Nachhilfe in Phishingologie

Meistens riecht man es zehn Kilometer gegen den Wind, wenn es ein Mail auf Phishing angelegt hat. Bei folgendem Mail heute morgen brauchte ich jedoch immerhin zehn schlaftrunkene Sekunden, bis ich zum Schluss kam, dass die Leute bei Amazon doch wohl wissen, dass man Verständnis hinten nur mit einem S schreibt und das mit der Gross-/Kleinschreibung besser im Griff haben:

Sehr geehrter Kunde,
leider müssen wir Ihnen berichten, dass fremde auf Ihr Kunden-Account zugriff erlangen konnten. Die Bestellungen die von Ihrem Mitgliedskonto an eine neue Lieferadresse Manfred Groß, Ludwig-Beckstraße 69, 37633 Göttingen getätigt wurde, haben wir erfolgreich zurückgerufen. Wir fordern Sie daher auf, Ihr Kunden-Account so schnell wie möglich zu überprüfen und weitere Probleme dem Amazon Kunden-Support zu melden. Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:
amz-12.net/?www.amazon.de/…
Wir entschuldigen uns für dadurch entstandene Probleme und Bitten Sie um Verständniss. Ihr Support Team.


Wenn man sich dann den Link anschaut, dann bleibt kein Zweifel, dass es sich um Phishing handelt – der alte Tipp, dass man bei solchen Nachrichten nie auf den Link klicken, sondern die URL des selbst im Browser eingeben sollte, hilft auch bei diesem Versuch, der offenbar schon seit einigen Monaten durchs Netz geistert.

130327-phishing.jpg
Wer beim Mail nicht an Phishing denkt, sollte bei dieser Meldung stutzig werden.

Der Clou bei bei dieser Masche scheint mir die Angabe des vermeintlichen Übeltäters. Man fragt sich unwillkürlich, wie dieser Gross einerseits so klever sein konnte, ein Amazon-Konto zu hacken, und gleichzeitig die Dummheit begeht, sich Waren an seine Privatadresse liefern zu lassen. Und natürlich will man wissen, was er denn bestellt haben könnte – und wer dann seiner Neugierde nachgibt, ohne vorher nachzudenken, ist schon zum Phishing-Opfer geworden. Das zweite Erfolgsmerkmal dieses Mails scheint mir der Satz «Die Bestellung (…) haben wir erfolgreich zurückgerufen» zu sein. Anders als das typische Phishing-Mail verbreitet dieses keine unmittelbare Alarmstimmung, was einem in vermeintlicher Sicherheit wiegt.

Fazit: Ein guter Ansatz. Es würde sich meines Erachtens aber lohnen, die Adresse des vermeintlichen Identitätsdiebs dem Empfänger des Mails anzupassen. Wenn man an eine .ch-Mailadresse sendet, sollte Manfred Groß in Zürich oder Basel wohnen – oder meinetwegen im Thurgau. Besonders raffiniertes Social Engineering wäre es, wenn man die Wohngemeinde des Opfers wüsste – aber das lässt sich mit vernünftigem Aufwand wohl nicht herausfinden…

PS: Die Website selbst war heute Morgen noch erreichbar und zeigte eine recht gut nachgemachte Amazon-Login-Page. Heute Nachmittag ist sie bereits offline, ausserdem warnt Firefox, es handle sich um eine betrügerische Website.

PPS: Wahrscheinlich müsste die wissenschaftliche Disziplin doch eher «Phishologie» heissen?

Autor: Matthias

Diese Website gibt es seit 1999. Gebloggt wird hier seit 2007.

Kommentar verfassen