Der E-Mail-Sicherheitsanbieter Eleven warnt vor gefälschten Buchungsbestätigungen der Deutschen Bahn, die derzeit in großer Zahl per E-Mail versandt werden und einen gefährlichen Virus verbreiten.

Die E-Mail hat den Absender buchungsbestaetigung@bahn.de, den die Bahn tatsächlich für Buchungsbestätigungen einsetzt. Auch die Nachricht selbst wirkt äußerst authentisch: Sie enthält Auftrags- und Kundennummer sowie einige Links, die auf die Orginalseiten der Bahn verweisen. Inhalte, Formulierungen und Links sind exakt aus echten Buchungsbestätigungen herauskopiert und erzeugen daher den Eindruck einer echten Nachricht der Bahn. Nur bei der Betreffzeile haben die Spammer einen Kopierfehler gemacht: Statt "Vielen Dank für Ihren Fahrkartenkauf" plus Auftragsnummer in Klammern haben sie einen Betreff nach dem Muster "Ihren Fahrkartenkauf (Auftrag DX62SG)".

Die Gefahr verbirgt sich im Anhang. Dieser ist eine ZIP-Datei, deren Dateiname den Betreff zitiert und beispielsweise "Ihren Fahrkartenkauf_SQ7OTD.zip" lautet. Im Zip-Archiv befindet sich eine als PDF-File getarnte ausführbare Datei (.exe). Wenn der Nutzer diese anklickt, wird die Schadsoftware auf dem Rechner installiert. Bei der Malware handelt es sich um einen Trojaner, der Windows-Systeme befällt und derzeit nur von sehr wenigen Virenscannern erkannt wird. Die Welle begann am Morgen des 15. Mai 2013 und gehört zu den drei größten Virenausbruchswellen der letzten 30 Tage.

Erkannt werden können die gefälschten E-Mails an der fehlerhaften Betreffzeile und daran, dass die Auftragsnummer im Betreff nicht mit jener in der E-Mail und jener im Dateinamen des Anhangs übereinstimmt. E-Mail-Nutzern, die solche E-Mails erhalten und tatsächlich kürzlich eine Online-Buchung bei der Deutschen Bahn getätigt haben, wird geraten, die E-Mail-Nachricht mit der tatsächlichen Buchungsbestätigung, die jeder Kunde unmittelbar nach getätigter Buchung erhält, oder mit den Angaben zur Buchung, die im Kundenbereich der Bahn-Website einzusehen sind (zu erreichen unter http://bahn.de und Klick auf "Login") zu vergleichen. In keinem Fall sollte der Anhang geöffnet werden, da nur dann eine Infektion des Rechners stattfindet.