Heute flatterte mir wieder einmal eine Mail von Amazon ins Netz, die mich aufforderte, meine Daten abzugleichen. Und ich muss gestehen, für einen kurzen Moment war ich drauf und dran, zu klicken. Es war keine dilettantisch formulierte Mail in radebrecherischem Deutsch, sondern sie war durchaus sauber formuliert (bis auf ein paar Kleinigkeiten, die man aber schnell überliest) und hatte obendrein alle Elemente einer ordentlichen E-Mail:
- Referenznummer
- Anrede
- Grußwort
- Impressum
Aber ein Blick hinter die Kulissen verrät schnell, dass da keinesfalls Amazon der Absender sein konnte. Ganz gleich, mit welchem E-Mail Client ihr arbeitet, man kann sich mit nur einem Klick den unmaskierten Quellcode/Header der Mail anzeigen lassen.
Der sieht bei einer echten Amazon-Mail in etwa so aus:
Return-Path: <20160729021810362fad7cff7441c9a6e57a2b1390p0eu@bounces.amazon.de>
Received: from lux.smtp-out.eu-west-1.amazonses.com ([176.32.127.142]) by mx-ha.web.de (mxweb108) with ESMTPS (Nemesis) id 0MRF3r-1bs0Kp1eaV-00UXXA for <****@web.de>; Fri, 29 Jul 2016 04:18:12 +0200
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=fraqczefv5ucvzwxuiuhta623hvupqlf; d=amazon.de; t=1469758691; h=From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:Date; bh=U+hyCx2mRVu0XhmD9VFDonrN7B89Wk2IK08neXtytcY=; b=N/oU0H2jK1yJg0yN5cpL4VY9Q+Es9rxS++sc08PfTJAsuponrC6urYCYszPqhQMU PO0ZOCJ0xOywp+MPdlHRkVQEUC2rT6jPevf1dqU94vAehINfuR1gGZw2ES3EZzG+JpV YERnOinwnrZJLUfHmUIcDs8hRfZINATQi1OInVmk=
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=ihchhvubuqgjsxyuhssfvqohv7z3u4hn; d=amazonses.com; t=1469758691; h=From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:Date:Feedback-ID; bh=U+hyCx2mRVu0XhmD9VFDonrN7B89Wk2IK08neXtytcY=; b=MFrWr1gl5wcDlswYzHDuQDff3VQgMhFvEGnnKM0cDzE60UNABJUfrWCbTlwP/HSy ls8aPyTYYNMPsWBZK88+4ax+uf4PJfb9eNOXSreRM2WhEOnSkGzaHwSSbaY6yOcGzUx EoRc92oN3CwJ3MDq9y+5LwzUxssGFxlcZMejMQsc=
From: „Amazon.de“ <versandbestaetigung@amazon.de>
Reply-To: versandbestaetigung@amazon.de
Der Header der Fishing-Mail hat da einige Abweichungen, vor allem gibt es dort keinen Verweis auf einen Server namens „amazon“.
Return-Path: <****@web.de>
Received: from efh.com.mx ([54.200.56.186]) by mx-ha.web.de (mxweb007) with ESMTP (Nemesis) id 0MZTjh-1bnFXU3sIn-00LDGk for <****@web.de>; Tue, 09 Aug 2016 13:53:50 +0200
Received: from hjskdfsahfjksdf.com ([177.1.212.101]) by efh.com.mx with MailEnable ESMTP; Tue, 9 Aug 2016 06:53:48 -0500
To: ****@web.de
From: Amazon.de <****@web.de>
Als Return-Path und From: ist jeweils die eigene E-Mail Adresse angegeben und nicht die von amazon, eine Antwort-Adresse gibt es auch nicht, die aber vorgeschrieben ist. Man kann vieles faken, aber der Quellcode/Header einer Mail lügt nie.
Also Augen auf :-)
Nachtrag: Zu erkennen sind Fishing-Mails auch am eingebauten Link, der euch vorgaukelt, dass ihr damit auf Euren Account gelangt. In dem Fall versteckt sich der Link hinter dem Button „Datenabgleich durchführen“. Hier nur mit der Maus drüber gehen (NICHT klicken!) und dann seht ihr unten links im Browser in einer etwas unscheinbaren Zeile, wohin der Link führt. In diesem Fall zu https://deref-web-02.de/mail/client/dereferrer…….
Netter Artikel. Die Mail sieht nicht schlecht aus, aber das „innerhalb von 24 Stunden“ macht echt stutzig. Weiterhin würde mich echt interessieren was passiert wenn man auf dem Link klickt…
Ps: deine Email Adresse ist noch in dem Post enthalten.
Danke für den Hinweis … jetzt nicht mehr. Wäre aber sowieso nur die Mailadresse für den ganzen Spam gewesen :-)