Sicherheit

E-Mail-Spam von „Amazon“ oder „eBay“ wird immer perfider und professioneller

E-Mail Spam Mails Amazon eBay
geschrieben von Markus Werner

Fast jeder bekommt täglich neben wichtigen Mails leider auch Spam in seine Inbox gespült. Darunter sind häufig Nachrichten, die gefährliche Anhänge, wie etwa Trojaner, oder Phishing-Links enthalten können. Betrüger lassen ihre Mails immer professioneller aussehen. Sie jagen ihren Opfern ganz gezielt Angst ein und versuchen sie so zum verhängnisvollen Klick zu bewegen.

Laut einem aktuellen Bericht von Kaspersky Labs wurden im vergangenen Jahr 19 Prozent aller schädlichen E-Mails allein an deutsche Nutzer adressiert. Deutschland ist inzwischen auch ein beliebtes Ziel für Ransomware-Angriffe geworden, wie die rasche Verbreitung des Kryptotrojaners Locky in den letzten Monaten zeigt. Verschlüsselungstrojaner schlagen mittlerweile auch deutlich aggressiver zu. Mail-Spam ist sehr vielseitig und die Versender lassen sich immer wieder etwas Neues einfallen, um ihre Opfer zu erpressen, Daten abzugreifen oder ihnen Schadsoftware unterzujubeln. Die Mails wirken immer echter und der Betroffene kann kaum noch unterscheiden.

Angeblich eBay-Rechnung nicht bezahlt?

Vor knapp zwei Wochen habe ich am Dienstagmorgen eine E-Mail der etwas anderen Art erhalten. Nichtsahnend checkte ich wie jeden Früh meine Mails. Darunter war auch eine Nachricht von einem gewissen Hannes Hut, der bei eBay als Sachbearbeiter für offene Rechnungen zuständig ist. Aber lest am besten selbst:

Von: Sachbearbeiter Pay Online24 GmbH <info@ebay.de>
Betreff: Rechnung für Markus Werner vom 26.04.2016
Datum: 26.04.2016 04:09
An: Markus Werner <xxxxx@gfx-stylez.com>
Anhänge: Markus Werner Sachbearbeiter Pay Online24 GmbH 26.04.2016.zip (424,1 K)

Sehr geehrte/r Markus Werner,

bedauerlicherweise mussten wir gerade feststellen, dass unsere Zahlungsaufforderung Nr. 151227427 bislang erfolglos blieb. Jetzt bieten wir Ihnen hiermit letztmalig die Chance, den ausstehenden Betrag unseren Mandanten Pay Online24 GmbH zu begleichen.

Gespeicherte Vertragsdaten:

Markus Werner
XXXXXXXXXX
XXXXX Leipzig

Tel. XXXXXXXX

Aufgrund des andauernden Zahlungsausstands sind Sie verpflichtet außerdem, die durch unsere Inanspruchnahme entstandene Kosten von 91,93 Euro zu tragen. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 25.04.2016.

Die detaillierte Forderungsausstellung NR. 151227427, der Sie alle Positionen entnehmen können, fügen wir bei.

Wir erwarten die Überweisung einbegriffen der Mahnkosten bis spätestens 29.04.2016 auf unser Girokonto. Können wird bis zum genannten Datum keine Überweisung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen müssen.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Mit verbindlichen Grüßen

Sachbearbeiter Hannes Hut

Zip-Archiv im Anhang

Im ersten Moment staunte ich nicht schlecht. Augenscheinlich hatte ich also bei eBay eine Rechnung noch nicht beglichen? Interessant, denn meinen eBay-Account habe ich vor knapp zwei Jahren eingemottet, nachdem eBay gehackt wurde. Also konnte diese Mail so definitiv nicht stimmen. Da war ich mir zu dem Zeitpunkt schon ziemlich sicher.

Demnach lag es auf der Hand, dass diese E-Mail verseucht sein muss. Interessant fand ich außerdem: In der Nachricht werde ich persönlich angesprochen und meine Anschrift und Telefonnummer genannt. Die Nummer ist allerdings veraltet, genauso wie meine E-Mail-Adresse. Die Mail enthält natürlich auch ein Zip-Archiv im Anhang. Die Betrüger versuchen mit dem Nachrichteninhalt ihr Opfer auf perfide Art und Weise zu ängstigen – mit Erfolg. Zudem weist die Mail kaum gravierende sprachliche Fehler auf. Folglich hätte diese Nachricht sogar echt sein können. Gewisse Restzweifel bleiben bestehen. Ich habe es genauso schon erlebt, dass eine unseriös wirkende E-Mail sich am Ende doch als echt entpuppte. Das erschwert die Erkennung zusätzlich.

