Aktuell beobachten wir eine Phising-Welle mit gefälschten Emails der Deutschen Telekom.

Die Email beinhaltet eine vermeintliche Rechnungsmail der Telekom, die aus vermeintlichen Datenschutzgründen eine verschlüsselte ZIP Datei zum Download anbietet.

Das Kennwort hierfür ist in der Mail enthalten. Im Zip File befindet sich eine .img Datei worin sich eine XXXXXXXXRechnung.pdf.exe befindet.

Die Exe hat keine sichtbare Oberfläche, läuft aber im Hintergrund weiter und lädt vermutlich die Bitlocker Crypto Module.
Nach unserer Erfahrung erkennen verschiedene Antiviren-Lösungen den Schadcode bisher NICHT. Auf Grund der Verschlüsselung des ZIP-Files können auch die Sophos Firewalls die eingehende Emails bzw. den darin enthaltenen Anhang nicht auf Viren und Schadcode prüfen, weshalb diese Emails quasi ohne vorgelagerte Prüfung der Firewall zugestellt werden.

Die entsprechenden Emails können jedoch ausgefiltert werden, wenn in Ihrer Sophos Firewall die Zustellung von verschlüsselten Anhängen (wie im folgenden Bild dargestellt) deaktiviert wird.

Es ist nicht sichergestellt, dass Art und Gestaltung der Mail überall identisch ist. Hier sehen Sie ein Beispiel der Email:

Bitte seien Sie sorgsam im Umgang mit entsprechenden Emails und sensibilieren Sie ggf. auch Ihre KollegInnen.

Bei Fragen steht Ihnen unser Support-Team gerne zur Verfügung.