Pünktlich zur Advents- und Vorweihnachtszeit werden wieder fleißig Phishing-Mails verschickt: Dieses Mal kommt die elektronische Post angeblich vom großen Online-Versandhändler Amazon.
Einer unserer User (a.k.a Fighter) bekam diese E-Mail, die scheinbar direkt von Amazon an sein Privatkonto gesendet wurde. Phishing-Webseiten werden in der Regel auf mehreren Wegen an den Mann gebracht: Einer der meist genutzten ist, wie auch in diesem Falle, per E-Mail. Hinzu kommt, dass das Anschreiben an den echten Namen des Users adressiert, wodurch es noch glaubwürdiger erscheint. Dies lässt darauf schließen, dass der Angreifer Zugang zu geleakten E-Mail- und Namenslisten erlangt oder sie auf dem Schwarzmarkt erworben hat. Auf diese Weise kann er mehrere Phishing-Aktionen im Namen verschiedener Im Falle Amazon, als einer der meistgenutzten Dienstleister, ist die Wahrscheinlichkeit umso höher, dass die Phishing-Mail reale Kunden erreicht.
Phishing-Mails haben nur ein Ziel: dich dazu zu bringen, Deine Daten zu bestätigen oder neu zu speichern, weil es angeblich einen Sicherheitsvorfall gab. In diesem Fall ist es so, dass sollte "eine Abschweifung vom System erkannt werden, werden Sie anschließend von einem unserer Mitarbeiter telefonisch kontaktiert". Heutzutage bemühen sich die Internetbetrüger, Dir zuerst ein gutes Gefühl zu vermitteln, bevor sie deine privaten Daten einheimsen. Du sollst denken, dass ‚'wenn er mich warnt, muss er ein guter Mensch sein'. Klickst du dann auf den angegebenen Link, landest du erst auf einen verkürzten Link und schließlich auf einer manipulierten Amazon-Homepage, wie diese hier:
Diese gefälschte Seite sieht täuschend echt aus und selbst die URL enthält das Wort 'Amazon', wie du im unteren Screenshot erkennen kannst. Es gehört nicht zum Standard, dass sich ein Angreifer so viel Mühe macht und eine Internetseite mit dem offiziellen Namen erstellt, obwohl es das Ganze noch glaubwürdiger macht. In diesem Phishing-Fall führen sämtliche Links nur zu dieser manipulierten Seite mit der immer gleichen URL. Und genau das ist verdächtig, denn bei einer offiziellen Amazon-Webseite landet der Nutzer auf verschiedenen und bestimmten Kategorien zugeordneten Internetadressen (z.B. amazon.de/karriere, amazon.de/presse, etc.)
Wiederum wäre es allerdings ebenso möglich, dass der Kriminelle eine gefälschte Webseite mit Links zur offiziellen Amazon-Seite erstellt. Der Aufwand wäre für ihn zwar deutlich höher, jeden Link der Phishing-Seite mit der offiziellen Amazon-Webpage zu verbinden, aber durchaus machbar. Das hieße zugleich, dass Verlinkungen zur echten Amazon-Seite auch kein vertrauenswürdiger Indikator dafür ist, dass man sich nicht auf einer manipulierten Internetseite befindet. Nach einer „erfolgreichen“ Anmeldung öffnet sich anschließend das Formular zur Datenbestätigung:
Nach dem Diebstahl deiner Zugangsdaten haben es die Internetbetrüger auf all Deine privaten Informationen abgesehen. Check ab, ob es optionale Felder gibt und die Verbindung HTTPS genutzt wird (siehe Screenshot oben). Darauf solltest du immer achten, bevor du Formulare im Netz ausfüllst.
Im nächsten Schritt werden die Zahlungsmethoden abgeklopft. An dieser Stelle lass dir gesagt sein, dass Amazon niemals nach einem Kreditkartenlimit fragt. Im oberen Bild kann man sehen, dass unsere Kommunikation mit 2048 Bits angeblich verschlüsselt wird, aber wie sich anhand des erfassten Netzwerkverkehrs erkennen lässt, ist die Kommunikation nicht wirklich verschlüsselt:
In der rot markierten Box siehst du die Daten der Testkreditkartennummer, die wir in den Klartext eingegeben haben. Zum Schluss fragen die Internetkriminellen wahllos nach Passwörtern, um deine Kreditkarte zu bestätigen, für den Fall, dass manche Nutzer diese Zusatzoption in ihren Karten aktiviert haben:
Diese Phishing-Seite wurde bereits gemeldet und ist nicht länger online. Doch eine andere manipulierte Webseite zu erstellen ist eine Sache von Tagen, wenn nicht nur Stunden. Umso wichtiger ist es, die Augen offen zu halten und nicht jeden Link in einer E-Mail anzuklicken. Im Zweifelsfall häng dich an die Strippe, frag beim Unternehmen nach und installiere Dir eine Sicherheitslösung, die solche Bedrohungen von vornherein blockiert.