Vorsicht, Phishing! … Ihre Amazon-Bestellung wurde erfolgreich storniert

27 März 2013 7 Kommentare Autor: Jürgen (jdo)

Vorsicht Teaser Phishing Malware Schadcode 150x150Wer so eine Nachricht bekommt (hatte gerade eine in meiner Inbox), sollte diese sofort in die Tonne kloppen. Zum Glück erkennnen Firefox und Chrome die Seite bereits als Phishing-Versuch und warnen den Anwender entsprechend. Wer auf eigenes Risiko die Seite dennoch aufruft, findet einen Amazon-Klon wieder, der es auf Deine Daten abgesehen hat.

Guten Tag geehrter Amazon Kunde,
leider müssen wir Ihnen berichten, dass unbefugte auf Ihr
Kundenkonto einsicht erlangen konnten.
Die Bestellungen die von Ihrem Mitgliedskonto am folgende Adresse:

Peter Braun
Ludwig-Beckstraße 15
37621 Göttingen

getätigt wurde, haben wir erfolgreich annulliert.
Wir fordern Sie daher auf, Ihr Kundenkonto so schnell wie möglich zu überprüfen
und weitere Probleme dem Amazon Kundenservice zu melden.
Öffnen sie dazu bitte folgenden Link in Ihrem Browser auf und folgen sie den
Anweisungen:

http://amz-12.com/?www.amazon.de/ap/signin/280-9737138-2719341?_encoding=UTF8&openid.assoc_handle=deflex&openid.claimed_id

Wir entschuldigen uns für dadurch entstandene Unannehmlichkeiten und Bitten Sie
um Verständniss.

Ihr Amazon Kundenservice.

Firefox warnt ...

Firefox warnt …

Chrome warnt ...

Chrome warnt …

Die gefälschte Amazon-Seite sieht ziemlich echt aus

Die gefälschte Amazon-Seite sieht ziemlich echt aus

Auf Wunsch hier noch der Header der Mail:

X-Envelope-From: <webmaster@rasmus.jbloropus.ru>
X-Envelope-To: <…………………>
X-Delivery-Time: 1364347607
X-UID: 19844
Return-Path: <webmaster@rasmus.jbloropus.ru>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from vps5.jbloropus.ru (vz7.hostlife.net [195.16.89.60]) by mailin.rzone.de (jored mi70) (RZmta 31.23 OK) with ESMTP id k038a4p2R0fmSO for <………………………>; Wed, 27 Mar 2013 02:26:47 +0100 (CET)
Received: from vps5.jbloropus.ru (localhost.localdomain [127.0.0.1]) by vps5.jbloropus.ru (8.14.3/8.14.3/Debian-9.4) with ESMTP id r2R1Oenm026961 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO) for <………………………….>; Wed, 27 Mar 2013 05:24:41 +0400
Received: (from www-data@localhost) by vps5.jbloropus.ru (8.14.3/8.14.3/Submit) id r2R1OeLg026960; Wed, 27 Mar 2013 05:24:40 +0400
Date: Wed, 27 Mar 2013 05:24:40 +0400
Message-Id: <201303270124.r2R1OeLg026960@vps5.jbloropus.ru>
X-Authentication-Warning: vps5.jbloropus.ru: www-data set sender to webmaster@rasmus.jbloropus.ru using -f
To: …………………………
Subject: Bestellung erfolgreich stoniert.
X-PHP-Originating-Script: 0:hugos.php
From: Support <info@betrugbankin.de>
X-Mailer: c54817ae1ce797cb1d2994533373c68b.php
Reply-To: service@burg.de
MIME-Version: 1.0
Content-Type: text/plain; charset=“UTF-8″
Content-Transfer-Encoding: 8bit

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

7 Kommentare zu “Vorsicht, Phishing! … Ihre Amazon-Bestellung wurde erfolgreich storniert”

  1. nik22 sagt:

    Könntest du vielleicht noch den quellcode der mail posten bzw. von/über welchen smtp-server sie versendet wurde?

  2. Protector sagt:

    Hmm, grade mal ausprobiert, also die Seite amz-12.com ist garnicht mehr erreichbar. Wurde wahrscheinlich direkt vom Netz genommen. Es sei denn, es gibt hier mehrere Domains.

  3. joe sagt:

    Die Gwinnspiel-Seite (Apple Mac-Book) hat laut WOT einen schlechten Ruf, nicht gut fürs Imagage 🙁

    • jdo sagt:

      Häh? Gewinnspiel? Ich glaub ich stehe gerade auf der Leitung ...

    • jdo sagt:

      Ok, ich habs ... da ist mir wieder eine von diesen Mistviechern durchgeschlüpft ... wenn noch jemand danach suchen sollte und diese verbannen will - bei mir war es eGentic GmbH. Vielleicht nach diesem Stichwort zuerst suchen ... sorry ... die Dinger hasse ich selbst. Sollte nun weg sein. Wenn so etwas wieder vorkommt, wäre es mir sehr dienlich, wenn Du den Platz angibst, wo das Ding auftauchte. Dann tu ich mich beim Suchen leichter. Danke!

  4. joe sagt:

    ... aber danke für den Buch-Tipp. Habe es gleich Amazonisiert ...

Antworten