Damian Thater

Phishing Alarm! Mit Sicherheit-von-Amazon.de

09.04.2014

Phishing Alarm! Mit Sicherheit-von-Amazon.de

Neuer Stoff für alle Junk-Mail-Interessierten: Sicherheit von Amazon.de

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Das muss ja wohl wichtig sein:

From: =?UTF-8?B?U2ljaGVyaGVpdCB2b24gQW1hem9uLmRl?= <info@amazon.de>
	Übersetzt: "Sicherheit von Amazon.de"
To: <fremdes-konto@irgendwo-im-weltraum.bla>
Betreff: Amazon.de

Sehr geehrter Kunde,

Wir müssen Ihnen mitteilen, dass unser Sicherheitssystem 
einen Fremdzugriff auf Ihren Account festgestellt hat. 
Fremde IP-Adresse lautet 230.230.40.230

Um eine Kontosperrung zu vermeiden, bitten wir Sie eine 
Identitatsbestätigung vorzunehmen. 

<link>Überprüfen Sie Ihr Konto, indem Sie auf den Link klicken.</link>

Wir bitten um Verständnis und danken für Ihre Mithilfe.

Mit freundlichen Grüßen. Ihr Amazon-Team

Na wenn das Amazon so sagt, muss es wohl stimmen… oder? Oder eher nicht!

Erster Eindruck

  • Wow, kurz und knapp, aber gutes Deutsch für Durchschnitts-Anwender als Adressaten… DAUs können mit dem Account der IP-Adresse nichts anfangen. Vielleicht klingt es auch zu fachlich und unvertraut, was der angebliche Versender wieder wett machen soll: (irone an) Amazon.de, also wenn es von Amazon kommt, muss es wohl wahr sein… (irone aus)

Für ein Email nach deutschem Recht fehlt aber bei der Kommunikation die obligatorische Geschäfts-Fusszeile samt Steuer-ID und dem Namen der/des Geschäftsführer/s. Also ist die Email schon mal per se nicht vertrauenswürdig.

Internet-Check

Google sacht dazu: Betrugsversuch

Hinter der Kulissen

Was ist denn drin im Paket?

Received: from ns416226.ip-37-187-144.eu ([37.187.144.83])

Mail-Server, die so dynamische Namen haben, sind nicht ernst zu nehmen. Jeder Hinz und Kunz kann so etwas bei beliebigen Providern im Nu erstellen lassen. Was auch hier geschehen ist…

Schaut man sich den Registrar von ip-37-187-144.eu an, fällt auf, dass er nicht über den einfachen whois erkennbar ist. Der Hoster ist OVH.

whois ip-37-187-144.eu
...
Registrant:
NOT DISCLOSED!
Visit www.eurid.eu for webbased whois.
...

OK, ob Täter oder Opfer, ist erst einmal egal. Es handelt sich eh nur um den Boten. Also weiter im Email-Text:

Return-Path: root@ns416226.ip-37-187-144.eu

Die Antwort bei Fehlzustellung geht auch freundlicherweise direkt an den Administrator der Domaine. Wenn sich dahinter ein Täter verbirgt, weiss er bei Unzustellbarkeit, dass die Emailadresse, an die der Phishingversuch gerichtet war, aus der Sammlung entfernt werden kann.

Der Kern der Email ist dessen Inhalt (message body):

Syntaktisch falsch konstruierte HTML-Anweisung (beginnend mit <br>, also einem Umbruch) Zeigen, dass der Täter keine Mühe und Zeit verlieren wollte mit dem Kopieren des originalen Amazon-Auftritts. Unterhalb des HTML-Kommandos ist ein Img-Tag (Bildaufruf), welches ein Script httq://httpssj.net/logo.php aufruft, anstelle eines statischen Bildes. Dieser wird von der gleichen Quelle versorgt, wie der Aufforderungslink, ist aber (oh, Wunder) nicht Amazon.de, sondern dieser hier:

httq://httpssj.net/security/de/customer

Klickt der Empfänger nun auf den Link, landet er hier:

httq://httpssj.net/amazon.de/username_uberprufung/5781/getSSL/signIn/...

(ironie an) Oh ja, da steht ja Amazon und die Seite hat auch dessen Logo, also fröhlich seine MasterCard und Visa Daten eingetragen und mit Username und Passwort signiert… und WEITER! (ironie aus) Eher, weiter ins Verderben. Wer das tatsächlich tut, macht einen folgenschweren Fehler. Die Daten gehen nicht an Amazon, sondern auf die Seite der Phisher und werden für viele andere Missetaten genutzt, nur nicht zur Verifizierung des Amazon-Accounts!

Web gehört eigentlich httpssj.net?

> whois httpssj.net

...
Registrant:
    WhoisProtectService.net PROTECTSERVICE, LTD.         httpssj.net@whoisprotectservice.net
	27 Old Gloucester Street
    London WC1N 3AX
	United Kingdom
    +44.02074195061

Registered Through:
	httqs://evo.ru-tld.ru/
	
Name Server: NS1.BEETA.RU
...

Creation Date: 2014-04-09
Expiration Date: 2015-04-09

Interessante Zusammenstellung: Der Registrator ist ein Unternehmen in England (UK). Daneben fallen aber die häufigen russischen Adressen auf (RU). Also, es ist sehr unwahrscheinlich, dass Amazon deutsche Websites nun in Russland hostet.

Vor allem fällt auf, dass ausgerechnet heute, am Tag der Zustellung, die fingierte Domaine erst eingerichtet worden ist (Creation Date). Vermutlich dient ihr alleiniger Zweck dem Missbrauch.

Fazit

Löschen! Mail -> Mülleimer -> Mülleimer leeren

09.04.2014

comments powered by Disqus

Copyright © Damian Thater, 2009-2016  -  Impressum