Amazon

Wieder einmal machen Phishingmails die Runde, dieses mal wieder im Namen von Amazon. Auffällig dabei ist wieder die Mailadresse des Absenders. Es ist keine Mail von Amazon, das erkennt man schon an der Erweiterung hinter dem @-Zeichen. Ein genauerer Blick in den Header der Mail brachte keine klaren Ergebnisse über die Herkunft. Laut Utrace kam die Mail aus einem Ort auf halben Wege zwischen Marburg und Kassel – von einer deutschen Firma – was aber nicht viel heißen mag, denn deren Server können unwissentlich gekapert worden sein und für Spam missbraucht werden.

Beunruhigender ist die Tatsache, daß man wirklich mit Vor- und Nachnamen angesprochen wird und eine Mailadresse verwendet wird, die schon lang nicht mehr bei Amazon registriert ist. Vielleicht wurde der Provider gehackt. Aus technischen Gründen habe ich die Mail hier anonymisiert. Auffällig ist diesmal, daß die Mail nur ganz simpel gestaltet ist. Schwarzer Text auf weißem Grund ohne irgendwelche Firmenlogos und Farben von Amazon.

Erwähnenswert ist noch der Anhang. Finger weg davon, es ist ein Schädling – digitale Influenza ist garantiert!

Sachbearbeiter Amazon GmbH < *****@webholic.de>
Von: Sachbearbeiter Amazon GmbH < *****@webholic.de>
Ordner: ********@gmx.de/Posteingang
Datum: Thu, 12 Mar 2015 11:03:00 GMT
Betreff: Petra Mustermann Ihr gespeichertes Konto ist nicht hinreichend gedeckt
Ein Anhang: Forderung an Petra Mustermann 12.03.2015 – Sachbearbeiter Amazon GmbH.zip (120 KB)

Sehr geehrte Kundin Petra Mustermann,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung bei Amazon GmbH.

Aufgrund des bestehenden Zahlungsrückstands sind Sie gebunden außerdem, die durch unsere Beauftragung entstandenen Kosten von 45,63 Euro zu tragen. Wir erwarten die Überweisung inklusive der Mahnkosten bis spätestens 17.03.2015 auf unser Bankkonto.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Forderung schnellstens zu bezahlen.

Mit verbindlichen Grüßen

Sachbearbeiter Brandt Alexander

Heute habe ich wieder einmal eine recht täuschend ähnliche E-Mail erhalten. Angeblich wolle Amazon die Sicherheit des Zahlsystems für Kunden und Händler erhöhen und fordert die Nutzer auf, innerhalb von 8 Tagen einen Link zu öffnen und dort die Anschrift und die verwendeten Kreditkartendaten einzugeben. Ansonsten würde der Zugang zum Konto unwiderruflich gesperrt. Die Mail kommt von datenabgleich@amazon-presse.de. Nur wird Amazon sie niemals per Mail auffordern irgendwelche Kartendaten per Webformular zu verifizieren.

Erhält man solche Mails kann man diese vertrauensvoll an stop-spoofing[add]amazon.com schicken. (das [add] ist durch ein @ zu ersetzen)

Folgenden Inhalt hat die Mail:

Sehr geehrter Amazon Kunde,
Sicherheit hat für Amazon.de höchste Priorität. Wir sorgen für ein sicheres Zahlungssystem, schützen Karteninhaber, Händler,unsere Mitglieder sowie Unternehmen und tragen zum Wachstum bei.

Amazon.de Datenabgleich (Verifizierungsvorgang)

Bitte beachten Sie folgende Hinweise:

Aufgrund sicherheitstechnischen Mängeln bei Online-Anbieter sind wir gezwungen, mit unseren Kunden einen Datenabgleich durchzuführen.

Sollten Sie eine Visa, Master oder AmericanExpress-Card besitzen, bitten wie Sie eine
Adress- und Kartenverifizierung durchzuführen um eine Account/ Kartensperre zu verhindern.

