:~$
Nerd4U

Phishing bei Amazon-Kunden

23. Mai 2014 um 15:42 Uhr von Sabine Becker

Kürzlich leitete mir ein Bekannter eine E-Mail weiter, bei welcher er nicht sicher erkennen konnte, ob es sich um Phishing handelte oder nicht. Die E-Mail kam auf den ersten Blick von Amazon und enthielt seinen vollen Namen – ein Kriterium, von dem man bisher ja sagte, daß man daran erkennen kann, ob es Betrug ist oder nicht. Die großen Anbieter wie Amazon, eBay etc. reden ihre Kunden in den E-Mails immer mit dem vollen Namen an, während Phisher das üblicherweise nicht tun. Das hat sich nun offenbar geändert.

Ich habe die Mail mal vollständig „zerlegt“ (hier, soweit nötig, anonymisiert wiedergegeben):

image
Ihr Amazon.de <#> Angebote <#> Alle Kategorien <#>

*Guten Tag $Vorname $Nachname,*

Durch das von uns entwickelte System zur Erkennung von Betrugs-versuchen was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht, war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.

Bei der letzten Überprüfung ihres Accounts sind uns ungewöhnliche Aktivitäten aufgefallen, im Bezug auf ihre hinterlegten Zahlungsmittel und ihr Zahlverhalten.
Bitte bestätigen Sie ihre hinterlegten Informationen, damit sie ihren Account wieder in vollem Umfang nutzen können.

Klicken sie hier um ihre Daten zu bestätigen

*Bestellinformation:*
*E-Mail-Adresse: *[gelöscht]@web.de
*Rechnungsadresse:*
XXXXXXX XXXXXXXX
XXXXXXXXXXXXXXXXX XX
Bochum, 44879
Deutschland

*Versandadresse*
XXXXXX XXXXXXXX
XXXXXXXXXXXXXXXXX XX
Bochum, 44879
Deutschland

*Bestellungsübersicht:*
*Bestellnummer:* 304-7619092-7041913 <#>
*Versand:* Standardversand
Artikel: EUR 768,00
Verpackung & Versand: EUR 6,00
*Gesamtbetrag: * *EUR 774,00 *

image
Folgen Sie
uns auf <#>

Copyright © 1999–2014 Amazon. Alle Rechte vorbehalten.
Amazon (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22–24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Die Mail enthielt also einen bürgerlichen Namen, der zur Empfänger-Mailadresse paßt. Diese Kombination aus Name und Mailadresse könnte tatsächlich bei Amazon abgegriffen worden sein – muß aber nicht: Da es viele Amazon-Kunden gibt, ist die Wahrscheinlichkeit, daß jemand, dessen Mailadresse und bürgerlichen Namen man irgendwo abgreift, Amazon-Kunde sein könnte, relativ hoch.

Auffällig war, daß die Mail (ursprünglich in HTML verfaßt) auch das Amazon-Logo einblendete. Das kommt allerdings nicht von Amazon, sondern liegt bei directupload und wird von dort aus in der Mail verlinkt; vermutlich, damit Amazon nichts merkt. Die haben es auch sicher nicht so gerne, wenn Betrüger ihre Original-Logos verwenden.

Die angegebene Adresse für Rechnung und Versand ist nicht die des Angeschriebenen und enthält auch einen anderen bürgerlichen Namen. Der Angeschriebene wohnt in diesem Fall nicht mal im selben Bundesland. Allerdings existiert die Adresse tatsächlich; ob derjenige, dessen Namen da genannt wird, auch da wohnt, konnte ich nicht ermitteln.

Richtig spannend wird es, wenn man mal dem Link folgt. Zunächst einmal hat Amazon es sicher nicht nötig, sich eines URL-Kürzers zu bedienen. cas.im bzw. sein französischer Betreiber, die Firma Gandi SAS, kann allerdings höchstwahrscheinlich nichts dafür, hierfür mißbraucht worden zu sein.

