Die letzten Berichte über Fake-Mails von der GEZ und dem BKA sind noch nicht ganz ausgeklungen, da schwappen schon wieder neue Wellen in die heimischen Postfächer. Dieses mal hat es IKEA, Amazon und Paypal erwischt.

Auffällig ist, dass in den neuen Mails zunehmend versucht wird starken Druck auf den Empfänger auszuüben, indem gleich am Anfang der Mail darauf hingewiesen wird, dass man Einspruch gegen den hypothetischen Einkauf einlegen könne, aber nur wenn man "rechtzeitig" reagiere, ohne dann eine genaue Frist zu nennen. Das soll den Leser wohl dazu verleiten noch nicht einmal den Rest der E-Mail zu lesen, und stattdessen gleich auf die Angebliche Rechnung mit den Details zu klicken. Natürlich sollte man diesem Schema tunlichst nicht folgen. Wie üblich enthüllt nämlich ein gründlicher Blick auf die Mails wiedereinmal, dass es eben wirklich Fakes sind.

Der Autor der IKEA-Mails zum Beispiel hat es sich ganz einfach gemacht. Betrachtet man nämlich das Ende dieser Mail, so kommt es dem Leser dieses Blogs doch bestimmt schon bekannt vor...

Der Herr Zumwinkel also wieder. Den hatten wir doch letztlich schonmal.

Zudem werfe man einen Blick auf die Absender-Adresse der Mail: billy.regal@ikea.de
Haha, wie lustig. Der Absender hat wirklich Humor! Muss ich da noch mehr sagen?

Schwieriger als Fake zu entlarven war die angebliche Bestellbestätigung von Amazon.de, denn direkte Fehler sind in dieser Mail nicht zu erkennen. Lediglich die Kombination aus Absenderadresse "bestellung273@amazon.de" und "MR. Richey" als Namen des Absenders lassen aufhorchen. Besonders einer solchen Absenderadresse würde ich grundsätzlich nicht trauen. Warum sollte Amazon solche Zahlencodes benutzen, erst recht wenn diese Mail direkt von einem spezifischen Kundenberater kommen soll? Das macht irgendwie keinen Sinn.

Stammkunden wäre der Fake wohl eher aufgefallen, immerhin sieht diese Mail vollkommen anders aus als es echte Bestellbestätigungen. Besonders auffällig ist hier das im Fließtext erwähnte Produkt. Eine in dieser Art geschriebene Mail von einem Bestellsystem zu bekommen ist eher unüblich, sieht die Mail doch wie vollständig von Hand geschriebene aus. Auch stellt Amazon keine separaten Rechnung per Post zu, wie in der Mail behauptet, sondern legt diese den Lieferungen bei. Bei Anbietern des Amazon Marketplace ist das nicht anders.

Ist man tatsächlich Kunde eines solchen Online-Händlers, dann bleibt einem heute auch immer öfter online der Blick in das entsprechende Kundenkonto. Nicht nur Amazon.de bietet einen solchen Service, sondern auch viele andere.

Im Gegensatz zu den anderen Mails bin ich von der Paypal-Bestätigung selber einen Augenblick irritiert gewesen, immerhin sieht die Mail auf den ersten Blick tatsächlich täuschend echt aus. Teilweise scheint sie die direkte Kopie einer echten Paypal-Bestätigung zu sein. Auch ein Blick auf den Absender half hier nicht weiter, wurde hier doch tatsächlich die wirklich von Paypal benutze E-Mail-Adresse eingetragen. Leider ermöglichen die heutigen Mailsysteme es einen beliebigen Absender einzutragen, weshalb man dieser Angabe sowieso nicht trauen kann. So hilft uns dieses mal nur ein Blick in den so genannten "erweiterten Header" der E-Mail, den man sich in jeder vernünftigen E-Mail Anwendung anzeigen lassen kann.

Ein Blick auf die "Received" und "Message-Id" Tags zeigt uns, dass diese Mail keineswegs von Paypal, sondern vom Mailserver der Domain "sxmufyc.edu.cn" gekommen ist. Bei privaten Mails bedeutet dies leider nichts, denn wer weiß wo sein Gegenüber seinen E-Mail Account betreibt. Bei großen Firmen jedoch ist es ein Indikator für einen Fake. Immerhin würde Paypal bestimmt nicht regulär seine Mails über eine Kanadische Bildungsdomain versenden, was der oben genannte Server mit der Endung "edu.cn" aber andeutet.

Als letztes sei noch auf einen klassischen Fake-Link in der Paypal-Fake-Mail hingewiesen. Schaut man sich den, übrigens in den Original-Mails nicht vorhandenen, "Dispute Transaction" (Transaktion Anfechten) Link etwas genauer an, dann fällt einem auf, dass dieser gar nicht zur Paypal Homepage zeigt, sondern ebenfalls auf einen ganz anderen Server. Das oben gezeigte Popup mit dem echten Link erhält man in der Regel, wenn man mit der Maus über den fraglichen Link fährt ohne diesen anzuklicken. Gerade bei solch seltsamen Servern, wie dem oben gezeigten, sollte Vorsicht geboten sein. Wer weiß, was sich auf dieser Seite verbirgt, und zum einfachen ausprobieren sind übliche Windows-Systeme leider viel zu anfällig. Als lieber: Finger weg!

Manchmal muss man übrigens ziemlich genau hinschauen um erkennen zu können, dass es sich wirklich nicht um den gewünschten Server handelt. Welche Dinge hierbei zu beachten sind behandele ich aber ein anderes mal.

-Daniel