Vorsicht vor gefälschten Bußgeldbescheiden per E-Mail

Fake E-Mail vom KBA mit Bußgeldbescheid

Eine E-Mail mit einem angeblichen Bußgeldbescheid vom Kraftfahrzeugbundesamt (KBA) kann viele Menschen verunsichern. Vor allem, wenn ein konkretes Bußgeld, ein Datum und sogar eine Telefonnummer angegeben sind, wirkt das Schreiben auf manche authentisch.

Doch Vorsicht: In der Regel handelt es sich bei solchen E-Mails um Betrugsversuche, so genannte Phishing-Mails. Ziel ist es, dich dazu zu bringen, einen schädlichen Anhang zu öffnen oder auf einen gefälschten Link zu klicken.

Hier die vermeintliche KBA E-Mail

Diese wird von unterschiedlichen Absendern verschickt.

Bußgeldbescheid
Hallo Empfänger,

Sie haben eine Zahlung in Höhe von 160 Euro erhalten wegen eines Verkehrsverstoßes:

Art des Vergehens: Zu schnelles Fahren
Zeitpunkt des Vorfalls: 08.02.2025 um 10:15 Uhr
Ort des Verstoßes: Bundesstraße B76 Abschnitt 15
Für Ihre Einfachheit können Sie das amtliche PDF-Dokument mit den Zahlungsinformationen unter folgendem Link einsehen:

Zahlungsinformationen als PDF

Bitte beachten: Falls Sie mit diesem Bußgeldbescheid nicht einverstanden sind, haben Sie das Recht, innerhalb von 14 Werktagen Reklamation zu erheben. Bitte erreichen Sie uns unter den folgenden Informationen:

Telefonnummer: 49 461 316-0
E-Mail: kba@kba.de
Öffnungszeiten: Montag-Freitag 8:00-16:00 Uhr

Danke für Ihre Beachtung.
Phishing-Mails: KBA- Bußgeldbescheid - Bitte kontaktieren Sie uns unter den folgenden ...
Phishing-Mails: KBA- Bußgeldbescheid – Bitte kontaktieren Sie uns unter den folgenden …

Wie erkenne ich eine betrügerische Bußgeld-E-Mail?

Seriöse Bußgeldstellen verschicken keine Zahlungsaufforderungen per E-Mail. Stattdessen erhältst du offizielle Bußgeldbescheide immer per Post. Wenn also ein Bußgeldbescheid in deinem E-Mail-Postfach landet, solltest du skeptisch sein. Auffällig sind oft folgende Merkmale:

Fragwürdige Absenderadresse: In diesem Fall stammt die E-Mail angeblich vom Kraftfahrt-Bundesamt (KBA), die Absenderadresse endet aber auf „.ru“ (Russland). Offizielle deutsche Behörden haben Domains wie „.de“.
In diesem Fall war der Absender KBA <notitusude@sovindom.ru> oder KBA <kopexa@uruzan.ivanor.ru> und weitere mit russischer Domainendung.

Drohungen und Dringlichkeit: In der E-Mail werden Konsequenzen angedroht, wenn nicht sofort gehandelt wird. So wird Druck aufgebaut.

Aufforderung zum Anklicken oder Herunterladen: Die betrügerische Nachricht enthält einen Button „Zahlungsinformationen als PDF“. Wenn du darauf klickst, könnte dein Computer mit Schadsoftware infiziert werden.

Was passiert, wenn ich den Anhang öffne?

Ich habe mir den Code heruntergeladen (bitte nicht nachmachen) und mir diesen näher angeschaut. Die herunterladbare Datei heißt Scherfe-639953_PDF_.js – es wird also versucht so zu tun, als könnte es sich um eine normale PDF-Datei handeln.

Wenn du den in der Mail enthaltenen JavaScript-Anhang oder einen vermeintlichen PDF-Link öffnest, wird oft unbemerkt Schadsoftware auf deinem Rechner installiert. Diese kann verschiedene Funktionen haben:

Systemmanipulation: Der Schadcode kann Systemdateien verändern oder weitere Programme aus dem Internet nachladen.

