Der folgende Artikel wurde vor einiger Zeit schon einmal veröffentlicht. Auf Grund der Aktualität und erst vor Kurzem geschehener Vorfälle bringe ich den Text noch einmal ganz nach oben. Es hat sich nichts verändert, nur die Perfidität und Hinterhältigkeit der Erpresser ist moderner geworden!
==================================================================
… hatte ich heute im Email-Postfach. Da hat mir doch eine Rechtsanwaltskanzlei ein hochoffizielles Schreiben geschickt, dass ich mich der Raubkopiererei schuldig gemacht hätte und ich überführt sein würde.
Da schluckt man erstmal und sieht sich um, ob nicht jemand zufälligerweise mitliest. Der Vorwurf ist ja nicht so ganz Ohne und die zu erwartende Strafe und die „Bearbeitungsgebühren“ lassen den Klos im Hals immer dicker werden. Ja, und so sieht das dann im Original aus:
Okok, erst nochmal durchlesen, ich kanns ja gar nicht glauben, was mir da vorgeworfen wird. Ahja, die Beweise und die Kontaktdaten befinden sich im Anhang. In der Email ist ja keine Anschrift oder Telefonnummer des Rechtsanwalts zu finden. Gut, also gleich den Anhang öffnen und ……
STOP!
Moment, ist das nicht etwas eigenartig, dass es keinerlei Kontaktdaten in der Mail gibt? Dass man sozusagen gezwungen wird, den Anhang zu öffnen? Erstmal einen Kaffee holen, runterkommen und nachdenken 🙂
Den ersten Satz habe ich in der Anfangshektik total unkonzentriert gelesen, er ergibt aber irgendwie keinen Sinn und ist schlechtes Deutsch:
der unserer Beauftragung ist eine von Ihrem Internetanschluss aus begangene Urheberrechtsverletzung an dem Werk.....
Das liest sich schon etwas komisch und lässt an der zu erwartenden Professionalität zweifeln. Dann versuche ich doch mal die Internetseite der dubiosen Kanzlei zu öffnen. Da sollten ja dann im vorgeschriebenen Impressum die Kontaktdaten zu finden sein. Als Meldung kam „Server nicht gefunden“ – aha, also fake.
Wo kommt denn diese Mail überhaupt her? Ich gehe jetzt davon aus, dass die Absenderadresse gefälscht ist. Die Header-Zeilen der Email prophezeien nichts Gutes:
X-Account-Key: account1 X-UIDL: 1308002421.41871 X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 X-Mozilla-Keys: Return-Path: <webmaster@catsa.org.za> Delivered-To: xxxxxxxxxxx Received: from ms-10.1blu.de ([178.254.4.101]) by mb-23.1blu.de (Dovecot) with LMTP id sV0HHEKqlFtJLAAAKFIVJg for <xxxxxxxxxxx>; Sun, 09 Sep 2018 07:08:54 +0200 Received: from [197.189.249.72] (helo=outgoing15.cpt4.host-h.net) by ms-10.1blu.de with esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (Exim 4.86_2) (envelope-from <webmaster@catsa.org.za>) id 1fyrvB-0000pN-Cv for p.spiess@gansheim.de; Sun, 09 Sep 2018 07:06:06 +0200
Anscheinend sitzt der Absender in Südafrika.
Eigentlich kann man jetzt aufhören und die Mail einfach löschen und vergessen. Dazu bin ich aber viel zu neugierig und so habe ich weitergemacht.
Ein „Ping“ auf rechtsanwalt-neumann.de gibt dann doch noch eine IP-Adresse preis, mit der man weitersuchen kann:
Der Server lebt also doch, sonst würde er nicht antworten. Über whois.ripe.net kann man rausfinden, wem eine bestimmte Domain oder IP gehört:
Using server whois.ripe.net. Query string: "-V Md5.1 193.141.3.68" % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '193.141.3.0 - 193.141.3.255' % Abuse contact for '193.141.3.0 - 193.141.3.255' is 'abuse@strato.de' inetnum: 193.141.3.0 - 193.141.3.255 netname: STRATO-LEGACY-NET-193-141-3-0--24 org: ORG-SRA1-RIPE country: DE
Die IP gehört zu einem Adresspool von Strato. Das sagt natürlich nichts über den Inhaber von „rechtsanwalt-neumann.de“ aus. Eine Webseite unter der URL ist nicht zu finden. Früher hätte man einfach bei denic.de die Domain angegeben und hätte die kompletten Besitzerdaten erhalten. Seitdem die DSGVO zu 100% in Kraft ist, geht das leider nicht mehr.
Dann bleibt nur noch der Anhang der Email, dessen Inhalt mich brennend interessiert. Der Absender erwartet, dass ich den Anhang doppelklicke und somit öffne. Genau das mache ich jetzt nicht, sondern ich speichere den Anhang als Datei auf einem Linux-System ab. Hier kann ich ohne Probleme die Datei öffnen, es kann nichts passieren. Windows-Viren, -Würmer oder -Trojaner funktionieren nicht unter Linux 😉
Ergebnis: In dem ZIP-Paket befindet sich ein weiteres ZIP-Paket. In diesem findet man dann allerdings nicht die „Beweise“, „Abmahnung“ und „Kontaktdaten“, sondern ein Programm, das beim Öffnen des ZIPs (wohlgemerkt auf einem Windows-PC) sofort gestartet wäre und mir die Festplatte verschlüsselt hätte. Es ist ein sogenannter Verschlüsselungs-Trojaner. Damit hätte ich mir die gesamte Festplatte unbrauchbar gemacht.
Das Ende von der Geschichte: Glaube keiner Mail, die von einem Rechtsanwalt kommt, wobei natürlich auch andere dubiose Absender versuchen ihr Unwesen zu treiben.
Fazit:
Nie, Nie, Niemals einen Anhang einer Email unbedacht öffnen!