Viren, Spyware, Datenschutz 11.254 Themen, 94.795 Beiträge

Verfolgung starten Optionen

Achtung: Amazon-Phishing-Mail

Manfredtiel / 7 Antworten / Baumansicht Nickles

Hallo, habe heute folgende Phishing-Mail bekommen
von info@amazon.com:

-----------------------------------------------------------------------------------------
Sehr geehrte Damen und Herren,

leider müssen wir Ihnen mitteilen, dass unbekannte auf Ihr
Mitgliedskonto Zugriff erlangen konnten.
Die Bestellungen die von Ihrem Mitgliedskonto an eine neue Adresse:


Marvin Klein
Ludwig-Beckstraße 58
37423 Göttingen


getätigt wurde, haben wir soeben storniert.
Wir fordern Sie daher auf, Ihr Kundenkonto so schnell wie möglich zu kontrollieren
und weitere Fehler dem Amazon Kunden-Support zu melden.
Rufen Sie dazu bitte folgenden Link in Ihrem Browser auf und folgen Sie den
Anweisungen:


Hier Klicken
...............................(Hier folgt ein Link- habe ich nicht abgedruckt).........................

Wir entschuldigen uns für dadurch entstandene Unannehmlichkeiten und Bitten Sie
um Verständniß!

Ihr Service Team

----------------------------------------------------------------------------------------------------------

Utrace sagt (www.utrace.de):
Email kommt aus deutschland in der Nähe von Siegen (Frankfurt):176.9.10.44
Der Provider ist eine Hetzner Online AG
Sehr vermutlich ein Zombie-PC im Botnetz

bei Antwort benachrichtigen
groggyman Manfredtiel „Achtung: Amazon-Phishing-Mail“
Optionen

Hallo

Amazon direkt aufrufen und einen Blick in " Mein Konto, Meine Bestellungen " und schon weis man, was von der Mail zu halten ist.

Man sollte diese Schmarotzer alle an der nächsten Laterne aufhängen :-))


Gruß

-groggyman-

bei Antwort benachrichtigen
gelöscht_137978 Manfredtiel „Achtung: Amazon-Phishing-Mail“
Optionen

moin

man kann solche Phisching Mails ignorieren und löschen, wenn man die schnelle Weise liebt.
Alternativ, wenn man sich für das Thema interessiert, so wie es bei dir scheint, dann kann man schauen, woher eine Mail kommt.
Kommt diese aus DE laut Header, kann man die Abuse Abteilung des Anbieters mit einer Mail beehren und ihm sagen, das man sein Netz im Auge hat und auch Meldung an den Verbraucherschutz bzw. Bundesnetzagentur macht.

Das lohnt aber nur, wenn es sich um tatsächliche Emails aus DE von bekannten Anbietern handelt. Wenn dabei allerdings was mit Aquaxxxx und dem Kurzzeichen CK auftaucht, Finger weg.
Der Schuß geht nach hinten los.

Ich hab mir mal die IP angeschaut und komme zu dem Schluß, es handelt sich nicht um ein Zombie, sondern direkt um einen Seite bei Hetzner basierend auf einem Linux Debian System.

Eine Meldung wäre hier sogar angebracht, da hier Hetzner für das versuchte Phishing missbraucht und auch später verantwortlich ist.

Wie gesagt, macht nur Sinn, wenn man die Zeit investieren und die Internetwelt etwas sicherer machen möchte.

bei Antwort benachrichtigen
unhold06 Manfredtiel „Achtung: Amazon-Phishing-Mail“
Optionen

Da waren ware Stümper am Werk.
Die angegebene PLZ ist nicht Göttingen, sondern Bad Lauterberg im Harz.

Dennoch, ein Versuch war es alle mal Wert, wer's nicht merkt.


unhold06

Die Welt k?nnte so sch?n sein. G?be es nicht Hass, Neid und die unendliche Dummheit der Menschen.
bei Antwort benachrichtigen
Manfredtiel unhold06 „Da waren ware Stümper am Werk. Die angegebene PLZ ist nicht ...“
Optionen

Ganoven EDE:

Ich hab mir mal die IP angeschaut und komme zu dem Schluß, es handelt sich nicht um ein Zombie, sondern direkt um einen Seite bei Hetzner basierend auf einem Linux Debian System
-----------------------------
?wie kommst du darauf?

bei Antwort benachrichtigen
gelöscht_137978 Manfredtiel „Ganoven EDE: Ich hab mir mal die IP angeschaut und komme zu ...“
Optionen

imho einfach

nutze mal folgende 2 Tools mit der IP 176.9.10.44

http://centralops.net/co/DomainDossier.aspx

(alle 5 Testmodis einschalten)

und

http://www.yougetsignal.com/tools/web-sites-on-web-server/

Nachtrag > Der Link kann einen Bann hervorrufen, wenn man ihn von hier aufruft. Dann halt Link kopieren und in neuem Tab einfügen!

beim ersten Test wird die IP direkt angesprochen und geschaut, was da passiert und welche Dienste reagieren.

Es wird ein Debiansystem zurückgemeldet, was bei einem gemieteten Server auch logisch erscheint.

Im zweiten Test wird geschaut, was alles auf der IP lauft. In dem Ergebniss laufen mehrere Seiten unabhängig voneinander auf der gleichen IP.

Daraus schliese ich, das die von dir genannte IP kein Zombie ist, sondern die eine Seite, die bei Hetzner gehostet wird.

Da die Seite under construction ist, kann man auch vermuten, das diese Seite nur scheinbar in Betrieb gehen soll (sie existiert ja schon seit Jahren laut whois).

Das sind die Schlüsse, die ich daraus schliese und würde der abuse Abteilung von Hetzner eine Mail schicken, da ich sowas bekämpfe.

Kannst du die in der Mail genannten Adresse mal posten? Vorne verfälscht. Ist auch manchmal interessant, wer der Begünstigte ist, also wohin die Reise geht ;)

bei Antwort benachrichtigen
Manfredtiel gelöscht_137978 „imho einfach nutze mal folgende 2 Tools mit der IP ...“
Optionen

Ich habe die Email schon gelöscht.
Es reicht schon ein Besuch aus, um sich einen Trojaner einzufangen. Auf jeden Fall enthält die Adresse Amazon.com. Aber das kann man ja fälschen.

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „Ich habe die Email schon gelöscht. Es reicht schon ein ...“
Optionen

Habe eine email an Hetzner geschrieben und sie gewarnt.

bei Antwort benachrichtigen