Wer steckt hinter der Pay Online24 GmbH?

Ich wollte mich nicht einfach mit der Erkenntnis begnügen und googelte nach der „Pay Online24 GmbH“. Schnell wurde ich fündig. Bereits unter den ersten Treffern in der Google-Suche warnen einige Webseiten vor diesen Mails. Der Mail-Anhang enthält einen Trojaner und das Zip-Archiv sollte auf keinen Fall gespeichert oder geöffnet werden. Bei Mimikama fand ich weiter heraus, dass die Angreifer zum Beispiel auch unter den Namen GiroPay 24, Pay Bank GmbH oder aber Inkasso Mail & Media GmbH ihre dubiosen Mails versenden. Dreh- und Angelpunkt ist jedoch immer eBay als Plattform.

eBay Spam E-Mail

Stammen die Daten (von uns gepixelt) aus dem eBay-Hack?

Das reichte mir noch nicht an Informationen, also forschte ich auf eigene Faust weiter nach. Zunächst warf ich einen Blick in den Mail-Header und fand heraus, dass die Mail offenbar von einem russischen Server verschickt wurde. Darauf deutete zumindest die gefunden Domain „om-star.ru“ hin. Die Domain gehört einer Designagentur, mit Büroräumen in St. Petersburg und San Francisco. Ich fand aber noch eine zweite Domain: „raiskii-sad.ru“. Die Adresse führt mich zu einem Restaurant in die Großstadt Balaschicha, nur wenige Kilometer von Moskau entfernt. Beide Domains verweisen auf dieselbe IP-Adresse und liegen folglich auf demselben Server.

Nun gehe ich nicht davon aus, dass eine Designagentur oder ein gutes russisches Restaurant professionellen Mail-Spam versenden. Nein, es ist naheliegend, dass die Angreifer wahrscheinlich den Server gekapert haben, um von dort ihre gefährlichen E-Mails zu verschicken. Danach verläuft die Spur leider im Sand. Ob die Mail am Ende wirklich aus Russland kam, oder auch das nur vorgetäuscht wurde, bleibt offen.

Persönliche Daten stammen wahrscheinlich aus dem eBay-Hack

Kommen wir nochmal zu den persönlichen Daten in der Mail zurück. Woher haben die Angreifer diese Informationen? Wahrscheinlich aus einer ergaunerten Datenbank. Das kommt leider immer wieder vor – erst letzte Woche tauchten Zugangsdaten zu über 270 Millionen Mail-Accounts auf. Die meisten davon scheinen nach derzeitigen Angaben der betroffenen Mail-Provider aber inaktiv zu sein. Ich überlegte also, woher die Erpresser meine Daten haben könnten. Wenige Tage später brachte mich ein Beitrag bei heise Security auf die zündende Idee – der eBay-Hack vor zwei Jahren. Ja klar!

Ich hatte doch damals selbst darüber gebloggt. eBay hatte es versäumt, seine Nutzer vernünftig über den Datenklau zu informieren. In einer inszenierten PR-Mitteilung teilte eBay Inc. lediglich mit, welche Daten entwendet wurden und wie der Servereinbruch gelingen konnte. Alles sehr schwammig und intransparent. Wie viele Datensätze wurden gestohlen? Wie viele Nutzer sind betroffen? Waren die Kennwörter verschlüsselt und gesalzen? Keine Angaben.

Auch die jüngste Vergangenheit beweist, wie ernst es eBay mit der Sicherheit auf seiner Plattform nimmt. Das Auktionshaus sorgte mit Cross-Site-Scripting-Lücken (XSS) schon für so manche Schlagzeile. Mitunter werden diese Lücken gerne auch mal ein Jahr oder sogar länger ignoriert. Sicherheitsforscher Jaanus Kääp fand 2013 eine brisante XSS-Schwachstelle im Nachrichtensystem von eBay. Über die Sicherheitslücke könne eine Angreifer eine Session mitschneiden im schlimmsten Fall einen Account übernehmen. Ob das Schlupfloch mittlerweile geschlossen wurde, ist nicht bekannt. Das wirft definitiv kein gutes Licht auf eBay.

Aktuelle Masche: Amazon Konto-Sperrung

Neben eBay haben es Cyberkriminelle natürlich auch auf Amazon und andere Unternehmen abgesehen. Hauptsache erstmal Daten abgreifen und danach wiederverwenden. Dies zeigt auch die aktuelle Phishing-Welle mit gefakten Amazon.de-Mails. Der Betroffene wir auch hier meist mit Namen angesprochen. Die Betrüger teilen in der Nachricht mit, dass bei einer Sicherheitsprüfung verdächtige Aktivitäten festgestellt wurden und der Amazon-Account gesperrt bzw. deaktiviert wurde. Über einen Link, der selbstredend in der E-Mail enthalten ist, soll der Betroffene doch bitte die nötigen Schritte zur Reaktivierung seines Kontos durchführen. Die Mails sehen wirklich täuschend echt aus. Die persönliche Anrede bekräftigt dies zusätzlich.

