Phishing Amazon

[vgwort line=“79″ server=“vg05″ openid=“d036025831ad4b68961e06e9a4609312″]

Auch ich erhielt eine Aufforderung meine Amazon-Daten zu aktualisieren. Nur: Unter der E-MAil-Adresse bin ich nicht bei Amazon registriert. Dass diese Adresse überhaupt in den Adresslisten der Betrüger ist, wundert mich schon, denn diese Adresse verwende ich so gut wie nie.

Hinter der Link unter dem Bestätigen-Button verweist nur über eine IP-Adresse auf den Server (http://61.219.82.98/thomas@example.com) und und überträgt gleich meine E-Mail Adresse mit. Der Server hört auch auf den „Namen“ 61-219-82-98.HINET-IP.hinet.net. Diese Adresse gehört zu einer Firma in Taiwan, Internet Dept., DCBG, Chunghwa Telecom Co., Ltd.

Alles nicht so ergiebig. Ich bemühe wget und ändere die E-Mail Adresse auf die Domain für Beispiele. Nun geht es weiter zu sls3amazon.com. Diese Domain wurde über www.publicdomainregistry.com registriert. Die Daten für den Registrant sind sehr offensichtlich gefälscht. Angeblich ist der Registrant „Gina Wild“ und hat die E-Mail Adresse highrolls@t-online.de. Was ich bekomme, ist eine Datei mit obfuskiertem Code. Dies ist mir zu viel JavaScript für einen Sonntag Nachmittag. Also nehme ich den Firefox zur Hilfe.

Ich rufe wieder den Link mit einer falschen E-Mail Adresse (thomas@example.com) auf. Obwohl die Betrugsmail vom Donnerstag stammt, werden die Seiten nicht durch Safe Browsing als Betrugsseiten erkannt. Zuerst lande ich bei einer Sicherheitsabfrage um mich als Mensch zu identifizieren. (Schade, ich hatte da so eine Idee.)

Nachdem ich den Code eingegeben habe und mich als Mensch identifiziert habe, erscheint eine gefälschte Login-Seite von Amazon. Oben in der Adresssleiste steht http://sls3amazon.com/pS34Q5UkkZ. Sieht zwar Amazon ähnlich, ist aber nicht Amazon. Merke: Was auf einer Seite drauf steht, muss nicht dahinter stehen.

Nun bin ich gespannt.Ich brauche ein sicheres Kennwort und nehme: Laicah1uenohghae. 😉 Ich bleibe auf der Seite hängen. Nur der „Token“ …/JIvlKVUvD8 ändert sich mit jedem Klick. Möglicherweise wird im Hintergrund gleich geprüft, ob das Password richtig ist. Fehlermeldungen gibt es jedenfalls keine. Ich habe nicht vor, meinen echten Amazon Account für weitere Experimente zu nehmen. So stark ist mein Interesse daran, wie es weiter geht, nun doch nicht.

Die mit wget herunter geladenen Dateien sind alle obfuskiert. Eine Analyse erspare ich mir.

Damit soll es für heute gut sein.