Vorsicht Falle: amazon-kundenbetreuung.de

Zur Zeit verbreiten die Spamer eine E-Mail mit dem Betreff [News] Newsletter-Service März 2013, die behauptet, von Amazon zu stammen und Prüfung der Konten zu dienen.

Dies ist eine Phishing Mail und die verlinkten Seiten sind gefälscht. Deshalb die Warnung:

Wer auf den Trick herein gefallen ist, wird sicher eine Bestellung in seinen Bestellvorgängen finden und sollte, wenn noch möglich, diese umgehend stornieren.

Kurze Untersuchung der E-Mail

Auffällig an dieser E-Mail ist, dass Amazon die Kunden nicht mit Namen anredet. Hier ist dem Absender offensichtlich der zur E-Mail-Adresse gehörige Name nicht bekannt.

In solchen Fällen, ist immer Vorsicht geboten. Zwar ist eine korrekte Anrede kein verlässliches Zeichen, denn gute Adressdatenbanken liefern den richtigen Namen. Eine fehlenden, pauschale oder falsche Anrede deutet darauf hin, dass eine E-Mail nicht vom angeblichen Absender stammt. In meinem Fall kommt hinzu, dass diese E-Mail an eine Adresse geschickt wurde, die ich bei Amazon nicht hinterlegt habe.

Die Mail wurde – soweit die Daten im Header verlässlich sind – von einem Rechner mit der IP-Adresse 85.214.230.66 verschickt, der im Strato Netz und nicht weit entfernt von meinem V-Server 85.214.133.14 stehen dürfte. Der Rechner ist frisch aufgesetzt und hat unter der IP-Adresse noch keine Web-Seite. Robtex.com liefert leider keine verwertbaren Informationen.

Die Web_Seiten

Folgt ich dem Link in der obigen Mail, dann öffnet sich ein Seite, die ich mir hier darzustellen erspare, mit einem Hinweis zur Verifikation meiner Daten. Im zweiten Schritt wird das folgende Formular aufgerufen, in dem ich die Daten für die Verifizierung eingegeben sollen.

Dies empfehle ich tunlichst zu unterlassen. Die Seite ist ein Fake.

Einen Unterschied zur Original Amazon Seite habe ich nicht gesehen. Nur fällt auf, dass die Cookies, die Amazon bei mir hinterlässt, hier nicht angezogen werden. Normalerweise kennt Amazon mich, wenn ich auf ihre Seiten gehe. Erst bei einer Bestellung wird das Passwort abgefragt. Hier fällt auf, die Seite nichts über mich weiß. Dies ist bei Amazon eigentlich nicht der Fall.

Das Password wird immer nur über den Login abgefragt; nie in einem Formular. Einzige Ausnahme ist vielleicht die Seite der Passwortänderung. Am Ende der Dateneingabe wird ohne viel Aufheben auf das Benutzerkonto bei Amazon weitergeleitet. Da ich keine Lust habe, mein Geld zu riskieren, ist folgende Vermutung reine Spekulation: Nach Abschicken der Informationen meldet sich ein Roboter bei Amazon an und löst eine Bestellung auf meinen Namen aus. Als Lieferadresse wird die Adresse eines „Versandmitarbeiter / Lagerist“ eingesetzt, der die Pakete umpackt und weiter verschickt. Siehe dazu meinen Artikel über Arbeitsangebote für sogenannte „Versandmitarbeiter“. Mein Tipp: Es haben sich endlich ein paar Helfer gefunden. Für eine reine Adressdaten- und Kontonummernsammlung halte ich diese Mail nicht.

Kleines Zwischenspiel: Mich würde interessieren, was passiert, wenn nach einer Bestellung und Abbuchung die Kontonummer geändert und die Bestellung zurück geschickt wird. Wird der Betrag auf das neu Konto gut geschrieben? Wegen der Provisionen der Kreditkartenfirmen dürfte der Trick nur bei Lastschrift funktionieren.

Der Server

Die Adresse liegt auf einen Strato Server und der Inhaber der Domain amazon-kundenbetreuung.de, IP-Adresse 81.169.145.149 ist in whois als Strato ausgewiesen. Warum sollte Amazon dies tun? Für andere Amazon Domains wird Amazon Hostmaster angegeben. Schaut man bei robtex.com nach, so befinden sich sehr viele Domain auf dieser Adresse.

Über eine Suche bei denic.de ergibt sich ein anderer Domaininhaber in Berlin. Wenn er/sie eine reale Person ist, dürfte in den nächsten Tagen die Polizei vor der Tür stehen.

Für heute reicht es mir; ich spare mir eine weitere Untersuchung hier.

Gute Nacht

Hier noch ein Textausschnitt für die Suchmaschinen: