Amazon: Dubiose Mails fordern zur Installation eines Zertifikates auf

3. Februar 2016 Kategorie: Backup & Security, Internet, geschrieben von: caschy

artikel_amazonAufgepasst – momentan gibt es wieder eine dubiose Geschichte in Sachen Amazon. Vermehrt melden sich Leser, die über eine „Amazon-Mail“ an die Mailadresse ihres Amazon-Kontos zur Installation eines Sicherheitszertifikates überredet werden sollen. Wird wahrscheinlich bei vielen gleich die Alarmglocken schrillen lassen. Rechnung.exe und Co sind seit Jahren ein Problem und man denkt, dass die Nutzer sensibilisiert sind.

amazon

„Da wir in letzter Zeit leider vermehrt unbefugten Bestellungen nachgehen mussten, haben wir ein neues Sicherheitsupdate für Kunden mit mobilen Endgeräten entwickelt.“ – heißt es in der Mail. Ja ne ist klar – und dann wird dann noch mit Absicherung und Haftung bei Missbrauch geworben. Klingt ja gut. Problem ist halt – der Spaß ist eine APK, die offenbar noch keiner genau untersucht hat. Eigentlich ist es so, dass die Installation von APK-Dateien ja eh gesperrt ist – dennoch könnten gerade Amazon-Kunden darauf hereinfallen, da diesen unter Umständen ja die Installation einer APK-Datei nicht fremd ist. Warum? Aufgrund des Amazon App Shops. Sideloading Hurra!

amazon phishing

Wie erwähnt: Methoden wie diese oder ähnliche sind nicht neu und ihr seid sicher sensibilisiert für so etwas. Aber ihr seid auch die Person, die gefragt wird, „weil wieder komische Mails gekommen sind“ – und ob diese echt sind. Und falls ihr diesen Fall noch nicht kennt, dann wisst ihr nun Bescheid.



Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22143 Artikel geschrieben.

10 Kommentare

NickS 3. Februar 2016 um 19:04 Uhr

Oh Mann, die werden echt immer „besser“. Mittlerweile meistens sogar mit korrekter Anrede und teilweise tadellosem Deutsch. Zum Kot*en sowas …

ElPresidente 3. Februar 2016 um 19:15 Uhr

Eine .exe-Datei. Da fall ich als OS X und Ubuntu Nutzer nicht rein. 😉

Timo 3. Februar 2016 um 19:21 Uhr

Sehr geehrte/Sehr geehrter… Ist nicht gerade eine korrekte Anrede. Amazon sollte schon wissen, ob man Männlein oder Weiblein ist 🙂

Oliver 3. Februar 2016 um 19:24 Uhr

Einfach mal Gesetz werden lassen, dass die Mails von Anbietern wie Amazon, PayPal und Co ein Digitales Zertifikat mitbringen. Dann weiß jeder ganz schnell was echt und was Fälschung ist!
Aber bei uns im tiefsten IT-Mittelalter utopisch zu verlangen. Nur wenns wieder knallt, können alle „Ahnungslosen“ rumheulen. Leider gibt es davon mehr als wir brauchen.

Jan 3. Februar 2016 um 19:37 Uhr

Oliver, das bringt nur leider nichts wenn 1% der Nutzer die Signatur checken. Die, die wissen was eine Signatur ist, werden sich eh nicht übers Ohr hauen lassen, die anderen eben dann doch.

Timo 3. Februar 2016 um 20:17 Uhr

@Jan: Sehe ich auch so. Die Masse wird dann eine Signaturmeldung einfach weg klicken und nicht beachten und wenn eine fehlt, wird das kaum jemand auffalen. Zumal dann erst mal irgendwo geprüft werden müssen könnte, ob die Signatur überhaupt echt ist.

Kim 3. Februar 2016 um 21:51 Uhr

Die werden echt immer dreister!
-_-

Kalle 3. Februar 2016 um 22:17 Uhr

Ist trotzdem ne gute Idee. Stell dir mal vor Email-Clients würden bei Spam und Phishing dicht machen und eine Warnmeldung ala Safe Browsing ausspucken. Es ist viel zu einfach eine andere Absender-Adresse in den Mail-Header zu schreiben und dem Clienten vorzugaukeln, der Absender wäre von hallo@sparkasse.de, obwohl sie aus ner russischen Spam-Farm kommt. Das ist einfach lächerlich.

Email ist reif für echte Innovationen. Ein Digitales Zertifikat wäre mal ein Anfang. Um die könnten sich die gleichen Stelen kümmern die jetzt Certs für Webseiten ausgeben.
Aber nein, stattdessen gibt es Cloud-basierte Apps mit zweifelhaften Zusatzfunktionen bei denen man bescheuert genug sein muss, sein Passwort einem Dritten zu geben, damit der es dann auf seinem Server ablegen kann (Airmail, Spark, Mailbox, etc).

Kay 4. Februar 2016 um 12:31 Uhr

Solche Fakemails lassen sich doch ganz einfach identifizieren, wenn man sich den Mail-Header anguckt…

Kalle 4. Februar 2016 um 16:46 Uhr

@Kay
Die Leute die das leicht identifizieren können befinden sich in der Minderheit. Hier mal ein Beispiel das ich auf die Schnelle bei Google gefunden habe: https://www.askdavetaylor.com/4-blog-pics/yahoo-mail-full-headers-spam.jpg
Erklär jetzt mal einem normalen Nutzer ohne Tech-Hintergrund wonach er suchen soll.


Es kann bis zu 5 Minuten dauern, bis dein Kommentar erscheint.



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.