Technologie

E-Mail-Spam von „Amazon“ oder „eBay“ wird immer perfider und professioneller

E-Mail Spam Mails Amazon eBay
geschrieben von Markus Werner

Fast jeder bekommt täglich neben wichtigen Mails leider auch Spam in seine Inbox gespült. Darunter sind häufig Nachrichten, die gefährliche Anhänge, wie etwa Trojaner, oder Phishing-Links enthalten können. Betrüger lassen ihre Mails immer professioneller aussehen. Sie jagen ihren Opfern ganz gezielt Angst ein und versuchen sie so zum verhängnisvollen Klick zu bewegen.

Laut einem aktuellen Bericht von Kaspersky Labs wurden im vergangenen Jahr 19 Prozent aller schädlichen E-Mails allein an deutsche Nutzer adressiert. Deutschland ist inzwischen auch ein beliebtes Ziel für Ransomware-Angriffe geworden, wie die rasche Verbreitung des Kryptotrojaners Locky in den letzten Monaten zeigt. Verschlüsselungstrojaner schlagen mittlerweile auch deutlich aggressiver zu. Mail-Spam ist sehr vielseitig und die Versender lassen sich immer wieder etwas Neues einfallen, um ihre Opfer zu erpressen, Daten abzugreifen oder ihnen Schadsoftware unterzujubeln. Die Mails wirken immer echter und der Betroffene kann kaum noch unterscheiden.

Angeblich eBay-Rechnung nicht bezahlt?

Vor knapp zwei Wochen habe ich am Dienstagmorgen eine E-Mail der etwas anderen Art erhalten. Nichtsahnend checkte ich wie jeden Früh meine Mails. Darunter war auch eine Nachricht von einem gewissen Hannes Hut, der bei eBay als Sachbearbeiter für offene Rechnungen zuständig ist. Aber lest am besten selbst:


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Von: Sachbearbeiter Pay Online24 GmbH <info@ebay.de>
Betreff: Rechnung für Markus Werner vom 26.04.2016
Datum: 26.04.2016 04:09
An: Markus Werner <xxxxx@gfx-stylez.com>
Anhänge: Markus Werner Sachbearbeiter Pay Online24 GmbH 26.04.2016.zip (424,1 K)

Sehr geehrte/r Markus Werner,

bedauerlicherweise mussten wir gerade feststellen, dass unsere Zahlungsaufforderung Nr. 151227427 bislang erfolglos blieb. Jetzt bieten wir Ihnen hiermit letztmalig die Chance, den ausstehenden Betrag unseren Mandanten Pay Online24 GmbH zu begleichen.

Gespeicherte Vertragsdaten:

Markus Werner
XXXXXXXXXX
XXXXX Leipzig

Tel. XXXXXXXX

Aufgrund des andauernden Zahlungsausstands sind Sie verpflichtet außerdem, die durch unsere Inanspruchnahme entstandene Kosten von 91,93 Euro zu tragen. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 25.04.2016.

Die detaillierte Forderungsausstellung NR. 151227427, der Sie alle Positionen entnehmen können, fügen wir bei.

Wir erwarten die Überweisung einbegriffen der Mahnkosten bis spätestens 29.04.2016 auf unser Girokonto. Können wird bis zum genannten Datum keine Überweisung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen müssen.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Mit verbindlichen Grüßen

Sachbearbeiter Hannes Hut

Zip-Archiv im Anhang

Im ersten Moment staunte ich nicht schlecht. Augenscheinlich hatte ich also bei eBay eine Rechnung noch nicht beglichen? Interessant, denn meinen eBay-Account habe ich vor knapp zwei Jahren eingemottet, nachdem eBay gehackt wurde. Also konnte diese Mail so definitiv nicht stimmen. Da war ich mir zu dem Zeitpunkt schon ziemlich sicher.

Demnach lag es auf der Hand, dass diese E-Mail verseucht sein muss. Interessant fand ich außerdem: In der Nachricht werde ich persönlich angesprochen und meine Anschrift und Telefonnummer genannt. Die Nummer ist allerdings veraltet, genauso wie meine E-Mail-Adresse. Die Mail enthält natürlich auch ein Zip-Archiv im Anhang. Die Betrüger versuchen mit dem Nachrichteninhalt ihr Opfer auf perfide Art und Weise zu ängstigen – mit Erfolg. Zudem weist die Mail kaum gravierende sprachliche Fehler auf. Folglich hätte diese Nachricht sogar echt sein können. Gewisse Restzweifel bleiben bestehen. Ich habe es genauso schon erlebt, dass eine unseriös wirkende E-Mail sich am Ende doch als echt entpuppte. Das erschwert die Erkennung zusätzlich.

Wer steckt hinter der Pay Online24 GmbH?

Ich wollte mich nicht einfach mit der Erkenntnis begnügen und googelte nach der „Pay Online24 GmbH“. Schnell wurde ich fündig. Bereits unter den ersten Treffern in der Google-Suche warnen einige Webseiten vor diesen Mails. Der Mail-Anhang enthält einen Trojaner und das Zip-Archiv sollte auf keinen Fall gespeichert oder geöffnet werden. Bei Mimikama fand ich weiter heraus, dass die Angreifer zum Beispiel auch unter den Namen GiroPay 24, Pay Bank GmbH oder aber Inkasso Mail & Media GmbH ihre dubiosen Mails versenden. Dreh- und Angelpunkt ist jedoch immer eBay als Plattform.

eBay Spam E-Mail

Stammen die Daten (von uns gepixelt) aus dem eBay-Hack?

Das reichte mir noch nicht an Informationen, also forschte ich auf eigene Faust weiter nach. Zunächst warf ich einen Blick in den Mail-Header und fand heraus, dass die Mail offenbar von einem russischen Server verschickt wurde. Darauf deutete zumindest die gefunden Domain „om-star.ru“ hin. Die Domain gehört einer Designagentur, mit Büroräumen in St. Petersburg und San Francisco. Ich fand aber noch eine zweite Domain: „raiskii-sad.ru“. Die Adresse führt mich zu einem Restaurant in die Großstadt Balaschicha, nur wenige Kilometer von Moskau entfernt. Beide Domains verweisen auf dieselbe IP-Adresse und liegen folglich auf demselben Server.

Nun gehe ich nicht davon aus, dass eine Designagentur oder ein gutes russisches Restaurant professionellen Mail-Spam versenden. Nein, es ist naheliegend, dass die Angreifer wahrscheinlich den Server gekapert haben, um von dort ihre gefährlichen E-Mails zu verschicken. Danach verläuft die Spur leider im Sand. Ob die Mail am Ende wirklich aus Russland kam, oder auch das nur vorgetäuscht wurde, bleibt offen.

Persönliche Daten stammen wahrscheinlich aus dem eBay-Hack

Kommen wir nochmal zu den persönlichen Daten in der Mail zurück. Woher haben die Angreifer diese Informationen? Wahrscheinlich aus einer ergaunerten Datenbank. Das kommt leider immer wieder vor – erst letzte Woche tauchten Zugangsdaten zu über 270 Millionen Mail-Accounts auf. Die meisten davon scheinen nach derzeitigen Angaben der betroffenen Mail-Provider aber inaktiv zu sein. Ich überlegte also, woher die Erpresser meine Daten haben könnten. Wenige Tage später brachte mich ein Beitrag bei heise Security auf die zündende Idee – der eBay-Hack vor zwei Jahren. Ja klar!

Ich hatte doch damals selbst darüber gebloggt. eBay hatte es versäumt, seine Nutzer vernünftig über den Datenklau zu informieren. In einer inszenierten PR-Mitteilung teilte eBay Inc. lediglich mit, welche Daten entwendet wurden und wie der Servereinbruch gelingen konnte. Alles sehr schwammig und intransparent. Wie viele Datensätze wurden gestohlen? Wie viele Nutzer sind betroffen? Waren die Kennwörter verschlüsselt und gesalzen? Keine Angaben.

