Rechnung über Ihre Verkaeufergebuehren bei Amazon.de

Phishing Mail einer angeblichen Amazon RechnungPhishing ist lt. Wikipedia ein Kunstwort, zusammengesetzt aus password harvesting (Passworte sammeln) und fishing (Angeln, Fischen). E-Mails mit diesem Text im Betreff sind in diesen Tagen wieder millionenfach unterwegs. Gefühlt bekommen wir täglich auf jedes eMail-Konto mindestens eine Phishing-Mail als vermeindliche Amazon-Rechnung. Der Text im Body ist gut gemacht, grammatisch korrekt, keine Rechtschreibfehler. Es wird kein Druck gemacht, dies sei keine Zahlungsaufforderung, die Mitteilung scheint einfach nur eine Mitteilung zur Kenntnisnahme zu sein. Auffällig ist lediglich, wenn man ganz streng ist, dass sich keine Kontaktdaten in der Mail befinden. Allerdings haben wir ja heutzutage keine Zeit mehr nach Auffälligkeiten zu suchen. Was nicht auf den ersten Blick als ungewöhnlich erscheint gilt erstmal als vertrauenswürdig …

… und das macht das Phishing so gefährlich.

Denn nun, da die Mail vertrauenswürdig wirkt, will man dann auch den Anhang öffnen. Je nach Sicherheitseinstellung des Mail-Clients und auch des Betriebssystems sieht man aber lediglich den Namen INVOICE im Anhang. Im hier gezeigten Fall sieht man zwar eindeutig das Icon des Chrome-Browsers. Aber nur weil auf diesem Testrechner alle .html-Dateien mit dem Chrome-Browser geöffnet werden sollen. Viele PC’s haben Probleme den Cache für diese Icons zu aktualisieren. Dann könnte da im Grunde jedes Icon stehen, oder auch gar keines.

>>> Wenn Sie da jetzt drauf klicken ist das vergleichbar mit „Russisch Roulette„! Denn im Grunde weiß ja noch niemand um was für einen Dateityp es sich da handelt. Es könnte ja auch eine EXE-Datei sein, die sofort anfängt alles zu löschen oder zu verschlüsseln!

Erste Abhilfe:

  • Windows-Explorer öffnen (Windows-Taste+E)
  • Menü > Extras > Ordneroptionen > Ansicht > Erweiterte Einstellungen
  • Checkbox „Erweiterungen bei bekannten Dateitypen ausblenden“ deaktivieren

In einem Beitrag zum Verlust von Daten hatten wir grundsätzlich die Standard-Einstellungen des Betriebssystems empfohlen. Dies ist jetzt jedoch mal eine Ausnahme! Denn mit dieser Maßnahme kann man direkt erkennen, mit welchem Dateityp man es zu tun hat. In unserem Fall ist die konkrete Rechnung im Anhang eine INVOICE.html. Damit wissen wir nun, dass es sich nicht um eine direkt ausführbare Datei handelt, die beim Draufklicken gleich die ganze Festplatte verschlüsseln könnte. Das macht es aber nicht weniger gefährlich. Denn die Kombination aus fehlendem Viren-/Browserschutz mit altem Windows und schlechten oder gar keinen Sicherheitseinstellungen, zusammen mit einer passend präparierten Website ist genauso problematisch wie eine unbekannte direkt ausführbare Datei wie INVOICE.exe oder INVOICE.com.

Test mit falschen Daten

Wenn man also meint, die eMail sei korrekt und nun die INVOICE.html öffnet, baut der Browser eine Seite auf, die genauso aussieht, wie die Anmeldeseite von Amazon. Natürlich will man sich dann auch anmelden. Insbesondere dann, wenn man eine Rechnung von Amazon erwartet.

Auf der ersten Seite geben wir also eine fiktive Mail-Adresse und ein gerade erfundenes Passwort ein und klicken auf Anmelden. Dann folgt als zweiter Schritt die Angabe einer Sicherheits-PIN. Wir haben da einfach eine 6stellige Zahl angegeben. Die dritte Seite nennt sich dann Drei-Faktor-Verifizierung. Hier muss dann die Kontonummer im IBAN-Format und nochmals die eMail-Adresse mit Passwort angegeben werden. Anschließend erscheint ein animiertes Fensterchen, dass die Verifizierung bis zu einer Minute dauern kann. Nach etwa 20 Sekunden wird uns mitgeteilt, dass die Verifizierung erfolgreich war und wir nun zu unserem Amazon-Konto weitergeleitet werden. Dass man sich dann noch einmal anmelden muss dürfte nur die wenigsten wundern. Da wir dem Vorgang immer noch vertrauen, halten wir die erneute Anmeldung für „normal“ oder einen einfachen Übermittlungsfehler.

