Identitätsdiebstahl oder Phishing?

4 views
Skip to first unread message

Michael Landenberger

unread,
Apr 2, 2022, 10:08:03 AMApr 2
to
Hallo,

heute erhielt ich eine E-Mail mit der Aufforderung, die Erstellung eines
Kundenkontos bei myonlyshop.de zu bestätigen. Da ich aber nie ein solches
Konto bei diesem Shop eröffnet habe, kam mir die Sache verdächtig vor. Ich
habe die Mail also genauer unter die Lupe genommen.

Dabei ist mir aufgefallen, dass im From: und Return-Path Adressen mit
"myonlyshop.net" eingetragen waren (also mit einer anderen TLD als beim Shop
selbst). Im einzigen Received-Header stand ein Server von Amazon SES drin. Dem
Unterschied bei den TLDs bin ich als erstes nachgegangen und habe dabei
festgestellt, dass die mutmaßlich echte Adresse "myonlyshop.de" bei Host
Europe in Deutschland registriert ist, die Adresse "myonlyshop.net" dagegen
bei Namecheap in den USA. Nachtigall, ick hör dir trapsen.

Das in Verbindung mit den doch eklatanten Rechtschreibfehlern in der Mail ist
natürlich ein deutlicher Hinweis auf einen Phishing-Versuch. Aber jetzt
kommt's: der Link in der Mail, den man anklicken sollte, lautete
<https://www.myonlyshop.de/account?<MeineEMailAdresse>&confirmed>. D. h. man
wird tatsächlich zum echten Shop (unter der TLD .de) geführt, wenn man da
draufklickt. Noch mysteriöser ist es, dass der Bestätigungslink keinerlei ID
o. ä. zur Identifizierung enthält, sondern nur die E-Mail-Adresse. Wäre das
tatsächlich ein vom Shop akzeptierter Bestätigungslink, hieße das, dass jeder,
der meine Mailadresse kennt (was auf die Absender der E-Mail ja zutrifft),
darüber die Erstellung eines Accounts bei myonlyshop.de bestätigen könnte.

Jetzt bin ich am Rätseln, was das Ganze sollte. Auf den ersten Blick sieht es
so aus, als habe jemand versucht, mit meiner Mailadresse einen Account bei
myonlyshop.de zu eröffnen. Wie in solchen Fällen üblich, wird dann ein
Bestätigungslink an die angegebene Adresse geschickt, in diesem Fall also an
mich. Im Normalfall enthält der Bestätigungslink aber eine schwer zu erratende
ID, so dass nur der Empfänger der Mail die Account-Erstellung bestätigen kann.
Die Rechtschreibfehler in der Mail und die abweichende TLD im From: sind aber
ein Indiz dafür, dass die Mail eben nicht von myonlyshop.de kam und somit auch
nicht das Resultat einer Account-Eröffnung ist, sie sprechen also gegen dieses
Szenario.

Die zweite Möglichkeit wäre ein Phishing-Versuch: Empfänger, die bereits
Kunden bei myonlyshop.de sind, sollen auf eine gefälschte Website gelockt
werden und dort ihre Zugangsdaten eingeben. Dagegen spricht allerdings, dass
der Bestätigungslink nicht auf die gefälschte, sondern auf die richtige Seite
"myonlyshop.de" führt.

Die einzige Erklärung, die ich jetzt noch habe, ist die, dass eigentlich
Variante 2 beabsichtigt war und dass die gefälschte Seite unter
"myonlyshop.net" erreichbar ist [1]. Der Phisher war aber offenbar zu blöd, im
Bestätigungslink "myonlyshop.net" einzutragen. Stattdessen hat er
versehentlich (?) "myonlyshop.de" eingetragen, so dass man, wenn man
draufklickt, im echten Shop landet. Dafür wiederum dürfte der Bestätigungslink
aber ungültig sein, weil er nur die E-Mail-Adresse enthält (für die es in
meinem Fall bei myonlyshop.de auch keinen Account gibt) und eine eindeutige ID
fehlt. Das lässt den Phishing-Versuch komplett ins Leere laufen.

[1] Ein testweiser Aufruf von <http://myonlyshop.net> (unverschlüsselt und
ohne Parameter) leitet auf "myonlyshop.de" weiter. Ein Aufruf von
<https://myonlyshop.net/account?phishe...@example.com&confirmed>
(verschlüsselt, mit Parameter) produziert dagegen einen Timeout.

Kann sich da jemand einen Reim drauf machen?

Gruß

Michael
Reply all
Reply to author
Forward
0 new messages