Datendiebstahl: Möglicherweise wird deine Tastatureingabe mitgelesen, um Passwörter und Bankdaten zu stehlen.

Hintertür für Angreifer: Dein Computer könnte Teil eines Botnetzes werden und für weitere Angriffe genutzt werden.

Moderne Phishing-Angriffe setzen auf raffinierte Tarnung. Ein gut gemachter Bußgeldbescheid kann auf den ersten Blick echt wirken. Wer jedoch eine E-Mail mit Zahlungsaufforderung erhält, sollte misstrauisch sein.

Was würde das Skript auf einem Windows-Rechner tun?

Ich habe den JavaScript-Code aus der E-Mail genauer analysiert. Dabei ist mir aufgefallen, dass er stark verschleiert ist. Das bedeutet, dass der eigentliche Schadcode erst bei der Ausführung entschlüsselt wird. Eine zentrale Funktion des Skripts nutzt GetObject, eine Technik, die oft verwendet wird, um Windows-Befehle auszuführen.

Das kann dazu führen, dass schädliche Software nachgeladen wird, die:

  • deine Systemsteuerung manipuliert, um weiteren Schadcode unbemerkt zu installieren,
  • Passwörter und persönliche Daten ausliest,
  • deinen PC in ein Botnetz einbindet, um ihn für kriminelle Zwecke zu missbrauchen.

Die Schadsoftware bleibt oft verborgen, während sie im Hintergrund arbeitet. Deshalb ist es wichtig, solche Anhänge niemals zu öffnen.

Noch (20.02.2025) ist vielen Antiviren-Analysen das Scripts nicht bekannt. Nur wenige stufen es bisher als Trojaner ein
Noch ist vielen Antiviren-Analysen das Scripts nicht bekannt. Nur wenige stufen es bisher als Trojaner ein – Virustotal vom 20.02.2025

Warum wurde das Skript so geschrieben und warum die Verschleierung?

Die Ersteller solcher Schadprogramme möchten verhindern, dass ihre Software von Antivirenprogrammen oder Sicherheitsexperten sofort erkannt wird. Dafür nutzen sie eine Technik namens Code-Obfuskation – also die absichtliche Verschleierung des Codes. Dadurch sieht der Programmcode auf den ersten Blick harmloser bzw. unlesbarer aus.

Das kann verschiedene Methoden umfassen:

  • Unleserliche Variablennamen: Der Code verwendet Namen wie otherenterprises0higherand, die keinen offensichtlichen Sinn ergeben.
  • Versteckte Zeichenketten: Wichtige Befehle werden erst zur Laufzeit entschlüsselt, sodass eine einfache Analyse sie nicht sofort erkennt.
  • Einsatz von Windows-Funktionen wie GetObject: Dadurch kann das Skript andere Programme starten, ohne direkt aufzufallen.

Diese Art der Verschleierung macht es für Sicherheitssoftware schwer, das Skript als Bedrohung einzustufen, weil es erst bei der tatsächlichen Ausführung seine wahre Funktion entfaltet. Für uns Nutzer bedeutet das: Je undurchsichtiger ein Code oder eine Datei wirkt, desto wahrscheinlicher ist es, dass sie schädlich ist.

Mein Fazit zu diesem JavaScript namens ‚Scherfe-639953_PDF_.js:

Der Download erfolgt nach dem Anklicken des Links. Diese sind unterschiedlich, aber augenscheinlich immer auf Domains mit der Endung .cl (Chile) abgelegt.

Das Skript scheint ein typischer Windows-spezifischer Schadcode zu sein, der nachträglich weitere schädliche Befehle ausführen könnte. Da GetObject verwendet wird, wäre das Ziel höchstwahrscheinlich eine Interaktion mit dem Betriebssystem, um unerlaubte Prozesse zu starten oder Konfigurationsänderungen vorzunehmen. Auf keinen Fall ausführen!

Code des heruntergeladenen JavaScripts
Code des heruntergeladenen JavaScripts

Wie kann ich mich schützen?

