Neuer Stoff für alle Junk-Mail-Interessierten: Sicherheit von Amazon.de
Das muss ja wohl wichtig sein:
From: =?UTF-8?B?U2ljaGVyaGVpdCB2b24gQW1hem9uLmRl?= <info@amazon.de>
Übersetzt: "Sicherheit von Amazon.de"
To: <fremdes-konto@irgendwo-im-weltraum.bla>
Betreff: Amazon.de
Sehr geehrter Kunde,
Wir müssen Ihnen mitteilen, dass unser Sicherheitssystem
einen Fremdzugriff auf Ihren Account festgestellt hat.
Fremde IP-Adresse lautet 230.230.40.230
Um eine Kontosperrung zu vermeiden, bitten wir Sie eine
Identitatsbestätigung vorzunehmen.
<link>Überprüfen Sie Ihr Konto, indem Sie auf den Link klicken.</link>
Wir bitten um Verständnis und danken für Ihre Mithilfe.
Mit freundlichen Grüßen. Ihr Amazon-Team
Na wenn das Amazon so sagt, muss es wohl stimmen... oder? Oder eher nicht!
Erster Eindruck
- Wow, kurz und knapp, aber gutes Deutsch für Durchschnitts-Anwender als Adressaten... DAUs können mit dem Account der IP-Adresse nichts anfangen. Vielleicht klingt es auch zu fachlich und unvertraut, was der angebliche Versender wieder wett machen soll: (irone an) Amazon.de, also wenn es von Amazon kommt, muss es wohl wahr sein... (irone aus)
Für ein Email nach deutschem Recht fehlt aber bei der Kommunikation die obligatorische Geschäfts-Fusszeile samt Steuer-ID und dem Namen der/des Geschäftsführer/s. Also ist die Email schon mal per se nicht vertrauenswürdig.
Internet-Check
Google sacht dazu: Betrugsversuch
Hinter der Kulissen
Was ist denn drin im Paket?
Received: from ns416226.ip-37-187-144.eu ([37.187.144.83])
Mail-Server, die so dynamische Namen haben, sind nicht ernst zu nehmen. Jeder Hinz und Kunz kann so etwas bei beliebigen Providern im Nu erstellen lassen. Was auch hier geschehen ist...
Schaut man sich den Registrar von ip-37-187-144.eu an, fällt auf, dass er nicht
über den einfachen whois erkennbar ist. Der Hoster ist OVH.
whois ip-37-187-144.eu
...
Registrant:
NOT DISCLOSED!
Visit www.eurid.eu for webbased whois.
...
OK, ob Täter oder Opfer, ist erst einmal egal. Es handelt sich eh nur um den Boten. Also weiter im Email-Text:
Return-Path: root@ns416226.ip-37-187-144.eu
Die Antwort bei Fehlzustellung geht auch freundlicherweise direkt an den Administrator der Domaine. Wenn sich dahinter ein Täter verbirgt, weiss er bei Unzustellbarkeit, dass die Emailadresse, an die der Phishingversuch gerichtet war, aus der Sammlung entfernt werden kann.
Der Kern der Email ist dessen Inhalt (message body):
Syntaktisch falsch konstruierte HTML-Anweisung (beginnend mit <br>, also einem Umbruch)
Zeigen, dass der Täter keine Mühe und Zeit verlieren wollte mit dem Kopieren des originalen
Amazon-Auftritts. Unterhalb des HTML-Kommandos ist ein Img-Tag (Bildaufruf), welches ein
Script httq://httpssj.net/logo.php aufruft, anstelle eines statischen Bildes. Dieser wird
von der gleichen Quelle versorgt, wie der Aufforderungslink, ist aber (oh, Wunder) nicht
Amazon.de, sondern dieser hier:
httq://httpssj.net/security/de/customer
Klickt der Empfänger nun auf den Link, landet er hier:
httq://httpssj.net/amazon.de/username_uberprufung/5781/getSSL/signIn/...
(ironie an) Oh ja, da steht ja Amazon und die Seite hat auch dessen Logo, also fröhlich seine MasterCard und Visa Daten eingetragen und mit Username und Passwort signiert... und WEITER! (ironie aus) Eher, weiter ins Verderben. Wer das tatsächlich tut, macht einen folgenschweren Fehler. Die Daten gehen nicht an Amazon, sondern auf die Seite der Phisher und werden für viele andere Missetaten genutzt, nur nicht zur Verifizierung des Amazon-Accounts!
Web gehört eigentlich httpssj.net?
> whois httpssj.net
...
Registrant:
WhoisProtectService.net PROTECTSERVICE, LTD. httpssj.net@whoisprotectservice.net
27 Old Gloucester Street
London WC1N 3AX
United Kingdom
+44.02074195061
Registered Through:
httqs://evo.ru-tld.ru/
Name Server: NS1.BEETA.RU
...
Creation Date: 2014-04-09
Expiration Date: 2015-04-09
Interessante Zusammenstellung: Der Registrator ist ein Unternehmen in England (UK). Daneben fallen aber die häufigen russischen Adressen auf (RU). Also, es ist sehr unwahrscheinlich, dass Amazon deutsche Websites nun in Russland hostet.
Vor allem fällt auf, dass ausgerechnet heute, am Tag der Zustellung, die fingierte Domaine erst eingerichtet worden ist (Creation Date). Vermutlich dient ihr alleiniger Zweck dem Missbrauch.
Fazit