Letzte Änderung am 19. Dezember 2019 by Christoph Jüngling
Vor ein paar Tagen bekam ich mal wieder eine Mail, von der ich glaube, dass sie ein Phishing-Versuch ist.
Disclaimer
Ich gehe davon aus, dass weder Amazon, noch datahouse.ch (der Anbieter des genannten Linkverkürzers) in diesen Betrugsversuch involviert sind. Solche Dienste werden nach meiner Einschätzung lediglich von Dritten benutzt, um an die Login-Daten von realen Konten zu kommen. Ich erwähne diese hier nur der Vollständigkeit halber, um das Schema des Phishings zu erläutern und für eine bessere Erkennbarkeit zu sorgen.
Der erste Verdacht kam mir bereits beim Betrachten des Mail-Headers:
Zunächst fällt das etwas seltsam geformte “o” in “Amazon.de” auf. Ich habe das Zeichen in die Zwischenablage kopiert und in meiner Linux-Zeichentabelle gesucht. Diese bestätigt die Besonderheit: Es handelt sich dabei um ein “koptisches kleines o” mit dem Code 2C9F, während das hierzulande gebräuchliche (lateinische) kleine o den Code 006F hat. Dies könnte ein Hinweis auf die Herkunft der Mail sein, unterstellen wir, dass der Buchstabe durch direkte Eingabe der Tastatur des Phishers entstanden ist.
Weiterhin fällt auf, dass in meiner Adresse der Klarname nur aus dem ersten Teil der eMail-Adresse besteht. Das ist meines Erachtens ein gutes Indiz dafür, dass der Absender nur über die eMail-Adresse verfügt. Amazon hätte theoretisch meinen vollständigen Namen verwenden können, jedoch tun sie das nicht. Nachweislich von Amazon versandte Mails enthalten nur meine eMail-Adresse.
Der dritte Punkt ist die (hier aus gutem Grund maskierte) eMail-Adresse: Denn diese ist es gerade nicht, mit der ich bei Amazon registriert bin. Es gäbe also kein Konto mit dieser Adresse, das zu verifizieren wäre.
Und letztlich verwendet Amazon in ihren Mails durchgehend die Anredeform, wie sie in deutschen Briefen gebräuchlich ist, nämlich das groß geschriebene “Sie” und “Ihnen”. Dies ist in diesem Betreff nicht der Fall.
Der Rest der Mail ist zunächst unauffällig:
Die Problematik von häufigen Betrügereien anzusprechen, während man gerade selbst eine solche begeht, ist natürlich originell und soll offenkundig von der Tat ablenken. “It’s hidden in plain sight” (Dan Brown, The Lost Symbol). Diese bösen bösen Kriminellen, na Sie wissen ja, wie oft die so und so! “Tragen auch Sie dazu bei …”, alles nur allzu bekannte Muster. Auch das anfänglich fett gedruckte Wort “Sicherheit” scheint psychologisch clever platziert zu sein. Alle diese Aussagen sind keineswegs negativ zu bewerten, denn sie sind ja in der Tat wahr.
Interessant wird es allerdings dann wieder bei der Schaltfläche “Weiter zur Überprüfung”. Dahinter verbirgt sich eine URL, die zu einem Linkverkürzer führt. Dies ist eine gute Möglichkeit, um die eigentliche Ziel-URL zu verschleiern und eine automatisierte Prüfung zu verhindern, zumindest aber zu erschweren. Rein technisch ist die Verwendung eines solchen Dienstes in einer eMail sowieso sinnlos, denn der Mausklick darauf wird nicht einfacher, nur weil der Link kürzer ist.
Der hier verwendete Linkverkürzer wupx.ch hat leider keinen Vorschaumodus, so dass ich aus Sicherheitsgründen von der weiteren Erforschung absehe. Es sind jedoch genügend Hinweise vorhanden, um die Mail als Phishing-Mail einzustufen.
Was, wenn es wahr ist?
Es bleibt noch eine restliche Wahrscheinlichkeit übrig, dass Amazon vielleicht doch dahinter steckt. Das lässt sich leicht überprüfen, indem ich mittels meiner eigenen Browser-Bookmarks oder Direkteingabe von “amazon.com” auf mein Konto zugreife. Wenn es irgend ein Problem geben würde, dann würde Amazon dort sicher ebenfalls einen Hinweis anzeigen. Das ist gottseidank nicht der Fall.
Regeln
- Achte auf Kleinigkeiten, auf Unterschiede zu anderen Mails.
- Stimmt die verwendete eMail-Adresse? Ist das die Adresse, mit der du bei diesem Dienst registriert bist?
- Bewege den Mauszeiger nur über die Links und schau, was in der Statuszeile angezeigt wird! Entspricht die URL denen, die der selbe Dienst sonst verwendet?
- Klicke niemals auf einen Link in einer eMail, bevor du nicht sicher bist, dass er ungefährlich ist!
- Verwende immer deine eigenen Aufzeichnungen (Bookmarks, Passwort-Manager, …), um die Website aufzurufen, wo du dich einloggen willst!
Neueste Kommentare