So erkennt man Phishing eMail – Aktuelles Beispiel mit Amazon Tarnung

Immer wieder wird mit Tricks versucht, an Benutzernamen und Passwörter von Benutzern zu kommen,  mit denen man einen geldwerten Vorteil erzielen kann. Erstes Ziel sind immer Banken – interessant sind aber auch Benutzerdaten von  z.B. eBay, da viele Benutzer ihre Kreditkarten oder auch PayPal Daten in ihrem eBay Konto hinterlegt haben. Betrüger können somit bei eBay Waren unter fremdem Namen kaufen (und anschließend wieder verkaufen). Oft versucht man auch, den Benutzer nur auf eine „vergiftete“ Seite im Internet zu leiten. Die Phishing Nachrichten sehen oft täuschend echt aus. Auf keinen Fall sollte man bei verdächtiger eMail auf einen der angebotenen Links klicken.

Hat mein eine verdächtige eMail erhalten sollten man zunächst mit einigen charakteristischen Wörtern aus der eMail im Web suchen – häufig ist der Phishing Versuch schon bekannt. Schwieriger wird es, wenn man von einer Erstwelle erfasst wird, die noch nicht im Web diskutiert wird.

Eine recht einfache Methode eine Phishing Nachricht zu erkennen, ist ein kurzer Blick auf HTML Code der eMail und ein Vergleich mit einer Original eMail. Bei Thunderbird klickt man hierzu einfach auf -> Ansicht -> Nachrichten-Quelltext.

Im folgenden sieht man die Phishing eMail in Fettdruck und den dazugehörigen HTML Code der eMail.

Dabei fällt schon auf , dass die eMail von einem Microsoft Outlook Express Mail Server kommt (oder zumindest das behauptet). eBay wird wohl seine eMails nicht mit Outlook Express verschicken! Der Absender heißt zwar secure@amazon.com – dahinter verbirgt sich aber eine ganz andere Adresse (Message ID). Auch die Zieladresse des Links, den der Adressat anklicken soll, führt nicht auf eine Amazon Adresse (im HTML Text fett markiert).

Schaut man sich dagegen eine Original eMail von Amazon an (3. Block im folgenden) sieht man, dass die Absender Adresse zu ebay.de zurückführt und auch der eMail Sender ist ein zulässiger Sender von eBay.

Damit kann man Phishing eMail relativ leicht identifizieren. Der Viren Scanner lässt Phishing eMail natürlich durch – auch wenn an der eMail groß verkündet wurde, dass sie mit einem Viren Scanner geprüft wurde, heißt das nicht, dass sie vertrauenswürdiger ist!

______________________________________________________________________________

eMail von ???? secure@amazon.com ???

Amazon is constantly working to ensure security by regularly screening the accounts in our system.

We recently reviewed your account, and we need more information to help us provide you with a secure service.

Until we can collect this information, your access to your account features will be restricted.

We would like to restore your access as soon as possible, and we apologize for the inconvenience.

Your account access has been restricted for the following reason(s):

18 August 2009: We have reason to believe that your account was accessed by a third party as different computers have logged into your Amazon account and

multiple password failures where presented before the logons.

We now need you to re-confirm your account information to us.

We understand that having restricted access can be an inconvenience, but protecting your account is our primary concern.

Please visit the link below, log in to your account and complete the secure verification form:

https://www.amazon.com/gp/sign-in.html

In accordance with our User Agreement, your account access will remain restricted until the issue has been resolved.