Der Link führte mich zur Domain amazon.de-ap-signin.info. Da steht zwar auch Amazon mit drin, aber nur als Subdomain. Die eigentliche Domain, de-ap-signin.info, wurde über WhoisGuard, Inc. in Panama registriert, das ist ein Anonymisierungsdienst für Domain-Inhaber. Aus dem whois kann so nicht herausgelesen werden, wer die Domain wirklich registriert hat und wer sie betreibt. Auffällig ist allerdings das Registrierungsdatum: Die Domain gibt es überhaupt erst seit 9. Mai 2014. Das ist recht typisch für Domains, die rein für Spam-Aktionen registriert werden, daß sie, wenn sie im Zusammenhang mit Spam oder Phishing in Erscheinung treten, noch nicht lange existieren.

Schon das ist alles nicht sonderlich vertrauenswürdig, und Amazon hat es sicher nicht nötig, Teile seiner Dienste hinter Anonymisierern oder in exotischen Ländern zu verstecken. Im Gegenteil, gerade wenn es um Sicherheitsfragen geht, ist es im Interesse einer jeden Firma, mit den eigenen Domains in Erscheinung zu treten, um vertrauenswürdig zu sein, und dann eben auch die Hosts in einem Land stehen zu haben, in welchem die Firma einen Standort hat.

Die Seite selbst war durchaus professionell aufgebaut. Ich habe zwar natürlich JavaScript ausgelassen, um keine unnötigen Angriffsmöglichkeiten zu bieten, aber schon das, was ich ohne JavaScript gesehen habe, sah nach einer durchaus echt wirkenden Amazon-Login-Seite aus, natürlich auch wieder mit Logo und allem, was so dazugehört. Auch diese Seite war, wie die Mail, in einwandfreiem Deutsch gehalten.

Leider habe ich es versäumt, einen Screenshot anzufertigen, und jetzt liegt die Domain bereits bei Sedoparking, also nicht mehr auf dem ursprünglichen Host; die Inhalte sind damit natürlich auch verschwunden. Sedoparking ist eine Firma, bei der man seine Domain quasi parken kann, insbesondere, um sie zum Verkauf anzubieten. Ich kann mir aber nicht vorstellen, daß das Interesse sonderlich groß ist, wenn die Domain bereits für Phishing „verbrannt“ wurde. Leider wird wohl auch Sedo nicht verraten, wer der Domain-Inhaber ist.

Es gibt aber noch einen weiteren Punkt: Der Header der E-Mail ist ebenfalls sehr aufschlußreich, wenn es darum geht, herauszufinden, ob sie „echt“ ist oder nicht. Besonders interessieren uns dabei die sogenannten Received-Zeilen, also die Zeilen, die aussagen, welche Mailserver die Mail wann für wen angenommen haben:

Return-path: info@amazon.de
Received: from euve30911.vserver.de ([62.75.240.214])
  by mx-ha.web.de (mxweb101) with ESMTPS (Nemesis)
  id 0MSLzT-1WKzMO3E1D-00TVde
  for <[gelöscht]@web.de>;
  Wed, 21 May 2014 21:43:07 +0200
X-No-Relay: not in my network
Received: from [100.92.162.154]
  (unknown [138.91.52.198])
  by euve30911.vserver.de (Postfix)
  with ESMTPA id 3426C45A4579
  for <[gelöscht]@web.de>;
  Wed, 21 May 2014 19:43:03 +0000 (UTC)
From: Amazon 
To: "$Vorname $Nachname" <[gelöscht]@web.de>
Subject: Sperrung Ihres Amazon-Kontos
Date: Wed, 21 May 2014 21:43:02 +0200
Envelope-To: <[gelöscht]@web.de>

(Nicht relevante Teile gelöscht.)

Der Mailserver des Empfängers, ein Host von web.de, hat die E-Mail von einem Host mit dem Eigennamen euve30911.vserver.de und der IP 62.75.240.214 erhalten. Beide zeigen eindeutig zum Serverhoster Intergenia/Server4You. Die Domain vserver.de läßt darauf schließen, daß es sich um einen virtuellen Server handelt.

