige der in den Mails enthaltenen Links funktionieren bereits nicht mehr, die Seiten wurden bereits vom Netz genommen.