Aktuelles

Phishing-Mail von Amazon: „Unser Anmeldesystem hat verdächtige Aktivitäten festgestellt“

Ralf Nowotny, 14. November 2018
Hier tricksen Phishing-Betrüger besonders raffiniert
Hier tricksen Phishing-Betrüger besonders raffiniert

Eine seriös aussehende Mail von Amazon, Anrede mit Namen, nicht im Spam-Filter hängengeblieben: Das muss doch eine echte Mail sein, oder?

Sollte man meinen, denn rein optisch macht diese Mail einen absolut echten Eindruck:

Screenshot mimikama.at
Screenshot mimikama.at

„Sehr geehrte/r, Herr XXXX XXXX,
Unser Anmeldesystem hat verdächtige Aktivitäten festgestellt.“

Es wurde also das Amazon-Konto vorerst gesperrt, da sich wohl jemand unbefugt Zugriff auf das Konto verschafft hat. Zusätzlich werden auch noch transparent die verdächtige IP-Adresse und der Standort angegeben, von wo aus sich eingeloggt wurde.
Man solle nun auf den Button „Bestätigungsprozess“ klicken, um das Konto wieder freizuschalten.

Was ist nun faul an dieser Mail?

Das einzig Verdächtige ist augenscheinlich nur die Begrüßung, die ein Komma zuviel enthält.
Um die Mail von vornherein als Phishingversuch zu enttarnen, müssen wir ein wenig tiefer graben, angefangen bei der IP-Adresse.

Angeblich kam also der Login aus Monrovia, Liberia, die IP-Adresse sei 70.180.150.19.
Mit einer einfachen Suche können wir überprüfen, ob das stimmen kann.

Screenshot mimikama.at
Screenshot mimikama.at

Dabei stellen wir fest, dass die IP-Adresse einem Unternehmen in Las Vegas zugeordnet ist.
Somit kann die Angabe in der angeblichen Amazon-Mail gar nicht stimmen, denn selbst wenn ein Betrüger in Monrovia einen Provider in den USA nutzen würde, hätte Amazon auch nur die IP des Providers, wüsste aber nicht, wo der Nutzer genau sitzt.

Es wird aber noch interessanter:
Die Mail wurde ja nicht von einem Spam-Filter aufgehalten, und das hat auch einen Grund: Der Spam-Filter erkannte in der Mail keinen verdächtigen Text.
Und warum nicht? Das kann man leicht selbst testen: Man markiert den Text in der Mail, kopiert ihn und fügt ihn in ein leeres Dokument ein.
Dann sieht es nämlich plötzlich so aus:

„Unser Anmeldesystem hat verdäY2dae5v8eN7lichtige AktORivitäORten festgestellt.“

Für den Nutzer unsichtbar befinden sich zwischen den Buchstaben weitere Buchstaben mit einer Größe von 0 Pixel. Spam-Filter lesen dort (genau wie wir jetzt auch) nur sinnlosen Kauderwelsch, der nicht im Spam-Filter definiert ist.

Klickt man nun den Link an, kommt man auf eine originalgetreu nachgebaute Anmeldeseite, der man unkontrolliert seine Login-Daten anvertraut. Diese können dann von Betrügern genutzt werden, um nach Herzenslust auf Kosten des Nutzers auf Amazon einzukaufen.

Erkennbar ist für den Nutzer der Betrug an dieser Stelle nur dadurch, dass man nicht auf der Originalseite von Amazon gelandet ist, erkennbar an der URL oben im Browser:

Screenshot mimikama.at
Screenshot mimikama.at

Wichtig ist bei einer URL das letzte Wort vor der Domain.
Hier kommt man nicht etwa auf amazon.de oder amazon.com, sondern auf de-enagi4geeo.eu.

Fazit

Hier tricksen Phishing-Betrüger raffiniert, damit die Mail nicht von Spam-Filtern aufgehalten wird.
Grundsätzlich: Eine Mail mag noch so echt aussehen, doch wenn man als Nutzer unsicher ist, sollte man sich immer direkt auf einer Webseite anmelden, keine Links in verdächtigen Mails anklicken!


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel