Phishing Alarm! Online Pay GmbH - Politisch motivierte Rechnung?

Eigentlich ist das analysieren der Spam- und Phishing-Mails schon fast Routine. Da ein Blick, hier ein Check. Doch heute kam eine neue Überraschung: eine politisch motivierte Rechnung.

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Im Postfach heute:

To: Damian Thater <meine-email@woher-auch-immer.dä>
From: Inkasso Online Pay GmbH <tingbaby@mac.com>
Subject: =?utf-8?q?Automatische Konto-Lastschrift konnte nicht
	 durchgef=C3=BChrt werden 27.01.2015?=

Guten Tag Damian Thater,

Ihr Kreditinstitut hat die Lastschrift storniert. Sie haben 
eine nicht beglichene Forderung bei unseren Mandanten Online Pay 
GmbH. 

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen 
dabei, die durch unsere Inanspruchnahme entstandenen Kosten von 
48,21 Euro zu bezahlen. Wir erwarten die Zahlung inklusive der 
Mahnkosten bis spätestens 30.012015 auf unser Konto. 

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf 
der Frist wird die Akte dem Staatsanwalt und der Schufa übergeben. 
Eine vollständige Kostenaufstellung, der Sie alle Positionen 
entnehmen können, fügen wir bei. Für Rückfragen oder Anregungen 
erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums. 

Namens unseren Mandanten fordern wir Sie auf, die noch offene 
Forderung unverzüglich zu begleichen.

Mit verbindlichen Grüßen

Inkasso Vogel Tom

Anhang: 
	Rechnung an Damian Thater 26.01.2015 - Inkasso Online Pay GmbH.zip

Erster Eindruck

Ich habe grundsätzlich alle Bilder und Stylesheets in Emails deaktivert. Darum kann ich zwar kein Urteil über das Aussehen der Email fällen, aber dafür bleiben mir Aufrufe zu Bildgeneratoren mit evtl. getrackten IDs, sogenannten Webbugs, fern.

Schlicht formatiert, wird im Text versucht hochgestochen zu wirken. Leider sind einige Tippfehler vorhanden, die den Schwindel auffliegen lassen.

  • Subject: =?utf-8?q?Automatische Konto-Lastschrift Oh man, wie das schon anfängt...
  • Guten Tag Damian Thater wenigstens werde ich persönlich angesprochen.
  • nicht beglichene Forderung Zeig mir erst einmal den Auftrag.
  • andauernden Zahlungsausstands ja, andauern bezahle ich keine Spam-Mail-Rechnungen, sowas aber auch.
  • sind Sie gezwungen dabei Ich bin zu gar nichts gezwungen. Was ist das überhaupt für eine Satzstellung "dabei".
  • die durch unsere Inanspruchnahme Ich dachte der Mandant fordert das Geld für die dubiose Leistung ein...?
  • Wir erwarten die Zahlung Da kannst du aber lange warten...
  • inklusive der Mahnkosten Bevor Mathkosten in Anspruch genommen werden können, sollte ich erst einmal die Mahnung bekommen.
  • bis spätestens 30.012015 Sternzeit? Linux-Time? Neue Zeitrechnung in 10000 Jahren? Wie jetzt?
  • wird die Akte Alter, ich hab bereits eine "Akte"? Is ja krass.
  • Staatsanwalt und der Schufa Das ist also nicht nur eine Staatsangelegenheit, sondern auch ein Fall für mein Scoring beim Liquiditäts-Check. Wisst ihr mehr als ich?
  • Kostenaufstellung ... fügen wir bei. Wie gütig. Die schau ich mir im Strahlenschutzanzug an.
  • Für Rückfragen oder Anregungen Anregungen? Bitte schön: Lass das!
  • Für ... Anregungen erwarten wir eine Kontaktaufnahme Wie arrogant...
  • innerhalb des gleichen Zeitraums. Na klar, denn nach Ablauf der Frist, ist dir doch der "Fall" scheißegal. Macht aber nichts, denn ich hab ja 10000 Jahre Zeit zu reagieren.
  • unverzüglich Na, ich denke ich hab da noch ein paar Tage... Jahre...
  • Mit verbindlichen Grüßen Oh, er meint es ernst.
  • Inkasso Vogel Firmierung? Ein-Mann-Unternehmen? Ich AG?
  • Anhang OK, da kommt eine Überraschung angeflattert... freue mich schon.

Email-Details

Der erste Schritt, nach der groben Analyse des Textes im Brief, ist es sich den Header der Email anzuschauen.

Wieder einmal fällt der Blick zuerst auf die Return-Path Adresse, die bereits recht unseriös klingt:

Return-Path: tingbaby@mac.com

Weiter sieht man, welche Server die Email durchlaufen hat, von denen keiner auch nur annährend etwas mit einer Online Pay GmbH zu tun hat.

Received: from st11p00mm-asmtp001.mac.com ([17.172.81.0]) by mx-ha.gmx.net
 (mxgmx112) with ESMTPS (Nemesis) id 0M2ovq-1XRAmn42vG-00seq3 for
 <meine-email@woher-auch-immer.dä>; Wed, 28 Jan 2015 10:07:36 +0100
Received: from PC-BF
 (248.235.200.213.static.wline.lns.sme.cust.swisscom.ch [213.200.235.248])
 by st11p00mm-asmtp001.mac.com
 (Oracle Communications Messaging Server 7.0.5.35.0 64bit (built Dec  4 2014))
 with ESMTPSA id <0NIV00MBRQO6J500@st11p00mm-asmtp001.mac.com> for
 meine-email@woher-auch-immer.dä; Wed, 28 Jan 2015 09:07:34 +0000 (GMT)

Who-is-Who

So also wer ist mac.com?

