Achtung: Extrem gut gemachtes Amazon-Phishing im Umlauf

Es ist selten, dass ich bei einer Phishing-Mail stutze und sie mir länger ansehen muss. Was da gerade als angebliche Amazon-Meldung reinschwappt ist aber ein Highlight – ein gefährliches. Kurz gesagt: Meldungen, nach denen euer Amazon-Konto gesperrt wurde und ihr einen Betrag zahlen müsst, um es zu reaktiveren, sind Betrug.

Diese Mail kam bei mir an –und sie sieht enorm echt aus:

Man beachte die gute Grammatik. Und sie sieht wie eine echte Amazon-Nachricht aus.
Man beachte die gute Grammatik. Und sie sieht wie eine echte Amazon-Nachricht aus.

Das erste Alarmsignal: Der Absender ist „Amazon @ Servicecenter .com“, das ist keine Adresse, die Amazon normalerweise nutzt. Ein Besuch von Servicecenter.com zeigt eine geparkte Domain. Jupp, das ist fake.

Aber weiter: Wenn ich mit der Maus über die „Weiter (über Sicherheitsserver)“-Schaltfläche fahre, sehe ich, dass der Link zu „my-serviceappshelpcenter PUNKT de“ (Blockt sie gleich mal in eurer Firewall/Router) führt. Das ist definitv keine Amazon-Domain. Eine kurze denic-Abfrage zeigt: Die Domain wurde am 31.05.2015 registriert, die Adresse gibt es wirklich, aber der Name wirft weder einen Facebook- noch einen Google-Treffer aus (ich würde sagen, das ist komplett falsch). Gehostet wird die Seite bei 1&1, entsprechend habe ich Nachrichten an den Postmaster und Abuse @1und1.de geschickt. Zudem hab ich die Denic informiert (und das Google Phishing Tool), mal sehen, was das bringt.

Was macht die Phishing-Seite?

Ich habe leider keine Zeit für eine komplette Analyse, deswegen im Schnelldurchlauf (Hier könnte es NSFW werden, wenn eure Arbeit prüde ist und keine Schimpfwörter erlaubt.

Ich fahre ein virtuelles Linux hoch, damit ich mir keinen Windows-Virus beim Besuch einfange (ja, auch für Linux gibt es Viren, aber dank der VM kann ich die recht leicht entfernen) und besuche die Seite:

 

Soweit, so Amazon. Das sieht echt gut aus. Nur die URL passt nicht. Und die Links sind zwar blau, führen aber nirgends hin.
Soweit, so Amazon. Das sieht echt gut aus. Nur die URL passt nicht. Und die Links sind zwar blau, führen aber nirgends hin.

Faszinierend, da hat sich jemand die Mühe gemacht und die Amazon-Seite kopiert. Allerdings funktionieren die Verlinkungen nicht, sprich ein Klick aufs Amazon-Logo bringt mich nicht zur Amazon-Hauptseite. Ich melde mich mit einer erfundenen Adresse an (Passwort ist nicht notwendig) und lande auf dieser Seite:

Amazon Phishing - Kontaktdaten
Ah, jetzt wird es interessant, da will jemand meine Kontaktdaten.

Aha, hier wird es schon persönlicher, da will jemand meine privaten Daten. Dann fülle ich die doch mal aus. Und der nächste Klick:

Amazon Phishing - Zahlungsmittel
Klar, ums Konto zu entsperren brauchen sie meine Kreditkarte. Und den Verfügungsrahmen. Und die verknüpfte Bank. Yeah…

Jackpot – der Schuft will meine Kreditkartennummer. Und gleich den Verfügungsrahmen dazu. Jetzt bin ich aber gespannt, was da noch kommt. Ich schnappe mir eine Kreditkartennummer von Darkcoding (die es natürlich nicht gibt, keine Panik) und gebe eine Zufallskontonummer mit der BLZ der Sparkasse Berlin an. Und weiter:

 

Amazon Phishing - Visa Security
Ha, da denkt jemand mit – die wollen das Kennwort für meine (nicht existente) Visa-Karte.

Ah, schau an – da will er noch mein Visa Security Passwort haben, nicht schlecht. Man beachte, dass er hier den Vornamen aus den früheren Angaben einfügt. Also, dann, mein Passwort ist natürlich „password“ und weiter:

 

Amazon Phishing - Finale
Und das war es auch schon. Jetzt hat der Phisher alle notwendigen Daten.

Das war es dann, sehr gut. Der Phisher hat jetzt so ziemlich alle notwendigen Daten um fröhlich auf meine Kosten einzukaufen.

Die Moral: Passt auf da draußen, nicht alle Betrügereien sind dumm und einfach gemacht. Klickt keine Links in solchen Mails, ruft die Seiten per Hand auf. Installiert einen Anti-Virus. Prüft eure Kontoauszüge. Schimpft nicht auf Amazon, die können in diesem Fall wirklich nichts dafür.

Und im Zweifel: Der Sperrnotruf für Kreditkarten ist die 116 116.

Über Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

2 Kommentare

  1. Danke vielmals! Thunderbird bzw. Gmail verschiebt das Pishing zwar automatisch in den Papierkorb – aber es ist schon sehr gut gemacht. Ein naiver Amazon-Fan kann darauf reinfallen.

  2. Hehe… jup Phishing …

    Als damals die BSI eine Seite eingerichtet hatte, damit besorgte Anwender ihre Email-Adresse da eintragen und checken lassen können, habe ich das BSI unterstützt.

    http://www.sp-datenbank.de/37-politisches-und-soziales/einfach-mal-ausgesprochen/82-wochendphishing-mit-der-bsi-warnung.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

banner