Die zweite Received-Zeile ist aus unserer Sicht nun schon nicht mehr zuverlässig. Denn wir können nur dem glauben, was uns unser eigener Mailserver bzw. der unseres eigenen Mailhosters erzählt. Schauen wir trotzdem mal: Der virtuelle Server behauptet darin, die E-Mail von einem Host mit der IP 100.92.162.154 erhalten zu haben. Er selbst erkannte den Host jedoch als den mit der IP 138.91.52.198; praktischerweise schreibt er die korrekte IP-Adresse also nochmal mit.

Diese Adresse zeigt – tadaaa! – zu Microsoft. Das ist durchaus glaubwürdig, denn ich beobachte regelmäßig, daß Hosts aus den IP-Bereichen von Microsoft Spam ausliefern, insbesondere per Mail. Microsoft hat es auch regelmäßig nicht nötig, auf Beschwerden zur reagieren, und läßt danach seine Hosts noch wochenlang weiterspammen.

Es wäre also möglich, daß der virtuelle Server ein sogenanntes offenes Relay ist, daß er also E-Mails annimmt für Domains, für die er gar nicht zuständig ist, und dann versucht, diese an den tatsächlichen Empfänger auszuliefern. (Zum Thema offene Mailrelays und wie man seinen eigenen Mailserver daraufhin testen kann kommt demnächst noch ein eigener Artikel.)

Der einzige, der also hier greifbar wäre, ist der Betreiber des virtuellen Servers bei Server4You. Möglicherweise hat der aber nur ein offenes Relay und damit mit dem Phishing-Versuch überhaupt nichts zu tun. Abdichten sollte er seinen Mailserver natürlich trotzdem. Der eigentliche Phisher ist jedoch höchstwahrscheinlich nicht greifbar.

Fazit

1. Die Angabe des korrekten vollen Namens in E-Mails, die scheinbar von einem bestimmten bekannten Internet-Anbieter kommen, ist auch dann nicht mehr glaubwürdig, wenn man dort tatsächlich einen Account hat.
2. E-Mails, die um eine Bestätigung der Zugangsdaten bitten, sind grundsätzlich unseriös. Anbieter wie Amazon, eBay etc., aber auch Banken, machen das nicht. Was anderes ist es, wenn Du Dich irgendwo angemeldet hast und dann diese Anmeldung bestätigen sollst; diese E-Mails kommen dann aber zeitnah nach der Anmeldung auf der jeweiligen Website.
3. Achte darauf, wo Du draufklickst, und zwar, bevor Du draufklickst. Browser und Mailprogramme zeigen heutzutage üblicherweise am unteren Bildschirmrand an, wohin ein Link führt, wenn man mit der Maus drüberfährt. Stimmt die Domain? Guck nochmal hin: Stimmt sie wirklich? – Allerdings kann man sich auch auf diese Anzeige nicht hundertprozentig verlassen.
4. Mißtraue URL-Kürzern in E-Mails. In E-Mails ist das nicht nötig, weil es kein Zeichen-Limit gibt wie bei Twitter etc.
5. Wenn eine E-Mail schon verdächtig wirkt, wirf einen Blick in den Header und lerne, Received-Zeilen zu lesen. Benutze whois an der Kommandozeile (Linux etc.) oder, im Browser, eine entsprechende Website, zum Beispiel die TCP/IP Utils (hier: whois lookup). Gehört die IP zu der entsprechenden Firma? Wenn nein, ist der E-Mail nicht zu trauen.
6. Falls möglich, informiere die Betreiber oder Hoster der involvierten Hosts, damit die Betrugsmasche so schnell wie möglich gestoppt wird, und natürlich auch die Firma, in deren Namen die Phishing-Mails verschickt werden.
7. Und schließlich: Wenn Du einen Betrugsversuch feststellst, warne andere, die sich nicht so gut auskennen.

Je mehr Menschen aufpassen und lernen, Header zu lesen und whois zu benutzen, desto weniger Chancen haben Spammer und Phisher. Immerhin kann es bei einem Teil solcher Betrugsversuche um richtig viel Geld gehen.

Dieser Eintrag wurde am 23. Mai 2014 um 15:42 verfaßt und unter Datenschutz, Sicherheit, Spam abgelegt. Sie können alle Antworten auf diesen Eintrag via RSS 2.0 verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website aus setzen.