❢ Achtung - versuchter Virenangriff! ❢ mit gefälschten Rechnungsmails

Hi,

normalerweise werden bei solchen Attacken Viren oder Schadsoftware verschickt, die auf einem Windows PC schaden anrichten können, oder über den Windows PC im Netzwerk.

Dass das direkt am Handy solche Auswirkungen hat, ist schon ungewöhnlich. Wenn es seither öfter ist, als vorher: Schau dir auf jeden Fall genau an, ob der Datenverbraucht gestiegen ist. Nicht dass du dann noch eine böse Überraschung erlebst.

Wenn es gar nicht anders geht kannst du das Gerät immer noch auf Werkseinstellungen zurücksetzen. Kontakte, Nachrichten, Fotos etc. solltest du vorher sichern können.

lg
Hermann

Und bitte nicht vergessen, hier deinen Nickname zu ändern - dabei kannst du der Kreativität freien Lauf lassen, so lange du die Bezeichnung A1 weglässt und der Nick nicht den Nutzungsbedingungen widerspricht.

lg
Hermann

Hallo, bin ganz neu hier (aber seit Jahren A1 Kunde) und hab mich extra dafür hier im Forum registriert um euch zu warnen. Aber da steht eh schon was.

Also, ich möchte dazu dann doch was sagen und zwar:
Im Anhang meiner Mail (welche an eine, der Telekom unbekannte Adresse ging) mit dem Betreff: "A1 Bestellung N42JE4B4Y66-K86 von 17.08.2015" ist eine ZIP - und erst wenn man die anklickt wirds gefährlich.

Im Quellcode ist diese Zeile relevant:
Received: from rub010.pd00.ne.interbusiness.it (rub010.pd00.ne.interbusiness.it [194.184.106.10])Also kann das nur gefälscht sein...

z Thema fälschen: Ja, dass ist leicht, man kann jede Adresse faken, egal ob es eine registrierte (Domain)-Mailaddy ist oder nicht. Der Header, die meisten Kopfzeilen eines Mails sind manipulierbar. Und vor allem die sichtbaren Angaben können vorgeben es sei von A1, Microsoft oder gar deiner Bank...

Entfernung: Wenn jemand den Virus aktiviert hat, was kann der tun? Weiß jemand mehr?

Danke, aber dass war eh eine rhetorische Frage. Ich bin mir sicher da ist nichts, denn ohne das ZIP zu öffnen kann nichts passieren.
Ein gute AV Programm habe ich, und ja, stimmt, wenns mal passiert ist hilft das neu aufsetzen am meisten.

Dennoch, es könnte ja vonseiten A1 oder sonst jemanden bereits einen Hinweis zu dem Virus geben und va. wie man den entfernt. War ja öfters so, das es neben den gängigen AV Programmen (welche unterschiedlich aktuell daauf reagieren können) auch spezielle Entfernungsmethoden gibt.

Geht leider nicht mehr, ich habe einen screenshot gemacht, die mail gelöscht und den Absender gesperrt.

Neuer Versuch:

Die gesamten Analysedaten habe ich bereits an die Abteilung Cyber-Kriminalität des BMI übermittelt. Wegen Überlänge der Textdatei hier in gekürzter Form. Persönliche Daten von mir habe ich zuverlässig anonymisiert.

Update:

Antwort vom BMI:
Sie danken für die Information, dürfen aber aus rechtlichen Gründen nur auf Grund einer Anzeige bei der Polizei ermitteln.
Es ist eher nicht zu erwarten, dass die meisten Betroffene sich diese Mühe machen.
Falls das missbräuchlich verwendete Unternehmen als angeblicher Absender, in diesem Fall A1, auch anzeigen kann, wäre eine spezielle Emailadresse für die Übermittlung der Informationen hilfreich, weil es sich beim Quellcode meist um größerer Datenmengen handelt, welche auch persönliche Daten (Name, Emailadresse, ...) der Betroffenen enthalten.
Delivered-To: xxxxxxxxxxxÄTgmail.comReceived: by 10.200.55.114 with SMTP id p47csp1463731qtb; Mon, 12 Sep 2016 07:43:41 -0700 (PDT)X-Received: by 10.66.11.167 with SMTP id r7mr30317957pab.136.1473691421260; Mon, 12 Sep 2016 07:43:41 -0700 (PDT)Return-Path: Received: from COL004-OMC1S15.hotmail.com (col004-omc1s15.hotmail.com. [65.55.34.25]) by mx.google.com with ESMTPS id a84si12594373pfa.164.2016.09.12.07.43.40 for (version=TLS1_2 cipher=ECDHE-RSA-AES128-SHA bits=128/128); Mon, 12 Sep 2016 07:43:40 -0700 (PDT)Received-SPF: fail (google.com: domain of infoÄTakkermanshof.be does not designate 65.55.34.25 as permitted sender) client-ip=65.55.34.25;Authentication-Results: mx.google.com; spf=fail (google.com: domain of infoÄTakkermanshof.be does not designate 65.55.34.25 as permitted sender) smtp.mailfrom=infoÄTakkermanshof.beReceived: from EUR01-DB5-obe.outbound.protection.outlook.com ([65.55.34.9]) by COL004-OMC1S15.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23008); Mon, 12 Sep 2016 07:43:16 -0700Received: from HE1EUR01FT047.eop-EUR01.prod.protection.outlook.com (10.152.0.52) by HE1EUR01HT237.eop-EUR01.prod.protection.outlook.com (10.152.1.141) with Microsoft SMTP Server (version=TLS1_0, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384) id 15.1.619.6; Mon, 12 Sep 2016 14:43:08 +0000Received: from VI1PR0801MB1502.eurprd08.prod.outlook.com (10.152.0.57) by HE1EUR01FT047.mail.protection.outlook.com (10.152.1.5) with Microsoft SMTP Server (version=TLS1_0, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384) id 15.1.619.6 via Frontend Transport; Mon, 12 Sep 2016 14:43:08 +0000Received: from VI1PR0801MB1502.eurprd08.prod.outlook.com ([127.0.0.1]) by VI1PR0801MB1502.eurprd08.prod.outlook.com ([10.167.210.140]) with Microsoft SMTP Server id 15.01.0609.018; Mon, 12 Sep 2016 14:43:07 +0000From: "infoÄTakkermanshof.be" To: "yyyyyyyyyyy" Subject: A1 Online-RechnungThread-Topic: A1 Online-RechnungDate: Mon, 12 Sep 2016 14:42:51 +0000Message-ID: X-MS-Has-Attach: X-MS-Exchange-Inbox-Rules-Loop: xxxxxxxxxxxÄThotmail.comX-MS-TNEF-Correlator: x-antiabuse: Sender Address Domain - akkermanshof.bex-get-message-sender-via: server.vbc.be: authenticated_id: infoÄTakkermanshof.bex-authenticated-sender: server.vbc.be: infoÄTakkermanshof.bex-source: x-source-args: x-source-dir: x-originalarrivaltime: 12 Sep 2016 14:43:04.0294 (UTC) FILETIME=[F7F02860:01D20D03]x-eopattributedmessage: 1x-eoptenantattributedmessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0cmm-sender-ip: 31.186.175.162cmm-sending-ip: 31.186.175.162cmm-authentication-results: hotmail.com; spf=fail (sender IP is 31.186.175.162) smtp.mailfrom=infoÄTakkermanshof.be; dkim=none header.d=akkermanshof.be; x-hmca=fail header.id=infoÄTakkermanshof.becmm-x-sid-pra: infoÄTakkermanshof.becmm-x-auth-result: FAILcmm-x-sid-result: FAILcmm-x-message-status: n:ncmm-x-message-delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02cmm-x-message-info: 3c21WZ1hAltohrpOQn+8U3wWHmwvJVcsTSdHyRRB3zcWxWW9oJMQ2I//UCtKNM7V54TNoOnGAVTqKxGBDS05mC08fxP6+UvDQbjnzJ3vm/JwhBeBnOOwErqgLT49QuC+r49qplhBo14+MxxTnnIN3pvtZoGghOVTrN8msHVMheKLO4zUjilcKcIs5YifCP9vuRsW7u6Ezo7xb+o4+nsgCQBxK+MFGF4Wa9bTWIIQGIQqAXGXY649QA==x-microsoft-exchange-diagnostics: 1;HE1EUR01HT237;6:xz+f132F1Mc+TNLSkXnvapauBZzoHAuF7aCECW74TA0yBQjGHM/GswSzMDVDjA4gW2MDTwMHvspSTC+lO0SZZT/5JFzzZGdonJPDs+0pRKeqyCjtQAhumdNYdw0Y8lEliDaPCkg5QWhUrF50fOGTSdOu6HlPXNzsyTyABkTbx5THoQ2ha3t/7R0IBTifuTrsVuwTg/D1vDZ9/aSeou8JnC/enxt+ErfRNgL7rrD13TCrOP728qFqBOjb58DT5Z41L2Mmk2FLd+nTx8HzYWK30Fzkb+aJSdK3vnFfKTyBe4aPCgqQkQZvw+mKJKFD4tW9;5:PzCqPm4eClIMUphglSEDJQF3pbxyehWFhO8AKm9S8JOUJcvFEdyUCPh0Jjqis5jlm5FV6uaxBAjvXC1f+G0pLl3mnevPOYGHC9ODzSjlURcyO3pOCQQf201IXEgBLhUIgsK3+e4jlCeQwpUYzz4ZIQ==;24:lC3x9pPqyTF5rpZLrEWadge3DRqTfrWNq959voQvZFsgCdCYvhSUanc+5sj1rYLXj7aXfN/cE+XvnT9TuleP5syWDOo0wEggADNsJVnCdf4=;7:hNhMi5BAIHEU1laK9K8MfSvABkysSbRm4AatlXwS/0dGTlgGdzUFv+HEr+dT7tpbfw8oZHEgCQAvvQhmoPX+k1CWLhqPOY85fmKMKCIY58nsTO+l8yWu7qlv3BYHnAm1y2SJSCdobvOGMjc7Vk2NJyItOch5TIdO9QfVFM9vk+zizNWQp8riXw0fJzX51MWu9OzX2BS+/rJ1EDGJWpou3t11Lqq74FwFWwR9i3nObwBH7sFNI6gM6Fp+j+ZonmKtx-forefront-antispam-report: CIP:10.152.0.57;IPV:NLI;CTRY:;EFV:NLI;SFV:NSPM;SFS:(10019020)(98900003);DIR:OUT;SFP:1102;SCL:1;SRVR:HE1EUR01HT237;H:VI1PR0801MB1502.eurprd08.prod.outlook.com;FPR:;SPF:None;LANG:de;x-ms-office365-filtering-correlation-id: 68415363-9f52-4e39-3e92-08d3db1b1cf7x-microsoft-antispam: UriScan:;BCL:0;PCL:0;RULEID:;SRVR:HE1EUR01HT237;x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEID:(82015046);SRVR:HE1PR0801MB1497;BCL:0;PCL:0;RULEID:;SRVR:HE1PR0801MB1497;BCL:0;PCL:0;RULEID:(432015012)(82015046);SRVR:HE1EUR01HT237;BCL:0;PCL:0;RULEID:;SRVR:HE1EUR01HT237;spamdiagnosticoutput: 1:99x-ms-exchange-crosstenant-originalarrivaltime: 12 Sep 2016 14:43:05.4369 (UTC)x-ms-exchange-crosstenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaax-ms-exchange-crosstenant-fromentityheader: Internetx-ms-exchange-transport-crosstenantheadersstamped: