So erkennt man Phishing eMail – Aktuelles Beispiel mit Amazon Tarnung

Immer wieder wird mit Tricks versucht, an Benutzernamen und Passwörter von Benutzern zu kommen,  mit denen man einen geldwerten Vorteil erzielen kann. Erstes Ziel sind immer Banken – interessant sind aber auch Benutzerdaten von  z.B. eBay, da viele Benutzer ihre Kreditkarten oder auch PayPal Daten in ihrem eBay Konto hinterlegt haben. Betrüger können somit bei eBay Waren unter fremdem Namen kaufen (und anschließend wieder verkaufen). Oft versucht man auch, den Benutzer nur auf eine „vergiftete“ Seite im Internet zu leiten. Die Phishing Nachrichten sehen oft täuschend echt aus. Auf keinen Fall sollte man bei verdächtiger eMail auf einen der angebotenen Links klicken.

Hat mein eine verdächtige eMail erhalten sollten man zunächst mit einigen charakteristischen Wörtern aus der eMail im Web suchen – häufig ist der Phishing Versuch schon bekannt. Schwieriger wird es, wenn man von einer Erstwelle erfasst wird, die noch nicht im Web diskutiert wird.

Eine recht einfache Methode eine Phishing Nachricht zu erkennen, ist ein kurzer Blick auf den HTML Code der eMail und ein Vergleich mit einer Original eMail. Bei Thunderbird klickt man hierzu einfach auf -> Ansicht -> Nachrichten-Quelltext.

Im folgenden sieht man die Phishing eMail in Fettdruck und den dazugehörigen HTML Code der eMail.

Dabei fällt schon auf , dass die eMail von einem Microsoft Outlook Express Mail Server kommt (oder zumindest wird das behauptet). eBay wird wohl seine eMails nicht mit Outlook Express verschicken! Der Absender heißt zwar secure@amazon.com – dahinter verbirgt sich aber eine ganz andere Adresse (Message ID). Auch die Zieladresse des Links, den der Adressat anklicken soll, führt nicht auf eine Amazon Adresse (im HTML Text fett markiert).

Schaut man sich dagegen eine Original eMail von Amazon an (3. Block im Folgenden) sieht man, dass die Absender Adresse zu ebay.de zurückführt und auch der eMail Sender ein zulässiger Sender von eBay ist.

Damit kann man Phishing eMail relativ leicht identifizieren. Der Viren Scanner lässt Phishing eMail natürlich durch. Auch wenn an der eMail groß verkündet wurde, dass sie mit einem Viren Scanner geprüft wurde, heißt das nicht, dass sie vertrauenswürdiger ist!

Nachtrag 8/2013: Die Phisher haben inzwischen aufgerüstet. Fortschrittliche Phisher verwenden jetzt Link- und Emailadressen des gleichen Providers wie die Firma in deren Namen die Phishing eMail verschickt wird. Bei Zugriff wird man von dort dann auf die Seite des Phishers weitergeleitet. Die Analyse der IP-Adresse zeigt nun keinen Absender aus dem Ausland sondern eine „bewährte“ Adresse in Deutschland.

______________________________________________________________________________

eMail von ???? secure@amazon.com ???

Amazon is constantly working to ensure security by regularly screening the accounts in our system.
We recently reviewed your account, and we need more information to help us provide you with a secure service.
Until we can collect this information, your access to your account features will be restricted.
We would like to restore your access as soon as possible, and we apologize for the inconvenience.
Your account access has been restricted for the following reason(s):
18 August 2009: We have reason to believe that your account was accessed by a third party as different computers have logged into your Amazon account and
multiple password failures where presented before the logons.
We now need you to re-confirm your account information to us.
We understand that having restricted access can be an inconvenience, but protecting your account is our primary concern.
Please visit the link below, log in to your account and complete the secure verification form:
In accordance with our User Agreement, your account access will remain restricted until the issue has been resolved.
——————————————————————————————————————————————-

Zugehöriger Phishing Versuch HTML Code:

X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: secure@amazon.com
Message-ID: <KEELTY18AWiZAtGYkNU00001850@keelty.com>
X-OriginalArrivalTime: 21 Aug 2009 16:06:24.0018 (UTC) FILETIME=[54A83F20:01CA2279]
Envelope-To: [[[ ..... eMail Adresse des Empfängers ...... ]]]
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 9.0.1.9; AVE: 8.2.1.3; VDF: 7.1.5.149)

<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY bgcolor=#FFFFFF leftmargin=5 topmargin=5 rightmargin=5 bottommargin=5>
<FONT size=2 color=#000000 face="Arial">
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; Amazon is constantly working to ensure security by regularly screening the accounts in our system.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; We recently reviewed your account, and we need more information to help us provide you with a secure service.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; Until we can collect this information, your access to your account features will be restricted.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; We would like to restore your access as soon as possible, and we apologize for the inconvenience.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp;&nbsp; Your account access has been restricted for the following reason(s):</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; 18 August 2009: We have reason to believe that your account was accessed by a third party as different computers have logged into your Amazon account and</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; multiple password failures where presented before the logons.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; We now need you to re-confirm your account information to us.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; We understand that having restricted access can be an inconvenience, but protecting your account is our primary concern.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; Please visit the link below, log in to your account and complete the secure verification form: </B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<A href="http://ammupdateverify.4t.com/login.htm"><FONT size=3 color=#0000FF><B><U>https://www.amazon.com/gp/sign-in.html?</B></U></FONT></A></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;&nbsp; In accordance with our User Agreement, your account access will remain restricted until the issue has been resolved.</B></FONT></DIV>
<DIV>
<FONT size=3><B>&nbsp;</B></FONT></DIV>
_______________________________________________________________

Typische Original Nachricht von Amazon:

From - Sun Aug 23 14:52:05 2009
X-Account-Key: account2
X-UIDL: 0MKrqa-1MfC8w1pQ9-000W4W
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <s01-gd6vr3zmiy@members.ebay.de>
Delivery-Date: Sun, 23 Aug 2009 14:25:55 +0200
Received-SPF: pass (mxbap3: domain of members.ebay.de designates 66.135.197.27 as permitted sender) client-ip=66.135.197.27; envelope-from=s01-gd6vr3zmiy@members.ebay.de; helo=mxpool01.ebay.com;
Received: from mxpool01.ebay.com (mxpool21.ebay.com [66.135.197.27])
	by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis)
	id 0MKrqa-1MfC8w1pQ9-000W4W for hhenn@portaleco.com; Sun, 23 Aug 2009 14:25:55 +0200
Advertisements

4 Antworten zu “So erkennt man Phishing eMail – Aktuelles Beispiel mit Amazon Tarnung

  1. Pingback: Digital Naive im Bundestag | Freie Abgeordnete

  2. Pingback: Passwort Diebstahl – komplizierte Passwörter sind sinnlos | PrivatesPortal

  3. Pingback: Sicherheitslücke iPhone – keine Analyse von Phishing Email möglich! | PrivatesPortal

  4. kündigung bei facebook

Kommentare wieder erlaubt

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s