Heute flatterte mir wieder einmal eine Mail von Amazon ins Netz, die mich aufforderte, meine Daten abzugleichen. Und ich muss gestehen, für einen kurzen Moment war ich drauf und dran, zu klicken. Es war keine dilettantisch formulierte Mail in radebrecherischem Deutsch, sondern sie war durchaus sauber formuliert (bis auf ein paar Kleinigkeiten, die man aber schnell überliest) und hatte obendrein alle Elemente einer ordentlichen E-Mail:

  • Referenznummer
  • Anrede
  • Grußwort
  • Impressum

Amazon-fishing-mail

Aber ein Blick hinter die Kulissen verrät schnell, dass da keinesfalls Amazon der Absender sein konnte. Ganz gleich, mit welchem E-Mail Client ihr arbeitet, man kann sich mit nur einem Klick den unmaskierten Quellcode/Header der Mail anzeigen lassen.

Der sieht bei einer echten Amazon-Mail in etwa so aus:


Return-Path: <20160729021810362fad7cff7441c9a6e57a2b1390p0eu@bounces.amazon.de>

Received: from lux.smtp-out.eu-west-1.amazonses.com ([176.32.127.142]) by mx-ha.web.de (mxweb108) with ESMTPS (Nemesis) id 0MRF3r-1bs0Kp1eaV-00UXXA for <****@web.de>; Fri, 29 Jul 2016 04:18:12 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=fraqczefv5ucvzwxuiuhta623hvupqlf; d=amazon.de; t=1469758691; h=From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:Date; bh=U+hyCx2mRVu0XhmD9VFDonrN7B89Wk2IK08neXtytcY=; b=N/oU0H2jK1yJg0yN5cpL4VY9Q+Es9rxS++sc08PfTJAsuponrC6urYCYszPqhQMU PO0ZOCJ0xOywp+MPdlHRkVQEUC2rT6jPevf1dqU94vAehINfuR1gGZw2ES3EZzG+JpV YERnOinwnrZJLUfHmUIcDs8hRfZINATQi1OInVmk=

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=ihchhvubuqgjsxyuhssfvqohv7z3u4hn; d=amazonses.com; t=1469758691; h=From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:Date:Feedback-ID; bh=U+hyCx2mRVu0XhmD9VFDonrN7B89Wk2IK08neXtytcY=; b=MFrWr1gl5wcDlswYzHDuQDff3VQgMhFvEGnnKM0cDzE60UNABJUfrWCbTlwP/HSy ls8aPyTYYNMPsWBZK88+4ax+uf4PJfb9eNOXSreRM2WhEOnSkGzaHwSSbaY6yOcGzUx EoRc92oN3CwJ3MDq9y+5LwzUxssGFxlcZMejMQsc=

From: “Amazon.de” <versandbestaetigung@amazon.de>

Reply-To: versandbestaetigung@amazon.de


Der Header der Fishing-Mail hat da einige Abweichungen, vor allem gibt es dort keinen Verweis auf einen Server namens “amazon”.


Return-Path: <****@web.de>

Received: from efh.com.mx ([54.200.56.186]) by mx-ha.web.de (mxweb007) with ESMTP (Nemesis) id 0MZTjh-1bnFXU3sIn-00LDGk for <****@web.de>; Tue, 09 Aug 2016 13:53:50 +0200

Received: from hjskdfsahfjksdf.com ([177.1.212.101]) by efh.com.mx with MailEnable ESMTP; Tue, 9 Aug 2016 06:53:48 -0500

To: ****@web.de

From: Amazon.de <****@web.de>


Als Return-Path und From: ist jeweils die eigene E-Mail Adresse angegeben und nicht die von amazon, eine Antwort-Adresse gibt es auch nicht, die aber vorgeschrieben ist. Man kann vieles faken, aber der Quellcode/Header einer Mail lügt nie.

Also Augen auf :-)

Nachtrag: Zu erkennen sind Fishing-Mails auch am eingebauten Link, der euch vorgaukelt, dass ihr damit auf Euren Account gelangt. In dem Fall versteckt sich der Link hinter dem Button “Datenabgleich durchführen”. Hier nur mit der Maus drüber gehen (NICHT klicken!) und dann seht ihr unten links im Browser in einer etwas unscheinbaren Zeile, wohin der Link führt. In diesem Fall zu https://deref-web-02.de/mail/client/dereferrer…….

Amazon Fishing Mails – so täuschend echt sehen sie aus

Beitragsnavigation


3 Gedanken zu „Amazon Fishing Mails – so täuschend echt sehen sie aus

  1. Netter Artikel. Die Mail sieht nicht schlecht aus, aber das “innerhalb von 24 Stunden” macht echt stutzig. Weiterhin würde mich echt interessieren was passiert wenn man auf dem Link klickt…
    Ps: deine Email Adresse ist noch in dem Post enthalten.

  2. Die E-Mail Adressen die als Absender zu erkennen sind, stammen meistens von verstorbenen Personen.

    Schuld dass es solche E-Mail gibt sind Vodafone, T-Com, Freenet, GMX und wie sie alle heißen. Der Grund ist dass veraltete System von denen, die integrierte “@01019” lasst alle E-Mails passieren aus gründen der Kompatibilität der Postfächer und stammt aus dem Jahr 1998.

    Das wird heute zu Tage nicht mehr benötigt, aber eine komplette neue Software zu installieren kostet Geld und darauf sch…sen die Anbieter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.