Auch die jüngste Vergangenheit beweist, wie ernst es eBay mit der Sicherheit auf seiner Plattform nimmt. Das Auktionshaus sorgte mit Cross-Site-Scripting-Lücken (XSS) schon für so manche Schlagzeile. Mitunter werden diese Lücken gerne auch mal ein Jahr oder sogar länger ignoriert. Sicherheitsforscher Jaanus Kääp fand 2013 eine brisante XSS-Schwachstelle im Nachrichtensystem von eBay. Über die Sicherheitslücke könne eine Angreifer eine Session mitschneiden im schlimmsten Fall einen Account übernehmen. Ob das Schlupfloch mittlerweile geschlossen wurde, ist nicht bekannt. Das wirft definitiv kein gutes Licht auf eBay.

Aktuelle Masche: Amazon Konto-Sperrung

Neben eBay haben es Cyberkriminelle natürlich auch auf Amazon und andere Unternehmen abgesehen. Hauptsache erstmal Daten abgreifen und danach wiederverwenden. Dies zeigt auch die aktuelle Phishing-Welle mit gefakten Amazon.de-Mails. Der Betroffene wir auch hier meist mit Namen angesprochen. Die Betrüger teilen in der Nachricht mit, dass bei einer Sicherheitsprüfung verdächtige Aktivitäten festgestellt wurden und der Amazon-Account gesperrt bzw. deaktiviert wurde. Über einen Link, der selbstredend in der E-Mail enthalten ist, soll der Betroffene doch bitte die nötigen Schritte zur Reaktivierung seines Kontos durchführen. Die Mails sehen wirklich täuschend echt aus. Die persönliche Anrede bekräftigt dies zusätzlich.

Amazon Konto eingefroren Spam Mail

Auch gefälschte Amazon-Mails machen die Runde

Spam-Mails: Was du tun solltest

Solche Mails werden leider immer professioneller und sind somit schwerer zu identifizieren. Du kannst mit den nachfolgenden Sicherheitstipps trotzdem vorbeugen:

  • Führe regelmäßig Updates deines Betriebssystems, deiner Software und besonders deines Antivirenprogrammes durch.
  • Lies aufmerksam deine E-Mails. Achte auf den Absender, den Nachrichteninhalt, enthaltene Links und Dateianhänge. Kommt dir etwas spanisch vor, dann besser gleich löschen.
  • Gib niemals persönliche Daten wie Name, Adresse, Login-Daten etc., auf Webseiten ein, die über eine E-Mail verlinkt wurden oder unseriös scheinen. Besuche immer die Originalseite, dann bist du auf der sicheren Seite.

Solltest du Opfer eines Schadsoftware-Angriffs geworden sein, hilft nur eine Säuberung des Systems oder schlimmsten Falls die Neuinstallation des Computers. Bist du auf eine Phishing-Mail hereingefallen, hängt es von den übermittelten Daten ab. Bei Zugangsdaten solltest du diese schleunigst ändern und bei Kreditkartendaten etc. deine Karte unverzüglich sperren lassen.

Über den Autor

Markus Werner

Markus Werner ist Redakteur.

13 Kommentare

  • Da ich genau das in den letzten Wochen immer mehr aufregt, bin ich ja froh das es anderen auch so geht. Selbst wenn ich Amazon in den SPAM Ordner verbanne, kommt doch prompt wieder eine Mail in meinen Account. Ich dachte ich habe ein wirkliches technisches Verständnis und könnt mir alles was im Netz passiert erklären aber das ist selbst mir zu hoch. Es ist wirklich so verrückt, das ich mir auf Amazon etwas ansehe und prompt eine Werbemail mit genau diesem Artikel in meinem Postfach finde….

    Es Nervt..

  • Solche Mails sind mit einem geübten Auge eigentlich doch recht einfach zu identifizieren. Für unerfahrene User jedoch, schon eine ernst zu nehmende Bedrohung.

    • Desto professioneller die Spam-Mail, umso höher ist auch die Wahrscheinlichkeit in die Falle zu tappen. Egal ob unerfahrener User oder Power User, es kann im Grunde jeden treffen 😉

    • Naja, bin schon seit dem letzten Jahrtausend online. Würde mich definitiv nicht als Anfänger sehen.

      Aber durch den Diebstahl ganzer Datenbanken kann einem schon anders werden. Hatte neulich sogar mal eine SPAM Mail bekommen, die inkl. meiner Mobilfunknummer alle Daten hatten. Also wenn die jetzt mit all diesen Daten noch eine wirklich gut gemachte Mail verschicken, würden wohl sehr viel mehr Leute darauf reinfallen. Irgendwann wird man wohl selbst bei regulärer Mail nicht mehr reagieren.

  • Hallo Markus, sehr gut zusammengefasst. Ja , den ebay Spam mit Zahlungsdrohung habe ich auch erhalten. Ich weiss exakt, das die Diebe meine ebay Daten nutzen, da ich sie sonst nirgendwo verwendet habe. Von ebay 2014 geklaut ohne mein zutun. Um der Sache noch eins drauf zu setzen, kriege ich jetzt auch noch Arbeitsangebote vom Arbeitsamt mit den gestohlenen ebay Daten. Es wird immer schwieriger SPAM von echten Mails zu unterscheiden. Je mehr diese Kriminalität zunimmt, um so mehr ueberlege ich, Internet komplett abzuschalten oder zumindest nichts mehr online zu kaufen. Der neueste Clou ist aber die Abschaffung des Bargeldes – von Banklobbyisten forciert. Wie kann denn noch ein Mensch in Zukunft ehrlich, sicher und anstaendig Kaufen und Verkaufen, wenn im Internet-Zahlungsverkehr der Betrug exponentiell zunimmt? Ich glaube nicht an die sicheren Online-Bankverbindungen. Selbst nicht mir RSA token, wovon der normale Nutzer noch nicht mal profitiert. Quo vadis Internet…?

  • hallo Herr Werner,

    Amazon arbeitet seit einigen Jahren schon viel perfider.

    Das Internet ist systematisch mit Seiten von Astroturfern im Deckmantel des Ratgebers durchseucht, die alle nur dem Ziel dienen, Amazon als den alleinigen Hauptanbieter zum Nachteil aller anderen durchzusetzen.

    Es ist nicht mehr moeglich nach Waren zu googeln, ohne dass man im Topbereich auf Resultate stoesst, die schon in der URL mit „Test…“ oder „Ratgeber…“ aufwarten und die schlussendlich nur zu diesbez. Angeboten bei Amazon fuehren.

    es oist mittlerweilen voellig gleich was man bei Google an Ware eingibt, es finden sich alle Konsumartikel, Elektronik, Garten, Weisse Ware etc als eigene Webseitenratgeber abgedeckt die final auf Amazon verlinken.

    von A wie astsaege –> astsaegetest
    bis Z wie zerkleinerer —>Zerkleinerertest

    Beispiel Induktionsherd:

    Es taucht wie erwartet unter den ersten 10 Ergebnissen, eine Seite
    http://www.induktionsherd (oder mit einer anderen Domaine wie zb .org) auf, die angeblich unabhaengig und professionell wie bei Stiftung Warentest daherkommt, am Ende aber auch nur wieder rein auf Amazon verlinkt.

    s.a.

    http://www.expertentesten
    http://www.waschmaschinen-test
    http://www.waschmaschinen-tests
    http://www.kuehlschrank
    http://www.dkamera/testbericht/sony-alpha-7-ii/
    http://www.fernseher-test

    Verfolgt man den Ursprung der Domains, findet sich immer eine Art Internet-Marketing Gesellschaft mit Servern und Admin-C meist aus Uebersee (u.a Panama). Daher darf, bei all der Information die diese Seiten bisweilen auch haben, von einem von Amazon zumindest geduldeten Astroturfing ausgegangen werden, bei der Amazon dies eigentlich als Werbung kennzeichnen muesste. Dies ist bei bei Youtube selbst fuer Laien strafrechtlich zwingend, wenn sie denn fuer eine Firma werben.

    Dieser subtile Missbrauch einer schon beherrschenden Marktstellung behindert zudem eine fuer den Normalverbraucher unabhaengige Produktrecherche stark und sie ist wohl allein schon durch den dafuer notwendigen Kostenaufwand geeignet, weniger potente Anbieter langfristig vom Markt und zugunsten einer Monopolstellung zu verdraengen.