——————————————————————————————————————————————-

Zugehöriger Phishing Versuch HTML Code:

X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: secure@amazon.com
Message-ID: <KEELTY18AWiZAtGYkNU00001850@keelty.com>
X-OriginalArrivalTime: 21 Aug 2009 16:06:24.0018 (UTC) FILETIME=[54A83F20:01CA2279]
Envelope-To: [[[ ..... eMail Adresse des Empfängers ...... ]]]
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 9.0.1.9; AVE: 8.2.1.3; VDF: 7.1.5.149)

<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY bgcolor=#FFFFFF leftmargin=5 topmargin=5 rightmargin=5 bottommargin=5>
<FONT size=2 color=#000000 face="Arial">
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; Amazon is constantly working to ensure security by regularly screening the accounts in our system.</B></FONT></DIV>

<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; We recently reviewed your account, and we need more information to help us provide you with a secure service.</B></FONT></DIV>
<DIV>

<FONT size=3><B>&nbsp;&nbsp;&nbsp; Until we can collect this information, your access to your account features will be restricted.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; We would like to restore your access as soon as possible, and we apologize for the inconvenience.</B></FONT></DIV>

<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; Your account access has been restricted for the following reason(s):</B></FONT></DIV>
<DIV>

<FONT size=3><B>&nbsp;&nbsp; 18 August 2009: We have reason to believe that your account was accessed by a third party as different computers have logged into your Amazon account and</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; multiple password failures where presented before the logons.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; We now need you to re-confirm your account information to us.</B></FONT></DIV>

<DIV>
<FONT size=3><B>&nbsp;&nbsp; We understand that having restricted access can be an inconvenience, but protecting your account is our primary concern.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; Please visit the link below, log in to your account and complete the secure verification form: </B></FONT></DIV>
<DIV>

<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<A href="http://ammupdateverify.4t.com/login.htm"><FONT size=3 color=#0000FF><B><U>https://www.amazon.com/gp/sign-in.html?</B></U></FONT></A></DIV>
<DIV>

<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; In accordance with our User Agreement, your account access will remain restricted until the issue has been resolved.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
_______________________________________________________________

Typische Original Nachricht von Amazon:

From - Sun Aug 23 14:52:05 2009
X-Account-Key: account2
X-UIDL: 0MKrqa-1MfC8w1pQ9-000W4W
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <s01-gd6vr3zmiy@members.ebay.de>
Delivery-Date: Sun, 23 Aug 2009 14:25:55 +0200
Received-SPF: pass (mxbap3: domain of members.ebay.de designates 66.135.197.27 as permitted sender) client-ip=66.135.197.27; envelope-from=s01-gd6vr3zmiy@members.ebay.de; helo=mxpool01.ebay.com;
Received: from mxpool01.ebay.com (mxpool21.ebay.com [66.135.197.27])
	by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis)
	id 0MKrqa-1MfC8w1pQ9-000W4W for hhenn@portaleco.com; Sun, 23 Aug 2009 14:25:55 +0200

Chaos bei ARCOR/Vodafone

Vodafone versucht gerade, ARCOR in Vodafone zu integrieren und dabei natürlich auch die Kunden stärker an sich zu binden. Hierzu wird dem Kunden angeraten, spezielle Software zu installieren, wobei verwirrende Dinge passieren. Am schnellsten sind die Marketingleute im Umstellen der Namen, das heißt wohl deshalb „Branding“, weil der Kunde dabei meist das gebrannte Kind ist. Man erhält nun die Festnetz Rechnung (war früher ARCOR) jetzt als Vodafone Rechnung – der Vodafone Link wird aber zu einer ARCOR Site umgeleitet und man muss sich mit dem ARCOR Benutzernamen und dem ARCOR Passwort anmelden obwohl auf dem Bildschirm gross das Vodafone Logo angezeigt wird.  Das ist normalerweise ein Hinweis auf einen Hackerangriff.  Bei der Gelegenheit versucht ARCOR (jetzt wohl Vodafone) ähnlich wie T-Online dem Benutzer spezielle Online Software u.a. einen speziellen Internet Explorer 8 unterzujubeln, bei dem www.arcor.de fest als Homepage eingestellt ist. Das kann der Benutzer auch nicht ändern. Interessanterweise kann man sich die ARCOR Rechnung nicht mehr anschauen, wenn der ARCOR Online Support installiert ist! Offensichtlich verirrt sich das Programm in den verschiedenen Login Servern von Vodafone und ARCOR.

