Statt einem Paket bekommt man einen Virus per Mail – das ist leider nichts neues: Im März warnten wir zum letzten Mal vor gefälschten DHL Emails. Aber auch im Namen der Konkurrenten UPS oder FedEx gab es bereits des öfteren Emails, die einen versteckten Virus enthielten oder zu Webseiten führten, die im Hintergrund Schad-Software installieren wollten.
Diesmal tarnt sich die Mail besser: Mit dem Betreff „Ihr Paket zu der Postsendung 80672958946“, angeblich von „[email protected]“ stammend, kommt eine leere Email, die nur einen Anhang enthält. Bei dem Anhang handelt es sich dieses Mal tatsächlich um ein echtes PDF-Dokument: Normalerweise verschicken die kriminellen Absender ausführbare Programme, die sich nur als PDF Datei tarnen, eigentlich aber die Datei-Endung .EXE oder .SCR besitzen.
Die angehängte PDF Datei enthält nur wenige Informationen, dafür aber schon zwei Rechtschreibfehler auf die wenigen Wörter:
Sehr geehrte Kundin, sehr geehrter Kunde,
Ihre Sendung 00126053815692126056 ist bei DHL eingebucht. Geplante Auslieferung – voraussichtlich am 11. May 2015.
Weitere Informationen zu Ihrer Sendung finden Sie unter der Adreße: 00126053815692126056.
Mit freundlichen Grüßen, DHL, Ihr Logistik-Spezialist
Der Link, der angeblich mehr Informationen zu dem erwarteten Paket enthalten soll, führt allerdings nicht zu der DHL Webseite. Stattdessen wird man auf eine Unterseite von „http://sistersofcharityofottawa.co.ls/“. Hier wird im Hintergrund ein gepacktes ZIP-Archiv heruntergeladen, danach versucht die Seite, die Spuren zu verwischen und zeigt eine weiße, leere Seite mit leerer Adress-Leiste an.
Auch die heruntergeladene ZIP-Datei „DHL_Report_6968356308.zip“ enthält keine Informationen zu einem vermissten Paket, sondern die ausführbare Datei „DHL_Report_5885247778____13_05_2015___lang___De_de_pl_PL___01_08_15___Message__ID13_DHL_DE_M03_H0Kla_W93.exe„. Anhand der Datei-Endung verrät sich die ausführbare Datei, die – falls angeklickt – auf dem PC gestartet wird und im Hintergrund schnell viel Schaden anrichten kann.
Wer eine Email von DHL bekommt, bei der nicht in der Email schon einige Informationen angegeben sind, sollte auf keinen Fall auf einen Anhang klicken oder auf die Links in einem PDF-Dokument, wenn sie nicht zu der echten DHL Seite verweisen. Verweilt man mit der Maus kurz über einem Link in einer PDF Datei, wird das Ziel des Links eingeblendet. So kann man schon vor dem Klicken erkennen, zu welcher Webseite man verwiesen werden soll.