Wir beobachten seit einiger Zeit viele perfekt gefälschte e-Mails, die im Namen von eBay, Amazon, PayPal usw. verschickt werden. Nicht nur auf den ersten Blick scheinen die Mails echt zu sein, man muss schon besonders auf kleinste Details achten, um die Fälschung zu erkennen. Die persönlichen Anreden stimmen und die üblichen Schreibfehler oder krude Satzbauten fehlen.
Oft geht es um angebliche Beiträge oder Verlängerungen von Abonnements und Probezeiträumen, die man zwar nicht abgeschlossen hat, sich aber vielleicht in dem Moment nicht mehr ganz sicher ist. Gerne wird auch ein scheinbar schlechter Status als Verkäufer bei eBay gemeldet, den man mit Klick auf den angebotenen Link überprüfen und verbessern kann.
Die Merkmale von gefälschten Mails finden sich dennoch zuerst in der e-mail Adresse des Absenders. Wenn dort statt … ebay.com steht:
eBay <noreplyshop.wsdl87warehouse.liets884354o@eby7090.de> sollte offensichlich sein, dass der Absender NICHT ebay ist.
Viele Betrüger nutzen ähnlich aussehende Absenderadressen, die allerdings Tippfehler enthalten, so wird zum Beispiel aus amazon.de -> amazom.de, was auf den ersten Blick sehr leicht übersehen wird.
Weitere Merkmale sind die in der Mail enthaltenen Links zu Webseiten die, ebenso wie die Absenderadressen, beim genauen Hinsehen nicht zum vermeintlichen Absender passen. Oft stimmen alle nebensächlichen Links bis auf den „Aktions-Link“, weil die e-Mail schließlich perfekt gefälscht wurde, aber dieser eine Link führt zu den Betrügern, und den soll man ja anklicken, um das angebliche Abonnement zu kündigen oder den vermeintlichen Status bei eBay zu Ãœberprüfen.
Die Adresse dieses Links zum Beispiel http://cgi4.ebay.de.1478B8GYV7445D6FT2984GS3YBHS563Y.reversion-indicator.com/76G4YCR5SDR674TCRT7464872352/ führt trotz des scheinbar korrekten Anfangs cgi4.ebay.de tatsächlich zu einer Adresse von reversion-indicator.com (wer immer das sein mag, es ist nicht eBay).
Man muss sich praktisch nur Mühe machen, die Adresse zwischen http:// und dem ersten Schrägstrich „von Hinten nach Vorne“ zu lesen, um das wahre Ziel des Links zu erkennen. Die wirren Buchstaben dazwischen dienen nur der Verschleierung.
Weiterhin gilt aber immer noch die alte Regel, dass Anhänge in solchen e-Mails im Zweifelsfall überhaupt nicht geöffnet werden sollten.