Mein Hinweis auf gefälschte Rechnungen der GEZ ist gerade einige Tage alt, da kommt schon die nächste Welle von E-Mail-Fälschungen daher. Dieses mal hat es das Bundeskriminalamt (BKA) erwischt, und sogar die Qualität der Mail ist in diesem Fall erstaunlich hoch. So finden sich keine ersichtlichen Falschaussagen im Text, lediglich ein überflüssiges Wort im vorletzten Satz zeugt davon, dass der Text vor dem Versand wohl nicht vernünftig durchgelesen worden ist. Aber das passiert auch einem wirklichen E-Mail-Schreiber einmal, weshalb man sich daran nicht aufhängen sollte.

Das Referat LS 2 des BKA in Wiesbaden gibt es tatsächlich (siehe hier), auch einen Herrn Stock gibt es beim BKA. (Jürgen Stock ist einer der beiden Vizepräsidenten des BKA. Siehe Wikipedia-Link.) Die Telefonnummer ist Herrn Stock ohne einen Test, von dem man tunlichst absehen sollte, das arme BKA kann sich vor Anrufen bestimmt kaum noch retten, nicht definitiv zuzuordnen. Aber lassen wir das einfach mal außen vor.

Etwas seltsam sieht meines Erachtens die E-Mail-Adresse des BKA aus. Entweder die Trojaner/Spam-Versender haben diese erfunden, oder das BKA benutzt tatsächlich sehr künstlich aussehende E-Mail-Adressen. Die persönliche Adresse von Herrn Stock ist es jedenfalls nicht. Zwar nenne ich diese sicherheitshalber hier lieber nicht, via Google ist sie jedoch problemlos in Erfahrung zu bringen.

Besonderer Aufmerksamkeit bedarf es des im Fließtext erwähnten Anhangs, der angeblich ausdruckbar sein soll. Aber nicht nur der Name der angehängten Datei sieht verdächtig aus, die verwendete Zahl scheint komplett aus dem Kontext gerissen zu sein, was mich generell stutzig werden ließe, sondern auch die Endung ist ein 100%iger Hinweis auf einen Virus oder einen Trojaner. Immerhin werden mit der Endung ".exe" die Ausführbaren Dateien (also Programme) unter Windows bezeichnet. Von einem druckbaren Dokument ist hier weit und breit nichts sehen.

Bei manchen E-Mail Anwendungen (und Betriebssystemen) ist es übrigens nötig, das Zeigen von Dateiendungen einzuschalten, damit man eben diese Endungen wie ".exe" oder ".pdf" überhaupt angezeigt bekommt. Der im obigen Bild gezeigte Anhang würde sonst nur als "9286848" sichtbar sein, und wäre so nicht zweifelsfrei als Virus/Trojaner zu identifizieren. Stellen Sie also unbedingt sicher, dass Ihr System entsprechend konfiguriert ist.

Zu guter Letzt hat mich noch die genannte IP-Adresse stutzig gemacht. Jeder, der sich im Internet bewegt, hat eine solche. In der Regel gehören diese zu einem ganzen Pool von IP-Adressen, die Ihrem jeweiligen Internet-Provider, oder dessen Partner, zugeordnet sind, und von denen Sie in der Regel zufällig und wechselnd eine zugeordnet bekommen. Welchem Internet-Provider Ihre aktuelle IP-Adresse gehört, das lässt sich problemlos, und ohne die eigene IP-Adresse selber ermitteln zu müssen, auf der folgenden Seite feststellen: http://www.schwarzl.at/ipcheck.html

Wie man sieht, wird die eigene IP-Adresse automatisch eingetragen. Man muss nur noch mit "Abfrage ausfueren" bestätigen, und die so genannte WHOIS-Abfrage der IP-Adresse wird ausgeführt und angezeigt. Hier ein Ausschnitt aus meiner Abfrage:

Der gezeigte IP-Adressenbereich von 89.59.128.0 bis 89.59.128.255 ist der freenet Cityline GmbH zugeordnet, die der Dienstleister für meinen Internet-Provider Meome ist. Ruft man nun den WHOIS-Eintrag der IP-Adresse aus der E-Mail ab (ohne weitere Eingabe mit diesem Link), dann zeigt sich folgendes Bild:

Man sieht, dass diese IP-Adresse zur Schlund + Partner AG gehört, und sofern ich nicht innerhalb der letzten Zeit meinen Internet-Provider gewechselt habe, was nicht der Fall ist, dann ist hier eindeutig etwas faul.

Fazit: Wieder einmal haben wir eine Trojaner-Mail durch Nachdenken und ein wenig Recherche eindeutig als Fälschung überführt. Glauben Sie also nicht allem, was in Ihrem Briefkasten landet. Wenn es wichtig ist, wie bei echter Post vom BKA zum Beispiel, wird der Absender außerdem bestimmt nicht nur per E-Mail Kontakt mit Ihnen aufnehmen. Dafür ist das Medium E-Mail eben -leider- einfach zu unsicher (geworden).

-Daniel

P.S: Das BKA hat selber auch einen Hinweis zu den gefälschten E-Mails auf Ihrer Homepage veröffentlicht.