Amazon Konto eingefroren Spam Mail

Auch gefälschte Amazon-Mails machen die Runde

Spam-Mails: Was du tun solltest

Solche Mails werden leider immer professioneller und sind somit schwerer zu identifizieren. Du kannst mit den nachfolgenden Sicherheitstipps trotzdem vorbeugen:

  • Führe regelmäßig Updates deines Betriebssystems, deiner Software und besonders deines Antivirenprogrammes durch.
  • Lies aufmerksam deine E-Mails. Achte auf den Absender, den Nachrichteninhalt, enthaltene Links und Dateianhänge. Kommt dir etwas spanisch vor, dann besser gleich löschen.
  • Gib niemals persönliche Daten wie Name, Adresse, Login-Daten etc., auf Webseiten ein, die über eine E-Mail verlinkt wurden oder unseriös scheinen. Besuche immer die Originalseite, dann bist du auf der sicheren Seite.

Solltest du Opfer eines Schadsoftware-Angriffs geworden sein, hilft nur eine Säuberung des Systems oder schlimmsten Falls die Neuinstallation des Computers. Bist du auf eine Phishing-Mail hereingefallen, hängt es von den übermittelten Daten ab. Bei Zugangsdaten solltest du diese schleunigst ändern und bei Kreditkartendaten etc. deine Karte unverzüglich sperren lassen.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Markus Werner

Markus Werner (reraiseace) ist angehender Journalist und Fernstudent am Deutschen Journalistenkolleg. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und seinen eigenen Blog reraise.eu über Android, IT Security, Netzpolitik und Webdesign.

8 Kommentare

  • Da ich genau das in den letzten Wochen immer mehr aufregt, bin ich ja froh das es anderen auch so geht. Selbst wenn ich Amazon in den SPAM Ordner verbanne, kommt doch prompt wieder eine Mail in meinen Account. Ich dachte ich habe ein wirkliches technisches Verständnis und könnt mir alles was im Netz passiert erklären aber das ist selbst mir zu hoch. Es ist wirklich so verrückt, das ich mir auf Amazon etwas ansehe und prompt eine Werbemail mit genau diesem Artikel in meinem Postfach finde….

    Es Nervt..

  • Solche Mails sind mit einem geübten Auge eigentlich doch recht einfach zu identifizieren. Für unerfahrene User jedoch, schon eine ernst zu nehmende Bedrohung.

    • Desto professioneller die Spam-Mail, umso höher ist auch die Wahrscheinlichkeit in die Falle zu tappen. Egal ob unerfahrener User oder Power User, es kann im Grunde jeden treffen 😉

    • Naja, bin schon seit dem letzten Jahrtausend online. Würde mich definitiv nicht als Anfänger sehen.

      Aber durch den Diebstahl ganzer Datenbanken kann einem schon anders werden. Hatte neulich sogar mal eine SPAM Mail bekommen, die inkl. meiner Mobilfunknummer alle Daten hatten. Also wenn die jetzt mit all diesen Daten noch eine wirklich gut gemachte Mail verschicken, würden wohl sehr viel mehr Leute darauf reinfallen. Irgendwann wird man wohl selbst bei regulärer Mail nicht mehr reagieren.

  • Hallo Markus, sehr gut zusammengefasst. Ja , den ebay Spam mit Zahlungsdrohung habe ich auch erhalten. Ich weiss exakt, das die Diebe meine ebay Daten nutzen, da ich sie sonst nirgendwo verwendet habe. Von ebay 2014 geklaut ohne mein zutun. Um der Sache noch eins drauf zu setzen, kriege ich jetzt auch noch Arbeitsangebote vom Arbeitsamt mit den gestohlenen ebay Daten. Es wird immer schwieriger SPAM von echten Mails zu unterscheiden. Je mehr diese Kriminalität zunimmt, um so mehr ueberlege ich, Internet komplett abzuschalten oder zumindest nichts mehr online zu kaufen. Der neueste Clou ist aber die Abschaffung des Bargeldes – von Banklobbyisten forciert. Wie kann denn noch ein Mensch in Zukunft ehrlich, sicher und anstaendig Kaufen und Verkaufen, wenn im Internet-Zahlungsverkehr der Betrug exponentiell zunimmt? Ich glaube nicht an die sicheren Online-Bankverbindungen. Selbst nicht mir RSA token, wovon der normale Nutzer noch nicht mal profitiert. Quo vadis Internet…?

Kommentieren