> whois mac.com

Ungewiss, denn die WhoIs-Datenbank gibt keine gescheite Info raus.

...und wer ist swisscom.ch?

> whois swisscom.ch

Holder of domain name:
Swisscom AG
...
Domain Registration
alte Tiefenaustrasse 6
CH-3050 Bern
...

Google sagt es sei ein "führendes Schweizer Telekommunikations-Unternehmen..." OK, scheinbar ein ISP mit Email Service. Nichts Wildes soweit.

Angehangenes

So nun gehts ans Eingemachte. Die Datei, die im Anhang mitgeschleppt wird, ist ein Paket vom Typ zip. Den Inhalt sollte man nur mit größter Vorsicht betrachten. Das hab ich mal gemacht. Also schnell in den Strahlenschutzanzug gesprungen und los geht's.

Zuerst betrachten wir und den Inhalt passiv:

> unzip -l Rechnung\ an\ Damian\ Thater\ 26.01.2015\ -\ Inkasso\ Online\ Pay\ GmbH.zip
...
Rechnung stornierten Buchung Ihrer Bestellung Online Pay GmbH vom 26.01.2015.zip

Oha, da stecht noch so ein zip Container drin. Also entpacken wir mal den ersten und schauen in den neuen.

> unzip Rechnung\ an\ Damian\ Thater\ 26.01.2015\ -\ Inkasso\ Online\ Pay\ GmbH.zip
...
> unzip -l Rechnung\ stornierten\ Buchung\ Ihrer\ Bestellung\ Online\ Pay\ GmbH\ vom\ 26.01.2015.zip 
...
Damian Thater Ausgleich 26.01.2015 - Inkasso Online Pay GmbH.com

Na das ist ja lustig. Da ist eine Datei drin, die klingt wieder einmal wie eine Internet-Adresse, oder eher wie ein Command-File aus DOS-Zeiten. Wir entpacken diese com-File mal... und schauen uns dessen Inhalt an.

> unzip Rechnung\ stornierten\ Buchung\ Ihrer\ Bestellung\ Online\ Pay\ GmbH\ vom\ 26.01.2015.zip 
...
> less Damian\ Thater\ Ausgleich\ 26.01.2015\ -\ Inkasso\ Online\ Pay\ GmbH.com

Nun kann man sich den Maschienen-Code des ausführbaren Programms anschauen. Für die meisten unter uns sind die Hieroglyphen bedeutungslos, aber wenn man genauer hinschaut, findet man den einen oder anderen lesbaren Text.

Ganz zu Beginn wird auf die Ausführbarkeit der Datei hingewiesen:

This program cannot be run in DOS mode.

Dieser wird gefolgt von Namen für ausführbare Programmabschnitte. Nahezu jede Datei trägt sowas mit, ist also erst einmal irrelevant.

Viel weiter unten im Programm findet sich aber ein sehr klares Statement des Autors:

^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^B^@^@^@cefdfaaa^@ifdd^@ecdcbecqdeii^@hfbphpfdaeeabgdii^@iphqcc^@F*** PU
TIN YEAH!!^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@

Als ich da drüber stolperte ging mir die Kinnlade auf. WTF? Politisch motivierte Rechnungen?...

Zum Ende hin findet man auch den obligatorischen Fileinfo-Teil, in dem sich eigentlich der Hersteller kenntlich machen sollte. Hier steht nun:

VERSION_INFO
StringFileInfo 04090000
FileDescription Setop Wizard Application
LegalCopyright Copyright (C) 1995-2009 Trend Micro Incorporated. All rights reserved.
InternalName SethpWizard
ProductName Trend Micro Internet Security
CompanyName ESC 01>@0B>@8O 0A?5@A:>3> ^_"^]^_^]%J>1Copyright (C) Trend Micro Inc.
ProductVersion 3.5.7.8

Was ist eine Setop Wizard Application und was ist ein SethpWizard?

Ohne näher drauf einzugehen, deuten die ersten Funde bei Google auf ein Produkt der Programmiersprache Borland Delphi 4.0 hin. Diese Version war um das Millenium herum vor allem in Osteuropa sehr beliebt, heute ist Delphi durch neue Versionen mehrfach überholt.

Zum zweiten Eintrag SethpWizard finden sich auch nur wenige Informationen im Netz. Die Mehrzahl der Hinweise, deuten aber alle auf die Analyse-Seiten von virustotal.com, einem Dienst, der fragwürdige Dateien auf ihre Schadhaftigkeit hin untersucht.

Offenbar bin ich nicht der erste Empfänger einer Rechnung mit einem solchen Inhalt.

Fazit

Tztztz. Der Inhalt der Rechnung ist schon sehr überraschend. Nichtsdestotrotz. Die Phishing-Mail ist und bleibt ein Phishing-Mail.

Löschen! Mail -> Mülleimer -> Mülleimer leeren