    Zumal Amazon zur Zeit noch nicht der einzigste und oft nicht einmal der guenstigste Anbieter ist.

    Bitte pruefen Sie meine Angaben nach und schreiben eventuell etwas gegen diese schleichende immer noch unbekannte Pest.

    Mit freundlichem Gruss

    • Moin Michael,

      nennt sich eigentlich nur Affiliate-Marketing und hat allerhöchstens was mit Amazon zutun, weil sie die Funktion des Partnernetzwerks anbieten (die wir übrigens auch nutzen).

      Amazon selbst ist für die Seiten aber nicht verantwortlich, das sind irgendwelche Affiliate-Spammer/Agenturen/etc. Macht es nicht besser, weil (wie du schreibst), dadurch vorgegaukelt wird, dass man objektive Tests findet, aber damit lässt sich halt ganz gut Geld verdienen, wenn man bei Google gut rankt.

      BTW: Wir verlinken übrigens nur Artikel, die wir auch wirklich ausführlich und objektiv getestet haben. Deswegen gibt es hier vergleichsweise wenige Affiliate-Links. 🙂

      Also: Mit Amazon hat das nichts zu tun. Diese sog. Nischenseiten gäbe es auch, würde ein anderer großer Händler ein so weit gestrecktes Partnernetzwerk anbieten. Einziger Kritikpunkt an Amazon: Dass Sie nicht härtere Regeln für diese Seiten aufstellen (wobei da im Hintergrund schon viel passiert inzwischen).

      VG,
      Tobias

      • P.S.: Ich habe alle Domainendungen aus deinem Kommentar entfernt. Wir wollen diesen Seiten ja nicht mehr Backlinks verschaffen als sie verdienen. 😉

  • Vielen Dank fuer die Antwort Herr Gillen,

    gleichwohl ich Herrn Werner angeschrieben hatte und auch das „Sie“ aufgrund seiner hoeheren kritischen Distanz, gerade in Geschaeft und mit Fremden bevorzuge.

    Ihre wiederholte Aussage „Mit Amazon hat das nichts zu tun“ ohne zumindest auf den Kernpunkt, „Wer bezahlt denn eigentlich die Kapelle?“ , einzugehen, ist meines Erachtens wenig zielfuehrend um nicht zu sagen derart unkritisch, dass hier zumindest ein gleichzeitig formulierter Ausschluss eines Interessenkonfliktes zu erwarten waere.

    Soviele Freiwillige die einstimmig und mit hoher wirtschaftlicher Eigenleistung die Musik von Amazon spielen, widersprechen der Alltagserfahrung und den Gesetzen der Wahrscheinlichkeit.

    Und auch die Historie zeigt, dass nach Monopol strebende Unternehmen sich meist subtiler und auch illegaler Methoden bedien(t)en.

    Ihre Unschuldsvermutung somit erst einmal an die letzte Stelle stehen, meines Erachtens schon alleine aus dem Grund, dass kritischer Journalismus primaer das sinistre weitesgehend auszuschliessen hat.
    So wie ein Mediziner, der bei gleicher Symptomatik, erst einmal den Krebs vor einer harmlosen Erkrankung vermuten sollte, da es umgekehrt katastrophale Auswirkungen haette.

    Alle von mir genannten Quellen belegen einen Anfangsverdacht der aktiven Vorteilnahme, der sich auch so exakt auch in allen „Unterquellen“ belegen laesst, d.h. bei den Quellen in der nur die Domainendungen wechseln.

    Amazon ist oft nicht der preisguenstigste Anbieter, wird ausschliesslich genannt und hat den alleinigen Benefit, selbst wenn sich nur 1:100 oder in wohl noch wesentlich geringerer Ratio entscheiden den Button anzuklicken, da einfach viel zu viele ihrer Astroturfer-Seiten existieren.

