Gefälschte amazon-Mails im Umlauf

E-Mails mit amazon als angeblichem Absender, die unlautere Absichten verfolgen, kursieren immer wieder im Netz. Aktuell ist eine neue Variante unterwegs. Sie sieht der originalen amazon-Versandbestätigung zum Verwechseln ähnlich – hat aber Schadcode im Gepäck.

Das optische Gesamtbild der Mail ist so täuschend echt, dass Ungereimtheiten frühestens auf den zweiten Blick auffallen. Genau darauf setzen die Angreifer, zumal die Wahrscheinlichkeit groß ist, dass die Mail auf echte amazon-Kunden trifft.

Schaut man genauer hin (s. Abbildung unten), fällt auf, dass unter den Bestelldetails zwar der Rechnungsbetrag wie gewohnt aufgeführt wird. Jedoch fehlt jede Angabe zur bestellten Ware – ungewöhnlich. Auch eine fehlerhafte Formulierung am Anfang der Mail lässt vermuten, dass hier etwas nicht stimmt. Ein drittes wichtiges Indiz, auf das man immer (immer!) achten sollte, ist die Absender-Mailadresse. Diese hat mit amazon nichts zu tun.

Die eigentliche Gefahr geht aber von den eingebetteten Links aus, von denen es in derartigen E-Mails meist einige gibt. Und auch das erschließt sich nicht sofort, denn fährt man mit dem Mauszeiger darüber, verlinken die meisten URLs auf eine amazon.de-Domain und sind scheinbar unverdächtig. Wenige Links, darunter z.B. die übliche amazon-Bestellnummer oben rechts und der Link “Bestelldetails” unter dem Zustelldatum, verweisen dagegen auf eine völlig fremde Domain, die misstrauisch macht.

Auf keinen Fall sollten daher Links in dieser Versandbestätigung angeklickt werden. Auch nicht die, die auf www.amazon.de verweisen.

Dennoch ist die Gefahr groß, dass genau das passiert, denn die inhaltlich unvollständige Versandbestätigung verleitet den Empfänger dazu, mehr über die unbekannte Bestellung erfahren zu wollen.

Klickt man auf den Link “Bestelldetails”, wird ein Word-Dokument mit angeblichen Einzelheiten zur Bestellung heruntergeladen. Öffnen lässt sich das Dokument zunächst nur in geschützter Ansicht, verbunden mit der Aufforderung, das Bearbeiten zu erlauben, um den Inhalt sehen zu können.

Sobald man aber das Editieren der Datei erlaubt, wird ein schädliches Script aktiviert, das einen Trojaner-Virus enthält. Dieser sorgt dafür, dass im Hintergrund und vom Nutzer unbemerkt weitere Trojaner auf den Rechner geladen und ausgeführt werden.

Das Heimtückische an dieser Betrugsmethode ist, dass der Schadcode nicht als E-Mail-Anhang übermittelt wird, sondern durch manuelle Downloads auf den Rechner geladen wird. Wäre der Trojaner in einem Mail-Anhang verborgen, hätten Spamfilter die Chance, das schädliche Script zu erkennen und die Mail abzufangen.

Daher kann die Empfehlung nur lauten: Wenn man eine unbekannte Bestell- oder Versandbestätigung erhält, sollte man keine der Links anklicken und sich sicherheitshalber immer auf der originalen Webseite des Absenders anmelden, um dort seine Bestellungen zu überprüfen.

Weitere Informationen:
Falsche Amazon-Mail mit Trojaner-Verlinkung (mimikama.at)

Bild:
Auf Grundlage von
Wikimedia Commons. By amazon.de [Public domain].
Wikimedia Commons. By Tokyoship (Own work) (CC BY-SA 3.0)

Security, Spam, Virus