Inkasso Abmahnung mit Trojaner

Da ich vor kurzem mal wieder auf meiner Spam Email die Emails gecheckt habe fiel mir eine Mail von 12.6 besonders auf. Diese war von „Nico Gross Inkasso“ und forderte mich auf meine Rechnung über 240€ an Reichelt zu begleichen. Ich überlegte kurz und stellte sehr erstaunt fest, dass ich nichts bei Reichelt bestellt hatte. o.O Wie kam es also zu dieser Email?!
email.png
Ein Blick in die Rechnung sollte diese extrem schwierige Frage klären. Also lud ich den angehängten .zip File runter und schaute ihn mir mal an. Nach dem öffnen erschien eine weitere .zip Datei in der .zip Datei. Ich dachte schon, ich hätte es mit einer Inception .zip Datei zutun ;) In dieser zweiten .zip Datei befand sich dann jedoch endlich die entscheidende Rechnung. Also öffnete ich diese schnell um zu erfahren was los war… oder besser doch nicht? :D
Ein kurzer Blick auf die Dateiendung verriet mir, dass es keine gewöhnliche Rechnung sein sollte, sondern eine ganz besondere von „Nico Gross“ und seinen Inkasso Freunden.

zip.png
„Kostenrechnung Niklas Busch Inkasso Reichelt GmbH Online.com
Ja ne ist klar ne. Mir war also klar, dass hier die absolut krassen Hacker am Werk sind. Also war höchste Vorsicht geboten. Der Absender stand auch für sich: 1@1f9.de. [Ironie]Der Domainname lies mehr als eindeutig auf „Nico Gross Inkasso“ hindeuten[/Ironie]. Ein Blick in die Whois Datenbank verriet mir folgendes.

Type: PERSON
Name: Sven Wambsganss
Organisation: Webdienste Wambsganss
Address: Untere Strasse 30
PostalCode: 76187
City: Karlsruhe
CountryCode: DE
Phone: +49 721 5687090
Fax: +49 721 5687091

Also dachte ich mir rufe ich mal bei Sven an und frage ihn, ob er weiß, was über seine Domain und seinen Server verschickt wird? Dieser war davon jedoch nicht sehr begeistert und sagte auf meinen Hinweis nur: „Oh, danke, tschüss“ und legte danach auch schnell auf.
Ich hoffe sehr, dass er seinen Server mal anguckt, falls er nicht selber derjenige ist, der den Spam verschickt.
Ich werde vorsorglich eine Abusemail an den Anbieter schicken. Dieser ist im Überringen Kasserver.com. Kenne den Anbieter nicht und deren Webauftritt sieht auch eher komisch aus. Kasserver.com scheint laut der IP von 1f9.de bei der „Neue Medien Muennich GmbH“ zu hosten, besser bekannt unter www.all-inkl.com.
Nun blieb mir also nur noch die „Rechnung“. Also startete ich meine VM und schaute mir diese an.

Was da rauskam könnt ihr im nächsten Blogeintrag sehen.