Blog

#Phishing #amazon Phishingmail für deutsche Amazonkunden

FirewallHeute gibt es eine kleine Welle von Phishingmails die sich direkt an deutsche Amazonkunden richten. Die Phishingmails sind jedoch auch an eMail-Adressen gesendet worden, deren Inhaber gar nicht bei Amazon einkaufen. Unter anderem: ICH.

Deshalb Vorsicht vor dieser eMail:

Angeblicher Absender: Kundensupport@amazon.de

Die Adresse ist jedoch gefälscht. Bei Analyse der eMail konnte der Weg wie folgt zurückverfolgt werden:

Ziel: ICH

Über:

212.227.15.3
(1und1 Internet AG , Standort: Deutschland)

87.106.218.238
(1und1 Internet AG, Möglicher Standort: Großbritannien oder Deutschland, möglicher Server s17364465.onlinehome-server.info)

Möglicher Versender:

46.105.20.40 (OVH.NET, Frankreich)

Unter der IP 46.105.20.40 liegen folgende Webseiten:

www.auditorespericiales.com
chaletslujo.com
www.euroval.cat
www.euroval.com
eurovalia.com
externo.euroval.com
www.grupoeuroval.es
www.instai.es
observatorio.euroval.com
www.revin.es
www.valoracion.es

Phishing eMail stammt von mail.euroval.com .

Unter 46.105.20.40 wurde die eMail versendet. Verantwortliche Person ist unter 87.106.218.238 zu finden.

Hier die eMail im Wortlaut:

*****************************
06.01.2014
Ihre Hilfe wird benötigt,

Damit sie ihr Kundenkonto weiterhin ohne Einschränkungen nutzen können ist ihre Hilfe erforderlich.

Was ist passiert?

Ihr Kundenkonto wurde von unserem Sicherheitssystem für eine routinemäßige Kontrolle ausgewählt.

Ihr Amazon Kundenkonto befindet sich aktuell in einem eingeschränkten Status. Im Moment können keine weiteren Bestellungen über ihr Konto getätigt werden.

Um ihr Kundenkonto wieder in vollem Umfang nutzen zu können ist daher ein Abgleich ihrer Daten notwendig. Dies ist ein automatisierter Sicherheitsprozess und wir möchten uns für die Umstände entschuldigen.

Nachdem der Abgleich ihrer Daten durchgeführt wurde können sie ihr Konto wieder uneingeschränkt nutzen.

Ihr Amazon Kundencenter

Was soll ich jetzt tun?

Um den Abgleich ihrer Daten durchführen zu können nutzen sie bitte folgenden Link: Abgleich durchführen ( <— Link entfernt)

Sie möchten mit uns Kontakt aufnehmen?
Am einfachsten geht das unter www.amazon.de.
Unsere Kundenhotline erreichen Sie unter 0800-2 62 96 63
Unser Kundenservice steht Ihnen gernen zur Verfügung: Telefon: Montag bis Sonntag von
6:00 bis 24:00 Uhr Chat: Montag bis Sonntag von 6:00 bis 24:00 Uhr E-Mail: Montag bis
Sonntag 24 Stunden täglich.

*****************************

Unter Abgleich durchführen wurde auf die Domain: amazon-sicherheit.org verwiesen. Die Domain ist aufgrund des Namens direkt an deutsche Nutzer gerichtet. Die Domains amazon-sicherheit.net und amazon-sicherheit.com sind direkt vom Amazon-Konzern registriert. Hier wird ein Betrugsversuch durchgeführt! Registriert ist die org-Domain auf folgende Daten:

Domain ID:D170588069-LROR
Domain Name:AMAZON-SICHERHEIT.ORG
Created On:05-Jan-2014 18:25:17 UTC
Last Updated On:05-Jan-2014 18:25:18 UTC
Expiration Date:05-Jan-2015 18:25:17 UTC
Sponsoring Registrar:GoDaddy.com, LLC (R91-LROR)
Status:CLIENT DELETE PROHIBITED
Status:CLIENT RENEW PROHIBITED
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:CR157798681
Registrant Name:Michael Mueller
Registrant Street1:Londoner strasse 22
Registrant City:Erlangen
Registrant State/Province:N/A
Registrant Postal Code:91056
Registrant Country:DE
Registrant Phone:+49.15243563
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:michamueller11@mailinator.com
Admin ID:CR157798683
Admin Name:Michael Mueller
Admin Street1:Londoner strasse 22
Admin City:Erlangen
Admin State/Province:N/A
Admin Postal Code:91056
Admin Country:DE
Admin Phone:+49.15243563
Admin Email:michamueller11@mailinator.com
Tech ID:CR157798682
Tech Name:Michael Mueller
Tech Street1:Londoner strasse 22
Tech City:Erlangen
Tech State/Province:N/A
Tech Postal Code:91056
Tech Country:DE
Tech Phone:+49.15243563
Tech Email:michamueller11@mailinator.com
Name Server:NS05.DOMAINCONTROL.COM
Name Server:NS06.DOMAINCONTROL.COM
DNSSEC:Unsigned

Die Domain wurde erst am 05.Januar 2014 registriert. Die Postadresse existiert zwar, aber ob der Name korrekt ist, kann bezweifelt werden. Im schlimmsten Fall werden die Daten einer anderen Person genutzt. Die eMail-Adresse und die falsche Telefonnummer weisen darauf hin.

Die Webseite ist eine Phishingseite die mit Amazon-Inhalten geladen wird. Die Phishingbestandteile sind jedoch von den Betrügern eingearbeitet.

amazonfake
Es werden dann eMail-Adresse, Postadresse und Kreditkartendatren abgefragt. (Nicht mal verschlüsselt)

amazonfake2
Auch noch die Bankdaten.

amazonfake3
Sie fragen aber noch Kreditkarten mit Auslaufdatum 2012 und 2013 ab. Und noch nicht einmal SEPA. Schlechte Vorbereitung. Aber eine VISA-Card ähnliche Nummer wollen sie haben. (Schnell mal eine ausgedacht!)

amazonfake4
Dann leiten Sie zur normalen Webseite weiter.

Es werden sicher Leute darauf reinfallen!

Danke für die Aufmerksamkeit!

Tagged , ,