    Und das ein Interessenkonflikt besteht moegen Sie selbst einmal ausprobieren: Fragen Sie nur bei einer einzigen der genannten Quellen nach, warum denn nur Amazon oder schlagen gar unter Quellenangabe vor, einen wesentlich preiswerten Fremdanbieter aufzunehmen.

    Sie erhalten NIE eine Antwort.

    „It is difficult to get a man to understand something
    when his salary depends on his not understanding it.“
    Upton Sinclair (The Jungle, 1906)

  • Hallo Michael,

    du greifst nun aber tief in die Verschwörungstheorie-Kiste, nicht? 😉

    „Soviele Freiwillige die einstimmig und mit hoher wirtschaftlicher Eigenleistung die Musik von Amazon spielen, widersprechen der Alltagserfahrung und den Gesetzen der Wahrscheinlichkeit.“

    – Die „Freiwilligen“ spielen diese Musik, weil sie damit Cash machen – über das Partnernetzwerk. Und nicht weil sie von Amazon dafür bezahlt werden.

    „Und auch die Historie zeigt, dass nach Monopol strebende Unternehmen sich meist subtiler und auch illegaler Methoden bedien(t)en.“

    – Das mag sein – ist aber zumindest im Bezug auf die Nischenseiten Quatsch.

    „Ihre Unschuldsvermutung somit erst einmal an die letzte Stelle stehen, meines Erachtens schon alleine aus dem Grund, dass kritischer Journalismus primaer das sinistre weitesgehend auszuschliessen hat. So wie ein Mediziner, der bei gleicher Symptomatik, erst einmal den Krebs vor einer harmlosen Erkrankung vermuten sollte, da es umgekehrt katastrophale Auswirkungen haette.“

    – Erst einmal Fallhöhe aufbauen, sehr gut! 😉 Man ist nicht immer gleich unkritisch, nur weil man Verschwörungstheorien durch seine Berufserfahrung widerlegen kann.

    „Alle von mir genannten Quellen belegen einen Anfangsverdacht der aktiven Vorteilnahme, der sich auch so exakt auch in allen „Unterquellen“ belegen laesst, d.h. bei den Quellen in der nur die Domainendungen wechseln.“

    – Nein, das tun sie nicht. Sie belegen, dass es einen Haufen SEO- und Affiliate-optimierter Nischenseiten gibt, die schon seit mehreren Jahren im Umlauf sind. Sie belegen das, was jeder weiß, der mal eine Google-Suche angeworfen hat (oder Teilnehmer im Partnerprogramm ist – übrigens gibt es das nicht nur von Amazon. So gut wie jedes Unternehmen hat heutzutage eins).

    „Amazon ist oft nicht der preisguenstigste Anbieter, wird ausschliesslich genannt und hat den alleinigen Benefit, selbst wenn sich nur 1:100 oder in wohl noch wesentlich geringerer Ratio entscheiden den Button anzuklicken, da einfach viel zu viele ihrer Astroturfer-Seiten existieren.“

    – Exakt. Aber nicht, weil Amazon die Seiten (versteckt) betreibt, sondern weil Amazon pro abgeschlossener Transaktion Geld an die Betreiber dieser Seiten ausschüttet (zwischen 5 und 10 Prozent). Wie gesagt: So, wie fast jedes andere E-Commerce-Unternehmen das heute tut. Warum die Nischenseiten so stark auf Amazon fokussiert sind? Weil Amazon ein Mega-Player ist, der fast alles, was man auf Nischenseiten vorstellen kann, anbietet.

    „Und das ein Interessenkonflikt besteht moegen Sie selbst einmal ausprobieren: Fragen Sie nur bei einer einzigen der genannten Quellen nach, warum denn nur Amazon oder schlagen gar unter Quellenangabe vor, einen wesentlich preiswerten Fremdanbieter aufzunehmen. Sie erhalten NIE eine Antwort.“

    – Natürlich nicht. Weil das deren Geschäft ist. Diese Seiten haben nicht den Zweck, Sie umfassend zu informieren, diese Seiten wollen Geld verdienen (siehe oben).

    Liebe Grüße
    Tobias

    P.S.: Bei uns wird geduzt – das darfst du aber gerne halten wie du magst. 🙂