HE1PR0801MB1497x-ms-exchange-transport-endtoendlatency: 00:00:02.2935959authentication-results: spf=fail (sender IP is 10.152.0.57) smtp.mailfrom=akkermanshof.be; gmail.com; dkim=none (message not signed) header.d=none;gmail.com; dmarc=none action=none header.from=akkermanshof.be;received-spf: Fail (protection.outlook.com: domain of akkermanshof.be does not designate 10.152.0.57 as permitted sender) receiver=protection.outlook.com; client-ip=10.152.0.57; helo=VI1PR0801MB1502.eurprd08.prod.outlook.com;Resent-From: x-microsoft-exchange-diagnostics-untrusted: 1;HE1PR0801MB1497;6:kLvRFhNyOgZGfvXSHmCY+YQ56AlBFB2r4oFAd3mZNolItKCIE3PE9NU+xM2Ca/bb9setbpreQTtgbMwEO0jPxZWGYnTH7YqdPyRx8hblFeuMMhKV6o8dn/MPbioC15AvDIQrW+uQgn6GMDk4A00Xf4mkKA9da2niopwjTZVlHY4U3uHkRExTktsUvZZzRp8nfbaxMeR7UF9020J1JID/Rj5rJayUvnmgoquMjCil8AVOktk2zACYCsMm3zkuu7oSyFpkwLvOps3OZMVcmSZNDwB0ZJD58xKKsM3E7cK87DPeiypUuJ95Cf+T9E4uhCF1;5:owemiaoTe2hpLyV/Os4F7dQlmHGvqNByHC3P6oyM4cUEcEC9ejjhWXDxO3SfhocHPw7G9S3XxaMTniqezq1qTbNII619j0D/Ct0ZqnAjpVH5mw66/xr4kLD0IJXZAx/WBCvocJ9VEm28EQgQbHdWvg==;24:FCtsu7ywMoSbjVWlIqzcO2p3FrOxrQ8SWypG9Lm9L9fmRuOPKn4KiWzy1w4FW7SY4KPln8YsH87uOKZjVrgMQA==;7:2+pbr7rh0uTF/75AipkPm2zJtQU//6QYhNTD/tP+snLQOFLqi0iuFH4UOHKVgblg99xYleZrNrMvWsv7/96564h2DOiC6aKpVOs7UaJLBkse3CM+fEz52N2n+lHhuEeBzZpn4LOmSQ3jE650g/ZkCZV6V+82c/WQC4QMdso9irpC+JbzclsyBHRIdAYfoJQNkj2mrJ9mGbXws+v5z0JdW/x3tJWeFAG7qguRB0EWYY3BUcuigaAR80dkwPCl1UfBZMq1z0RORh1SQuUpE0fULw==x-forefront-antispam-report-untrusted: EFV:NLI;SFV:SPM;SFS:(28900001);DIR:INB;SFP:;SCL:5;SRVR:HE1PR0801MB1497;H:SNT004-MC3F54.hotmail.com;FPR:;SPF:None;LANG:de;x-microsoft-antispam-untrusted: BCL:0;PCL:0;RULEID:(8291501002);SRVR:HE1PR0801MB1497;x-ms-exchange-transport-crosstenantheadersstripped: HE1EUR01FT047.eop-EUR01.prod.protection.outlook.comx-forefront-prvs: 006339698Fspamdiagnosticmetadata: NSPMContent-Type: multipart/alternative; boundary="_000_33C99D4A28FCD3A07C79308BBF33204Aakkermanshofbe_"MIME-Version: 1.0X-OriginatorOrg: outlook.comX-MS-Exchange-CrossTenant-originalarrivaltime: 12 Sep 2016 14:43:07.7515 (UTC)X-MS-Exchange-CrossTenant-fromentityheader: InternetX-MS-Exchange-CrossTenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaaX-MS-Exchange-Transport-CrossTenantHeadersStamped: HE1EUR01HT237Return-Path: infoÄTakkermanshof.be
--_000_33C99D4A28FCD3A07C79308BBF33204Aakkermanshofbe_Content-Type: text/plain; charset="utf-8"Content-Transfer-Encoding: base64
Nachtrag:
Ich bin ja kein Jurist, aber ist Betrugsversuch nicht ein Offizialdelikt? Warum ist es nicht möglich, dass vom Innenministerium eine Emailadresse eingerichtet wird, an welche Daten wegen Betrugsversuch übermittelt werden können? Jedenfalls finde ich es schon interessant, dass ich in so einem Fall mit einem Datenstick oder Papierausdruck zur Polizei gehen müsste für eine Anzeige...