Aber was ist da jetzt passiert?

Die INVOICE.html, die wir nun geöffnet haben, beinhaltet lediglich eine Weiterleitung auf eine externe Seite:

<meta http-equiv=“refresh“ content=“0; url=https://6f9a7a23-b80b-41d2-87b8-2ce41824131d.htmlpasta.com/“>

Der HTML-Kenner sieht sofort, hier wird weitergeleitet auf eine Subdomain von htmlpasta[.]com. Die offensichtlich im Namen einer Briefkastenfirma in Panama registrierte Domain ist seit November 2017 online. Gehostet vom amerikanischen Hoster Digital Ocean. Der Dienst ermöglicht jedem und ohne jegliche Registrierung beliebigen HTML-Code in Form einer Website zu veröffentlichen. Diese wird sofort mit einer automatisch erzeugten Zeichenkette als Sub-Domain von htmlpasta veröffentlicht. Da in diesem Dienst kein nennenswerter Nutzen zu erkennen ist und der Betreiber offensichtlich anonym bleiben will, lässt sich leicht spekulieren, dass der Dienst nur aus Gründen illegaler Aktivitäten geschaffen wurde. In einer früheren Version der Website hieß es dazu außerdem: We kindly ask that you don’t abuse our service by hosting malicious scripts or HTML. If such scripts are discovered, they may be removed upon request. Na, wenn das mal keine Einladung ist . . .

Hier beginnt das Phishing

Amazon LoginVon HTMLPasta aus erfolgt eine neuerliche Weiterleitung auf europe-centralseller-amaozone.de/openid/, eine bei Strato gehostete aber mittlerweile deaktivierte Domain. Auf den ersten Blick sieht die Domain vertrauenerweckend aus. Aber wie bereits gesagt – da wir heutzutage nicht mehr richtig hinschauen, entgeht uns schnell die Tatsache, dass das Amazon in der Domain falsch geschrieben ist: europe-centralseller-amaozone.de/openid/ Hätten Sie es auf den ersten Blick gesehen? Davon abgesehen beginnt die Webadresse zur echten Anmeldeseite immer mit sellercentral.amazon.de, sofern man die Seite von Deutschland aus ansteuert.

Der hier gezeigte Screenshot stammt von der echten Anmeldeseite. Die gefälschte Seite ist jedoch eine exakte Nachbildung.

Schließlich sollte klar sein, was nun passiert [wäre]. Die Betreiber dieser Pishing-Seite würden nun über die Zugangsdaten zu unserem Amazon-Account und unserer Bankdaten verfügen. Damit ist es denen nun möglich, nach belieben in unserem Namen allerlei kriminelle Dinge zu tun.

Zunächst werden die Zugangsdaten zu Ihrem Amazon-Account geändert. Anschließend werden mit diesem Account hochpreisige Artikel zu günstigen Preisen angeboten, wie z.B. ein iPhone X  für nur 499 Euro. So lassen sich binnen kurzer Zeit hohe Umsätze erzielen. Die Zahlungen der Kunden gehen selbstverständlich auf fremde Konten. Gleichzeitig versuchen die Kriminellen mit Ihrer Bankverbindung Zahlungen von Ihrem Konto einzuziehen.

Betrügers Paradise

Weil es aber eine weit verbreitete Sitte ist, die selben Zugangsdaten gleich auf mehrere Plattformen zu verwenden, werden den Betrügern damit Tür und Tor zum Paradies geöffnet. Denn die erbeuteten Zugangsdaten werden idR. gleich auf allen bekannten Plattformen (ebay, usw.) ausprobiert. Und das macht keiner von Hand, sondern mit speziellen, aber recht einfachen Tools. Das dauert dann nur Sekunden!

