Weihnachtszeit und Phishing: Amazon-Scam spricht mich mit Vor- und Nachname an

Alle Jahre wieder gilt auch für Cyberkriminelle, die das Phishing immer und immer wieder versuchen. Dieser Phishing-Versuch hat mich aber verblüfft. Die kennen meinen Namen. Verblüfft bin ich deswegen, weil ich die für Amazon genutzte E-Mail-Adresse eigentlich nicht an die große Glocke hänge und so auch kaum nutze. Somit stellt sich zunächst einmal die Frage, woher die Phishing-Typen meine E-Mail-Adresse inklusive Vor- und Nachname haben? Ein Glückstreffer wäre schon sehr unwahrscheinlich. Vielleicht hat aber jemand ein verseuchtes System, bei dem ich jemals etwas bestellt habe? Klingt schon plausibler …

Wie sieht der Phishing-Versuch aus?

Zunächst einmal bekommt man ein E-Mail, das irgendetwas mit einer Sperrung faselt. Es seien Unregelmäßigkeiten erkannt und man müsse seine Daten bestätigen … hmmm … das klingt verdächtig.

Amazon: Phishing-Versuch

Die E-Mail-Adresse des Absenders sieht echt aus (das kann jeder Depp fälschen), meine E-Mail-Adresse stimmte und die Cyberkriminellen setzen auf den Schock-Moment, der da etwas von 960 Euro über mein Konto faselt.

Bekommt man so ein E-Mail heißt es unbedingt Ruhe bewahren! Zunächst einmal kann man ein Browser-Fenster öffnen, sich bei Amazon anmelden und dort nachsehen, ob irgendetwas bestellt wurde. Wurde in meinem Fall nicht, also ist das ganz klar ein Phishing-Versuch. An dieser Stelle kloppt man das E-Mail in die digitale Mülltonne und kümmert sich nicht weiter darum – eigentlich – ich bin aber neugierig.

Phishing-E-Mail untersuchen

Wie man oben sieht, gibt es einen Link: Klicken Sie hier um ihre Daten zu bestätigen. Da fehlt schon mal ein Komma und ich traue Amazon doch Komma-Regeln zu. Der Link verweist auf pnd.to/ZWL, was wiederum auf eine Domain de-login-account.com umleitet, allerdings mit amazon. vorangestellt. Das Ganze liest sich dann so: http://amazon.de-login-account.com <- was ist hier verdächtig? Eigentlich alles und es ist keine https-Website! Die Anmelde-Seite von Amazon ist mit https verschlüsselt! Ansonsten sieht die Seite ziemlich echt aus.

Amazon: Der eigentliche Phishing-Versuch

Meldet man sich hier nun an (ich habe hans.dampf@example.com verwendet und als Passwort wild auf der Tastatur herum gehämmert) passiert das:

Phishing-Versuch: Daten eingeben

Klickt man auf irgendetwas anderes, wie in meinem Fall auf den Einkaufswagen, passiert das:

Auf den Einkaufswagen geklickt

Was ebenfalls sehr sehr interessant ist … sieht man sich den Quelltext der Seite an, wird die IP-Adresse in zwei versteckten Feldern ebenfalls übermittelt.

IP-Adresse wird ebenfalls mitgespeichert

OK, an dieser Stelle habe ich es dann mit den Browser-Spielereien gelassen.

Es ist unglaublich wichtig, die Leute immer wieder zu sensibilisieren. Gerade wenn Kaufrausch-Monat ist. Grundsätzlich einen kühlen Kopf bewahren und erst mal nachdenken – dann mit Bedacht handeln!

Allerdings interessierte mich noch, wer hinter der Domain steckt: whois de-login-account.com … alles klar … gleich mal an die abuse-Adresse geschrieben …

Domain Name: DE-LOGIN-ACCOUNT.COM
Registry Domain ID: 1889062222_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2014-12-06T16:29:58.00Z
Creation Date: 2014-12-07T00:29:00.00Z
Registrar Registration Expiration Date: 2015-12-07T00:29:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Registrar Abuse Contact Email: abuse@enom.com
Registrar Abuse Contact Phone: +1.4252982646
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: B7BFC3F797D843D99E93ABF570EC7034.PROTECT@WHOISGUARD.COM
Registry Admin ID:
Admin Name: WHOISGUARD PROTECTED
Admin Organization: WHOISGUARD, INC.
Admin Street: P.O. BOX 0823-03411
Admin City: PANAMA
Admin State/Province: PANAMA
Admin Postal Code: 00000
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: B7BFC3F797D843D99E93ABF570EC7034.PROTECT@WHOISGUARD.COM
Registry Tech ID:
Tech Name: WHOISGUARD PROTECTED
Tech Organization: WHOISGUARD, INC.
Tech Street: P.O. BOX 0823-03411
Tech City: PANAMA
Tech State/Province: PANAMA
Tech Postal Code: 00000
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email: B7BFC3F797D843D99E93ABF570EC7034.PROTECT@WHOISGUARD.COM
Name Server: AIDEN.NS.CLOUDFLARE.COM
Name Server: MIKI.NS.CLOUDFLARE.COM
DNSSEC: unSigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014-12-06T16:29:58.00Z