Amazon Phishingmails im Umlauf

Phisingmail für AmazondiensteZugegeben, diese Phishingmail ist eine der besten, die mir je unter gekommen ist. Bis auf zwei Fehler bei der Rechtschreibung „einkäufe“ statt „Einkäufe“ und am Satzanfang schreibt man alles groß Ihr Nasen, war der Text fehlerfrei. Schade für Euch Jungs, aber dafür gibt es keinen Preis. Viel Glück beim nächsten mal.

Der Link

Die URL in dem Link der Email geht dann natürlich auch nicht zu Amazon, sondern zu htttp://bit.ly/suchenkontoid***** ( damit da keiner draufdrückt, nicht als Link und unvollständig ). Nach drei Umleitungen von URL Shortdiensten, landet man dann bei dem Monster hier :

htttp://www.amazon.de.kontouberprufen.sicherheitsdaten.suchenkontoid.ml/safe/confirm/identity/

Die eigentliche Domain ist „suchenkontoid.ml“ , aber der Witz ist, daß eine von den Zwischenumleitungen tatsächlich bei Amazon gehostet ist 😀

$ curl -i http://bit.do/dV8gY
HTTP/1.1 301 Moved Permanently
Date: Mon, 11 Dec 2017 11:23:41 GMT
Server: Apache/2.2.34 (Amazon)

Natürlich haben wir die Registry gebeten, die Domain vom Netz zu nehmen. Aber da muß jemand schneller gewesen sein, denn die routet jetzt zu SEDO, als wenn den Müll jemand kaufen würde 😀

Location: http://sedoparking.com/www.amazon.de.kontouberprufen.sicherheitsdaten.suchenkontoid.ml

Die Emailheaderanalyse

Natürlich als erstes der Absender : <sicherheit@amаzоn.dе>  ja! Genau ! Ins Schwarze .. Was ist das ??? 😀

Und natürlich taucht auch nirgends das Wort amazon auf, wie man das von einer Email, die von Amazon über Amazon gemailt wird, erwarten würde 😀 Die spammende Domain habe ich mal markiert :

Return-path: <www-data@valigaher.ga>
Delivery-date: Mon, 11 Dec 2017 05:58:40 +0100
Received: from mout-xforward.web.de ([82.165.159.45])
	by XXXXXXXXXXXXXXXXXXXXXXXXX with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
	(Exim 4.87)
	(envelope-from <www-data@valigaher.ga>)
	id 1eOGAm-0007Bt-7m
	for XXXXXXXXXXXXX; Mon, 11 Dec 2017 05:58:40 +0100
Received: from [212.227.17.8] ([212.227.17.8]) by mx-ha.web.de (mxweb112
 [212.227.17.8]) with ESMTPS (Nemesis) id 1M9Gnd-1eRH6j47wF-006MDM for
 <XXXXXXXXXXX> ; Mon, 11 Dec 2017 05:58:35 +0100
Received: from valigaher.ga ([212.24.99.45]) by mx-ha.web.de (mxweb112
 [212.227.17.8]) with ESMTPS (Nemesis) id 1MP0X0-1eh1TK3wlg-00PO6Z for
 <XXXXXXXXXXXXXXX>; Mon, 11 Dec 2017 05:58:34 +0100
Received: from valigaher.ga (localhost.localdomain [127.0.0.1])
	by valigaher.ga (8.14.4/8.14.4/Debian-4+deb7u1) with ESMTP id vBB4wY2P031333
	for <XXXXX>; Mon, 11 Dec 2017 06:58:34 +0200
Received: (from www-data@localhost)
	by valigaher.ga (8.14.4/8.14.4/Submit) id vBB4wYUn031331;
	Mon, 11 Dec 2017 06:58:34 +0200
Date: Mon, 11 Dec 2017 06:58:34 +0200
Message-Id: <201712110458.vBB4wYUn031331@valigaher.ga>
To: XXXXXXXXXXXX
X-PHP-Originating-Script: 0:ind.php
From: =?UTF-8?B?QW3Nj2HNj3rNj2/Nj24uzY9kzY9l?= <sicherheit@amаzоn.dе>
MIME-Version: 1.0;

Nicht mal jwhois weiß, was .GA für eine TLD sein könnte 😀 Nicht mal die whois.ga funktioniert richtig, behauptet aber es gäbe nur 911 Domains für .ga .. Woran das wohl liegt 😀