Bitte führen Sie Ihren Datenabgleich baldmöglichst aus. Sollten Sie nicht innerhalb der nächsten 8 Tage Ihren Datenabgleich ausführen, sperrt unser System automatisch Ihren Amazon-Zugang unwiederuflich.

Achtung: Eine Reaktivierung Ihres Amazon.de Kontos ist in diesem Fall nichtmehr möglich!

Klicken Sie hier oder öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie „öffnen mit“ aus.
Füllen Sie alle Daten aus und klicken Sie dann auf „Verifizieren“.
Nach überprüfung Ihrer Daten erhalten Sie eine gesonderte Email zur bestätigung.

Copyright © 2012 Amazon.com,
Amazon EU S.à.r.l.
5, Rue Plaetis
L-2338 Luxemburg

Und sie sieht täuschend echt aus:

Folgt man den Anweisungen, öffnet sich ein HTML-Dokument, welches der Mail beiliegt. Dort wird man aufgefordert seine Wohnanschrift und Kreditkartennummern zu hinterlegen. Klickert man auf Verifizieren, dann gehts ab zu einem Datensammler, der die Kreditkartennummern und Anschriften für seine Zwecke verwenden wird.

Heute kam bei mir eine E-Mail von Amazon ins Postfach geflattert mit folgendem Inhalt:

Betreff: Bestellung Storniert

Sehr geehrter Kunde,
leider müssen wir Ihnen mitteilen, dass fremde auf Ihr
Amazon Konto zugriff beschaffen konnten.
Die Bestellungen die von Ihrem Amazon Konto an folgende Adresse:

Markus Braun
Ludwig-BeckstraЯe 32
37933 Göttingen

getätigt wurde, haben wir soeben annulliert.
Wir bitten Sie daher, Ihr Kundenkonto schnell zu kontrollieren
und weitere Fehler dem Service Team zu melden.
Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:

HIER KLICKEN

Wir entschuldigen uns für dadurch entstandene Schwierigkeiten und Bitten Sie
um Verständniss.
Ihr Amazon Kunden-Support.

Diese Mail mit dem oder Mails mit ähnlichem Inhalt sind eine Fälschung. Wie ist das als Fälschung zu erkennen? Nun erstmal am Absender der da lautet: noreply@netlogmail.com. Mails von Amazon haben meist die Domains Amazon.com, Amazon.de, Amazon.uk hinter dem @-Zeichen.

Klickt man auf Hier Klicken wird man zu einer Eingabeseite von Amazon geleitet, wo man seine Daten zur Adresse und zu Zahlungsarten ändern soll. (zur Vergrößerung bitte auf das Bild klicken)

Gibt man dort seine Daten ein, werden diese zwar zu Amazon geleitet, aber im Hintergrund werden diese noch ein zweites mal mit gespeichert und die Betrüger können dann mit den Daten auf Ihre Kosten einkaufen. Hinter dem Button Hier Klicken steckt folgender Eintrag: [http : //amz-kdm . biz].

Die kompromitierte Seite erkennt man an folgendem Link in der Adresszeile seines Lieblingsbrowsers (Klick auf das Bild zum Vergrößern):

Sollte man sich dennoch auf diese Seite verirren, erkennt ein aktueller Browser (bei mir war es Firefox 19.02) daß hinter dieser Seite ein Betrüger steckt, aber man sollte sich nicht darauf verlassen, daß diese Seite überall gelistet ist.

Man kann die Mail durchaus in seinem normalen Posteingangsordner bekommen, so wie es mir heute Abend passiert ist, deswegen ist Vorsicht geboten. Diese Mail trudelte am 31. März gegen 22 Uhr bei mir ein. Hier will der Versender der Mail sich wahrscheinlich den 1. April zu Nutze machen, weil man an diesem Datum solche Nachrichten nicht ganz ernst nimmt.

Achtung, das ist kein schlechter Aprilscherz