  1. Nicht auf Links oder Anhänge klicken, wenn du eine unerwartete Mail bekommst.
  2. Absenderadresse überprüfen: Offizielle Stellen nutzen keine russischen oder unbekannten Domains.
  3. Im Zweifelsfall direkt bei der Behörde nachfragen: Das KBA hat eine offizielle Website, auf der du Kontaktinformationen findest. In diesem Fall wird vor dieser Masche dort bereits gewarnt.
  4. Anti-Viren-Software – oder besser eine Internet Security Software – aktuell halten: Ein guter Schutz kann verdächtige Anhänge blockieren.
  5. Spam-Filter nutzen: Viele E-Mail-Dienste markieren solche Mails automatisch.

Was tun, wenn ich doch geklickt habe?

Falls du den Anhang oder Link geöffnet hast, solltest du schnell handeln:

  1. Trenne dein Gerät vom Internet, um eine weitere Verbreitung der Malware zu verhindern.
  2. Starte einen kompletten Virenscan mit aktueller Sicherheitssoftware (siehe nächster Abschnitt).
  3. Setze dein System zurück oder lasse es von einem Fachmann überprüfen.
  4. Falls du Passwörter eingegeben hast, ändere sie sofort.

Wenn du dir unsicher bist, ob eine E-Mail echt ist, suche die offizielle Website der Behörde und kontaktiere sie direkt. Niemals auf Links in verdächtigen E-Mails klicken!

1. Lokale Antiviren-Programme (kostenlos)

Diese Programme bieten Echtzeitschutz und eine Möglichkeit, dein gesamtes System nach Malware zu durchsuchen:

  • Windows Defender (integriert in Windows 10 & 11, sehr zuverlässig)
  • Avast Free Antivirus
  • Bitdefender Free Antivirus
  • Sophos Home Free

2. Online-Virenscanner (keine Installation nötig)

Falls du nur einzelne Dateien oder Links prüfen möchtest:

  • VirusTotal (virustotal.com) → Prüft Dateien oder URLs mit über 60 Antiviren-Engines.
  • Hybrid Analysis (hybrid-analysis.com) → Detaillierte Untersuchung verdächtiger Dateien.
  • Jotti’s Malware Scan (virusscan.jotti.org) → Ähnlich wie VirusTotal, aber mit weniger Engines.

3. Notfall-Scanner (für infizierte Systeme)

Falls dein System bereits betroffen ist:

Bußgeldbescheide per E-Mail sind fast immer Betrug. Offizielle Stellen kommunizieren sicher per Post. Sei vorsichtig bei E-Mails mit Anhängen oder Links, die Druck ausüben. Wenn du eine verdächtige E-Mail erhältst, lösche sie am besten sofort.

5/5 (2)

Konnten wir mit diesem Beitrag weiterhelfen?

Empfehlungen der Redaktion:
Für alle Entdeckerinnen und Entdecker

WhatsApp - optimal nutzen

Buchtipp: Die neueste Version 2021 erklärt alles Funktionen des Messenger-Dienstes. Jetzt WhatsApp komplett ausreizen.

Google als Startseite

Die am häufigsten genutzte Suchmaschine als Startseite im Browser einrichten und schneller die gesuchten Inhalte finden.

Diese Woche neu bei Tchibo

Tolle neue Sachen in den Themenwelten des Tchibo Online-Shops entdecken und sich oder anderen eine Freude bereiten.

Angebote bei QVC

Der TV-Kanal Nummer 1 in Deutschland ist natürlich auch im World Wide Web. Produkte aus den TV-Shows jetzt online entdecken.

Werbeanzeigen

Daniel

Über den Autor

Daniel Weihmann - Betreiber und Redakteur verschiedener Online-Plattformen wie Browserdoktor.de. Von 2004 bis 2014 als Systemadministrator verantwortlich für mehrere Linux-Server und kommunale Online-Lösungen. Heute: Selbstständiger Webdesigner, SEO und Online-Marketer in Köthen (Anhalt).

Schreibe einen Kommentar

Datenschutz Impressum