zurück zum Artikel

Angebliche Amazon-Rechnungen entpuppen sich als Phishing

Jürgen Schmidt
Angebliche Amazon-Rechnungen entpuppen sich als Phishing

Eine derzeit massiv gepushte Spam-Welle nutzt einen raffinierten Trick, um Code auszuführen - und entpuppt sich dann doch als simpler Phishing-Versuch.

Die Amazon-Mail kam zunächst in Englisch und dann in perfektem Deutsch – wenn man von den Problemen mit den Umlauten absieht, die nicht weiter ungewöhnlich sind. Die angebliche Amazon-Rechnung über "Verkaeufergebuehren" klang ueberzeugend: "Um Ihnen verbesserte Funktionen zur Umsatzsteuerberechnung anbieten zu konnen, wurden unsere Systeme angepasst. Deshalb ..." sollte man letztlich eine angehängte HTML-Datei erst abspeichern und dann öffnen.

Verschwurbeltes JavaScript

Das weckte unsere Aufmerksamkeit, denn eine lokale HTML-Datei genießt besondere Privilegien, die solchen, die von einem Web-Server stammen, verwehrt bleiben. Wird hier etwa versucht, auf dem Rechner Code einzuschleusen und auszuführen, um ihn mit Schad-Software zu infizieren? Der erste neugierige Blick in die angehängte Datei "Rechnung.html" förderte kryptisches zutage:

<script type="text/javascript">
document.location.href="data:text/html;base64,PHNjcmlwdCB0...

Das ist ein Redirect auf eine Inline-HTML-Seite, die Base64-kodiert ist. Das Linux-Tool base64 aufgerufen mit -d liefert den Klartext beziehungsweise eine weitere Verschwurbelungsstufe:

<script type="text/javascript">
document.write('\u003C\u0068\u0065...

Der JavaScript-Aufruf injiziert weiteren HTML-Code in die aktuelle Seite, der der Unleserlichkeit wegen als Unicode dargestellt wird. Ersetzt man das document.write etwa durch console.log, kann man das Ergebnis in der Browser-Konsole inspizieren. Alternativ erledigt ein Online-Konverter [1] das gefahrlos.

Unicode code converter

Der entschwurbelte HTML-Code stammt ursprünglich von einer Amazon-Seite.

(Bild: Unicode code converter [2] )

Das Ergebnis war dann allerdings etwas enttäuschend. Es handelt sich nämlich um eine nahezu identische Kopie einer echten Amazon-Verkäufer-Seite [3]. Lediglich das Formular für die Anmeldedaten sendet Benutzernamen und Passwort statt an Amazon an einen wahrscheinlich gehackten brasilianischen Server (h**p://desentupidoraapolinario.com.br/loginr.php).

Eine nachgeschobene Version der Spam-Mail enthält eine PDF-Datei, die beim Öffnen in einem alternativen Viewer eine Fehlermeldung präsentiert und zur Verwendung der Adobe Reader-Software auffordert.

Beim Öffnen des PDFs in Okular erscheint eine Fehlermeldung.

Beim Öffnen des PDFs in Okular erscheint eine Fehlermeldung.

Auch hier wurde unsere Hoffnung auf einen spannenden Adobe-Reader-Exploit enttäuscht. Auch dahinter verbirgt sich letztlich nur ein primitiver Phishing-Versuch: In das PDF ist ein JavaScript-Formular integriert, das zur Eingabe von E-Mail-Adresse und Amazon-Passwort auffordert – und beides an h**p://www.aeenekhaneh.com/ schickt. Wer seine fünf Sinne beisammen hat, sollte darauf eigentlich nicht hereinfallen. (ju [4])

URL dieses Artikels:
https://www.heise.de/-3683454

Links in diesem Artikel:
[1] https://r12a.github.io/apps/conversion/
[2] https://r12a.github.io/apps/conversion/
[3] https://sellercentral.amazon.de/
[4] mailto:ju@ct.de

Copyright © 2017 Heise Medien