Heute habe ich wieder einmal eine Phishing-E-Mail erhalten, die besonders gut gemacht ist, so dass man leicht auf sie hereinfallen könnte. Es handelt sich um eine Mitteilung, augenscheinlich von amazon.de, die behauptet, jemand habe das Konto des Empfängers benutzt, um Ware einzukaufen.
Sehr authentisch wirkende Phishing-Mail
Die E-Mail wirkt sehr professionell, wenn es auch einige kleinere Formulierungsschwächen gibt:
amazon.de Phishing E-Mail, die vorgibt, jemand habe in meinem Namen etwas bestellt
Zunächst fällt neben dem authentisch wirkenden Layout auf, dass ich korrekt mit meinem Namen angesprochen werde. Da er im Falle der betroffenen E-Mail-Adresse in dieser enthalten ist, ist dies kein Hexenwerk, belegt aber, dass das Vorhandensein der korrekten Anrede kein Hinweis mehr auf Authentizität ist.
Besonders bedenklich ist die Angabe einer vollständigen Anschrift der Person, die die Bestellung getätigt haben soll. Ich konnte nicht feststellen, ob der von mir hier verpixelte Marco M wirklich unter der angegebenen Adresse anzutreffen ist, aber wenn diese Anschrift echt sein sollte, könnte die Phishing E-Mail auch für diesen Herrn unangenehme Folgen haben, obwohl er sicher gar nichts damit zu tun hat.
Täuschend echte Login-Seite
Der rote Pfeil im Bild oben weist auf den Link hin, der angeklickt werden soll. Dieser ist mit einer verkürzten URL von tinyls.net verknüpft. Verfolgt man diesen Link, öffnet sich im Browser folgende, ebenfalls augenscheinlich echte Webseite:
Gefälschte Login-Webseite von amazon.de
Obwohl hier die Zeichenfolge „amazon.de“ sogar in der Adresse vorkommt, steht sie nicht an der richtigen Stelle, es handelt sich um die Domäne de-support-desk.eu. Diese Domäne ist „geparkt“, sie wird derzeit nicht offiziell genutzt und steht zum Verkauf, wenn man der Webseite Glauben schenken darf, die sich öffnet, wenn man diese Adresse direkt im Browser öffnet. Aber die Subdomäne dieser Adresse „amazon“ ist eine lupenreine Phishing-Version der Loginseite von amazon.de.
Alle Links auf dieser Seite zeigen auf sich selbst, lediglich wenn man seine Benutzerdaten eingibt und den gelben Login-Knopf betätigt, passiert etwas anderes: man schenkt seine Logindaten den Phishern, die wieder erfolgreich ein Opfer gefunden haben.
Damit Ihnen mit einer solchen Webseiten-Verknüpfung kein X für ein U vorgemacht werden kann, sollten Sie URLs, also Internet-Adressen, genau verstehen lernen. Zu diesem Zweck habe ich eine Anleitung verfasst.
Umfassender Datendiebstahl
Ich habe diese Login-Seite einmal mit einer fiktiven E-Mail-Adresse und zugehörigem Passwort gefüttert, daraufhin öffnete sich folgende Seite:
Gefälschte Dateneingabe für amazon.de: Wer hier seine Daten einträgt, wird zum Phishing-Opfer
Auch diese Seite wirkt fast perfekt, neben der URL, die weiterhin nicht amazon.de entspricht, kann man nur feststellen, dass man oben rechts mit „Hallo! Anmelden“ angesprochen wird. Da man sich eigentlich soeben angemeldet hat, sollte hier normalerweise bereits der eigene Name stehen.
Natürlich wird man an dieser Stelle, wenn man seine tatsächlichen Daten in das Formular einträgt, zum Opfer des Phishing-Versuchs.
Wenn man hier blanken Unsinn (oder natürlich seine echten Daten) einträgt, werden Felder wie „Postleitzahl“ und andere zumindest rudimentär auf Inhalt und korrekte Form überprüft. Wenn die Überprüfung bestanden wurde, wird man nach Druck auf „Daten bestätigen“ zum echten Login von amazon.de weitergeleitet. An diesem Punkt ist dann leider alles zu spät, die Phisher verfügen jetzt über korrekte Zugangsdaten für amazon.de, Ihre vollständige Adresse und auch gleich noch Ihre Kreditkartendaten inklusive Prüfziffer.