Da hilft nur eins: alle ARCOR Software deinstallieren und den Internet Explorer rausschmeissen und Firefox verwenden.  Versucht man eine Originalversion des  IE 8 von Microsoft zu laden, dann stellt Microsoft fest, dass der IE 8 bereits auf dem PC ist und lädt den IE 8 nicht herunter. Dann hat man zwar nicht mehr ARCOR als Homepage aber eine Version von IE 8 bei dem man die Homepage nicht einstellen kann. Da hilft also nur den ARCOR IE 8 zu deinstallieren und dann neu zu installieren. Dabei versucht dann Microsoft, seine Marketing Highlights auf den PC des Benutzers zu laden. Irgendwann merken sollten die Marketing Experten soweit kommen, dass der beste Kundenservice der ist, dn der Kunde tatsächlich will. Alle Versuche ,dem Kunden ungewollte Produkte zu installieren führen nur zu Ärger.

Man sollte eigentlich solche unlauteren Methoden ablehnen und zu einem anderen DSL Provider wechseln. Geht man mit dem DSL von ARCOR zu T-Online kommt man leider vom Regen in die Traufe. Dort wird ja ähnlich gearbeitet da man ja durch das quasi Monopol auf DSL Anschlüsse geschützt ist.

Neue Kreditkarten mit Chip

Meine neue Kreditkarte enthält zusätzlich zum bekannten Magnetstreifen auch ein Chip, das bei den meisten Händlern in Deutschland schlicht ignoriert wird. Benutzt man die Karte jedoch im Ausland z.B. im Chipkartenland Frankreich, so kann es schnell zu Komplikationen kommen. Dabei wissen selbst die Angestellten der Banken, die die Karte ausgeben, nicht wozu der Chip eigentlich gut ist und welche Daten darauf gespeichert werden. Die Kunden stellen bei Nutzen der Karte im Ausland ungeahnte Funktionen (meist funktioniert die Karte nicht) fest. Zahlt man in Frankreich z.B. an einer Supermarktkasse mit einer Kreditkarte kommt es häufig vor, dass die Karte in den Schlitz für die in Frankreich üblichen Chipkarten gesteckt wird – natürlich funktioniert die Karte dann nicht! Man muss dann darauf hinweisen, dass der Magnetstreifenleser benutzt werden sollte, der bei den meisten Geräten auch vorhanden ist. Es tauchen in Frankreich aber auch bereits Lesegeräre auf, die keinen Magnetstreifenleser haben (die sind dann erhblich kleiner und billiger). Hat man eine neue Kreditkarte mit Chip, so wird die Chipkarte ausgelesen und das Zahlungssystem stellt fest, dass die Karte im Ausland ausgestellt wurde (diese Information war früher nicht auf dem Magnetstreifen) und das Kartenterminal kommt zur Verblüffung des Kassierers/in mit einer Anfrage in welcher Sprache denn die Transaktion abgewickelt werden soll. Bei den französischen Kartenterminals hat man aber dabei nur die Auswahl Französisch oder Englisch. Wählt man Englisch, so versteht der Kassierer/in nichts mehr (Franzosen sprechen grundsätzlich nur Französisch). Man sollte deshalb immer Französisch wählen – damit wenigstens der Kassier/in weiss, welcher Knopf wann zu drücken ist.

Meist sind auf dem Chip auch gemäß EMV Spezifikation auch Einschränkungen für Zahlungsarten und Nutzung im Ausland, die restriktiver gesetzt werden als bei der Version mit Magnetstreifen, da man ja vor allem Keditkartenbetrug im Auslandeinsatz bekämpfen möchte. Falls es dabei zu Problemen bei Zahlungen im Ausland kommt, sollte man Zahlung mit dem Magnetstreifen versuchen. Diese Zahlungsart kann aber bereits nach einer misslungenen Zahlung mit Chip gesperrt sein.  Der neue Chip auf der Kreditkarte macht eventuell den Händlern und Banken das Leben leichter, bringt aber für die Kunden neue Überraschungen.