Amazon Phishing-Mail

Analyse einer Phishing-Mail vom 18.12.2017

Original Phishing Mail im HTML-Code:

Kommentierte Phishing Mail im HTML-Code:

Quell-Code:

(blau:Mail-Header; grün:Rein-Text; rot:HTML-Code)
Amazon Kundenservice _ Aktualisierung ihres Kontos erforderlich

Quell-Code in eine lesbare Version bearbeitet:

(gelb: Unstimmingkeiten/Beinflussung; rot:gefährlich; grün: Aufforderung einer Aktion;)
Amazon Phishing-Mail aufgeschlüsselt und vereinfacht

***********************************************************************

Was passiert, wenn man den Link versehentlich anklickt?

Man bekommt einen Warnhinweis von Bit.ly. Hier müsste man schon merken, dass mit dem Link etwas nicht stimmt.

Aber es gibt durchaus Kandidaten, die alle Sicherheitshinweise entweder ignorieren, oder alle Sicherheitseinstellungen des Browsers auf null stellen.

Man wird dann auf die folgende Webseite https://de(dot)gateway(dot)de(dot)am-prime(dot)win weitergeleitet.

Bei vorhandenden Sicherheitseinstellungen bekommt man folgende Warnmeldung:

Ab hier sollten alle Warnsignale schrillen. Denn diese Seite hat nun wirklich nichts mehr mit Amazon zu tun!!

Hier kommt noch ein WHOIS der oben genannten Domäne, damit man weiß, wer der Inhaber der Domäne vom am-prime(dot)win ist und wo die Domäne registriert ist, nämlich in Panama.

Auszug aus Whois am-prime

*****************************************************************

Es geht noch weiter: Die IP-Adresse von https://de(dot)gateway(dot)de(dot)am-prime(dot)win ist 190.14.38.88.

Ein „WHOIS by IP“ ergibt folgendes:

(über https://whois.arin.net/ und über https://rdap.lacnic.net/rdap-web/home)

Ab hier wird es dann langsam schwierig, zumal die original IP durch Cloudflare auch noch verschleiert sein kann.

Hier kommt noch eine Info zur IP 190.14.38.88, nämlich ein „Whois by IP“ von https://rdpguard.com/free-whois.aspx:

rdp-guard_190-14-38-88