Wenn Sie nun zu denjenigen gehören, die ihren Amazon-Account eher unregelmäßig nutzen, haben die Betrüger nun viele Tage Zeit einen riesigen Schaden anzurichten auf dem Sie selbst sitzen bleiben werden. Denn einerseits sitzen die Betrüger weit verzweigt irgendwo auf der Welt. Es gibt kaum eine Chance ihrer habhaft zu werden. Selbst wenn doch. Die Aussicht auf eine Schadensbegrenzung ist gleich null! Anderseits tragen Sie eine Mitschuld, weil Sie die Echtheit der eMail nicht sorgfältig genug geprüft haben. Es wird also niemand dafür aufkommen. Keine Versicherung! Niemand!

Sie sind (vielleicht) darauf reingefallen?

Sie sollten als erstes prüfen, ob Sie das Passwort auch für das eMail-Postfach nutzen, mit dem Sie sich z.B. bei Amazon registriert haben. Wenn ja, unbedingt als erstes ändern.
Loggen Sie sich dann in Ihren entsprechend Account ein und ändern Sie das Passwort. Wenn Sie das selbe Passwort auch für andere Accounts verwenden, ebenfalls sofort ändern. Nehmen Sie diesmal aber ein anderes.
Wenn Sie sich schon nicht mehr einloggen können, nutzen Sie die Funktion „Passwort vergessen“. In den meisten Fällen können Sie dann sofort ein neues Passwort vergeben.
Wenn auch das schon nicht mehr möglich ist, müssen Sie sich direkt mit dem jeweiligen Anbieter in Verbindung setzen und den Account deaktivieren lassen.

Wie kann man sich schützen?

Ändern Sie Ihre Arbeitsweise am PC, Tablet, Smartphone, etc., öffnen Sie keine Anhänge und klicken Sie auf keinen Link in Ihren eMails.
Beinahe jedes Unternehmen im WWW, dass Ihnen eine eMail für irgendetwas schicken könnte, hält die gleichen Informationen (Rechnungen, Bestätigungen, etc.) auch in Ihrem Kundenkonto bereit.
Sie haben also immer die Möglichkeit Ihren Browser zu öffnen, dort die Adresse zu Ihrem Amazon-Account einzutippen (oder Ihre Lesezeichen zu nutzen) und dort die Rechnung gefahrlos herunterzuladen. Es sind nur 2-3 Klicks mehr – Browser und Lesezeichen öffnen. Dafür sind Sie aber auf der sicheren Seite!

Genauer hinschauen

Es gibt aber auch genügend Anlässe, doch mal den Link oder Anhang einer eMail zu öffnen. Sei es eine eMail von einem Kollegen oder die Auftragsbestätigung einer soeben getätigten Bestellung in einem kleinen Onlineshop.
Schauen Sie genau hin, ob die eMail plausibel ist. Erwarten Sie wirklich genau jetzt eine Rechnung von Amazon? Sind mehrere Rechnungen von der Telekom im selben Monat normal? Bekommen Sie die Rechnung sonst auch immer an genau diese eMail Adresse?

Wenn Sie am PC oder Notebook sitzen, können Sie die Links in einer eMail sehr leicht überprüfen. Halten Sie einfach den Mauszeiger auf den Link (nicht drauf klicken). Nach 1-2 Sekunden erscheint an der Stelle eine kleine Box, ein Tooltip, in dem der tatsächliche Link angezeigt wird. Hier lässt sich schon meist erkennen, dass da was nicht stimmt.
Schauen Sie sich auch den Absender der eMail an. In vielen Fällen, wie in unserem, kommt die vermeintliche Amazon-Rechnung offensichtlich nicht von Amazon, sondern von einer gänzlich unbekannten Adresse.

Geräte aktuell halten

Die Sicherheit Ihrer Endgeräte ist ebenso wichtig. Halten Sie Ihre Geräte immer auf den aktuellen Stand. Sämtliche Updates sollten zeitnah und Sicherheitspatches sofort(!) eingespielt werden. Ein aktueller Virenscanner mit integriertem Browserschutz ist Pflicht. Aber nur einer! Mehrere Scanner gleichzeitig zu installieren ist sinnlos und kann die Sicherheit sogar gefährden.
Wer Windows 10, aber keinen extra Virenscanner installiert hat, sollte unbedingt den Windows eigenen Windows Defender aktivieren: Windows-Symbol >>> Zahnrad-Symbol >>> Kategorie „Update und Sicherheit“ >>> Windows Defender Für den Durchschnitts-Benutzer ist er weitgehend ausreichend.

Probleme? Fragen Sie uns einfach

Natürlich kostenlos und unverbindlich. Nutzen Sie die Kontaktdaten am Ende dieser Seite oder unser Kontaktformular.