So, die gefälschten 1und1 Rechnungen sind auch wieder im Umlauf. Der Support von denen tut mir jetzt schon leid. Betreff der Spam-Mail: 1&1 Internet AG - Ihre Rechnung 91983 vom 06.02.2007 Interessant ist aber dieser Satz:



Wollen die einen jetzt total verschaukeln? Ansonsten ist diese Spammail aber leider sehr gut gemacht.


Der Text der Email:




Die angehängte .exe Datei, die vermutlich wieder einen Trojaner enthält, wurde bei meinem Anbieter (web.de) gleich automatisch gelöscht. Wenigstens etwas.

Hallo Leute,
so eben habe ich eine Rechnung per Mail von 1&1 erhalten:

Sehr geehrter 1und1 Kunde,

im Rahmen der Mehrwertsteuererhöhung sind wir gesetzlich verpflichtet,
alle Rechnungen anzupassen, die im Jahr 2006 erstellt wurden und deren
Abrechnungszeiträume in das Jahr 2007 hineinreichen.

Sie erhalten daher in dieser E-Mail eine Anlage:

- Eine aktualisierte Rechnung, in welcher der Zeitraum des Jahres 2006 mit 16%
MwSt. und der Zeitraum des Jahres 2007 mit 19% MwSt. ausgewiesen wird

Wir verrechnen diese beiden Belege miteinander. Aus Gutschrift und
aktualisierter Rechnung ergibt sich somit für Sie ein Differenzbetrag von:

- 920,75 EUR

Ausschließlich der in dieser E-Mail genannte Differenzbetrag wird auf dem
üblichen Zahlungsweg ausgeglichen.


Das lustige an der ganzen sache ist, dass ich keine Kunde bei 1&1 bin!!!
Den Mailanhang habe ich besser nicht geöffnet!
Außerdem ist bei dieser mail noch ein Hinweis:

Aktueller Sicherheitshinweis:
=============================
Unbekannte haben Millionen von E-Mails versendet, die sich als Rechnungen der 1&1 Internet AG tarnen.
Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
Ausschließlich solchen E-mails wie dieser können Sie vertrauen. Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!

Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:

- Sie erhalten echte Rechnungen immer als ZIP Dateien
- Sie finden immer diesen Sicherheitshinweis darin


Weitere Informationen hierzu finden Sie unter: http://www.1und1.de/

Hilfe & Kontakt
===============
Haben Sie noch Fragen zu Ihrer Rechnung? Unsere Mitarbeiter der Rechnungsstelle sind gerne
für Sie da. Sie erreichen uns montags bis samstags von 08:00 Uhr bis 20:00 Uhr unter 0180 5 051 006 (14 ct/Min.).



Könnt ihr mir vielleicht bitte weiter helfen??

Scheint die neueste Spammasche bzw. Variation dieser Spammail zu sein. Hintergrund ist, dass 1und1 und deren angehängte Firmen derzeit tatsächlich die Rechnungen aus 2006, die Verträge betreffen, die in 2007 hineinlaufen, korrigiert. Aber: dabei wird ein .PDF Format verwendet, nie ein .Zip Archiv. Demnach ist das wieder ein versteckter Trojaner.

Da Du eh kein Kunde bei 1und1 bist, einfach löschen.

Lutz hat uns gerade noch ein Beispiel dieser neuen Spammails, die vortäuschen, von 1und1 zu sein, zugeleitet (Danke, Lutz!). Der Anhang in diesem Fall ein Zip-Archiv mit einer Nummernfolge als Dateinamen (hier: 42785.zip) enthielt den Trojaner Downloader-AAP (ED), der bei mir von web.de automatisch gelöscht wurde.

Also: nicht auf diese Schreiben reinfallen, 1und1 versendet nie Rechnungen mit einem ZIP-Archiv!

Die derzeitigen richtigen Mehrwertsteuer-Umrechnungen bei 1und1 enthalten jeweils zwei .pdf Dateien, einmal eine Gutschrift für die alte - bereits gezahlte - Rechnung aus 2006 sowie eine neue Rechnung unter Berechnung der neuen Mehrwertsteuer für den Zeitraum ab dem 01.01.2007.

Als zusätzliche Sicherheitsmaßnahme empfehle ich noch, den erweiterten Header der Mails zu überprüfen und dann die IP-Adresse, von der die E-Mail versandt wurde:

im erweiterten Header gibt es zuerst eine Zeile wie:

"Received: from [213.205.33.47]"

Diese Nummer weist auf die IP-Adresse, von wo aus die Email versandt wurde. Wem diese IP Adresse gehört, kann man z.B. bei www.whois.sc/ überprüfen, in diesem Falle http://www.whois.sc/213.205.33.47 *, also einfach die IP-Adresse an die Whois.sc/ Webseite dranhängen. Wenn die Emails von 1und1 kommen, gehört auch die IP 1und1.

*) PS: diese IP-Adresse ist von tiscali.de und hat nichts mit dem Spamversand zu tun, sondern soll hier nur als Beispiel für die IP-Überprüfung dienen.