Personalisierte Spam-E-Mails

Spam E-Mails sind auf den ersten Blick nur ärgerlich. Häufig versuchen Betrüger den Empfänger der E-Mail zum Kauf dubioser Produkte zu bewegen oder ihnen Schadsoftware unterzuschieben. Damit dise E-Mails nicht unbeachtet im Spamordner landen, ist den kriminellen Versendern daran gelegen, möglichst persönlich wirkende Texte zu generieren. Hierzu benötigen sie Detailwissen über die Zielperson. An solche Informationen gelangen Angreifer beispielsweise, indem sie massenhaft E-Mails an alle verfügbaren Adressen senden und die Empfänger zur Teilnahme an „Gewinnspielen“ animieren, bei denen nur der Anbieter gewinnt – und zwar persönliche Daten von ahnungslosen Teilnehmern, die ordnungsgemäß die Formulare ausfüllen und damit wertvolle Informationen über sich preisgeben. Mit diesen ergaunerten Daten können dem Opfer dann später personalisierte E-Mails gesendet werden, die sehr authentisch wirken.
Nun nehmen viele Menschen vernünftigerweise nicht an solchen „Gewinnspielen“ teil. An deren Daten kommen die Kriminellen auf diesem Wege also nicht. Es gibt aber noch weitere Möglichkeiten, an wertvolle Daten zu gelangen, mit denen Angreifer persönlich wirkende E-Mails erstellen können. Aufschluss darüber gab eine Spam-E-Mail an eine Person, die Gewiss nicht an unseriösen Gewinnspielen teilnahm und auch sonst ihre persönlichen Daten nicht weiter mitteilte. Diese E-Mail glänzte auf den ersten Blick mit beachtlichem Detailwissen. Tatsächlich war der Betrugsversuch letztlich doch noch aus verschiedenen Gründen zu durchschauen.

Zum Hintergrund (die Namen und Adressen sind natürlich geändert): Frau Rita Müller möchte gerne ein Produkt kaufen, das bei Amazon zufällig günstig zu erhalten ist. Sie hat jedoch keinen Internetanschluss und so bietet Frau Anette Schmidt ihr an, das Produkt für sie zu bestellen. Nun gibt es bei Amazon einige Produkte, die nur für sogenannte Prime-Mitglieder erhältlich sind. Vermutlich möchte Amazon die Kunden auf diesem fragwürdigen Wege dazu bewegen, ebenfalls am kostenpflichtigen Prime-Programm teilzunehmen, dies ist jedoch eine andere Geschichte. Da Frau Anette Schmidt selbst kein Prime-Mitglied war, bat sie Sebastian Schmidt, das Produkt über seinen Amazon-Prime-Account zu bestellen. Das Produkt wurde wenig später an die Anschrift von Frau Anette Schmidt zugestellt, die es dann persönlich zu Frau Rita Müller brachte.

Einige Tage später war folgende E-Mail im Postfach von Frau Anette Schmidt zu finden:

Betreff: Rita Müller Ihre Amazon Bestellung vom 14.11.2017
Datum: Fri, 17 Nov 2017 01:21:50 +0000
Von: Amazon.de <bestellbestaetigung@amazon.de>
An: Rita Müller <anette.schmidt@abc.de>

Sehr geehrte(r) Rita Müller,

vielen Dank für Ihren Kauf. Sie finden weitere Daten in der angefügten Rechnung. Wir werden Sie umgehend benachrichtigen, sobald Ihr(e) Ware versandt wurde(n).

Wir freuen uns auf Ihren nächsten Besuch.

Anhang: Rita Müller Amazon 14.11.2017.zip

In der E-Mail, die angeblich von Amazon stammt, wurde Frau Rita Müller angesprochen. Die E-Mail ist jedoch an die E-Mailadresse von Frau Anette Schmidt <anette.schmidt@abc.de> gesendet. Da es ja tatsächlich zeitnah eine Bestellung bei Amazon gab, die für Frau Rita Müller bestimmt, aber an Frau Anette Schmidt gesendet wurde, kann es sich wohl kaum um einen Zufall handeln. Oder etwa doch?
Bei dieser E-Mail handelt es sich trotz der beachtlichen Übereinstimmungen um eine kriminelle Spam-E-Mail. Vor dieser Spamwelle (mit immer ähnlichem Wortlaut im Anschreiben) wurde beispielsweise im Beitrag Vorsicht Virus: Amazon E-Mail – Ihre Amazon Bestellung – mit ZIP-Datei im Anhang gewarnt. Woher aber wissen die Versender, dass an Frau Anette Schmidt kürzlich eine Bestellung für Frau Rita Müller gesendet wurde? Und wie kommen Sie an die E-Mailadresse von Frau Anette Schmidt, wo die Bestellung doch über das Benutzerkonto von Sebastian Schmidt getätigt wurde?

Bei näherem Betrachten ist die E-Mail dann offensichtlich doch nicht mehr so plausibel. Zunächst fehlte das Impressum. Hier hätten sich die Spam-Versender mehr Mühe geben und ein gefälschtes Impressum einbauen können. Abgesehen davon war in der E-Mail nur Text enthalten. Amazon sendet standardmäßig sogenannte HTML-E-Mails. Bei diesen sind beispielsweise Formatierungsanweisungen für den Text (Farben, fett, kursiv, …) oder auch Tabellen und Bilder enthalten. Außerdem ist in den E-Mails von Amazon bereits im Betreff ein tatsächlich bestelltes Produkt enthalten. In der E-Mail selbst sind zudem die Produkte der gesamten Bestellung tabellarisch mit Preisen aufgelistet. ZIP-Dateien werden bei Amazon nicht angehängt, sondern nur PDF-Dateien. Zu guter Letzt wusste Amazon nicht, dass das bestellte Produkt für Frau Rita Müller bestimmt ist, da es ja an die Adresse von Frau Anette Schmidt zugestellt wurde. Frau Rita Müller war im Bestellkontext nicht erwähnt.
Es ist nun also klar, dass die E-Mail trotz der zufälligen zeitlichen Nähe zu einer gerade getätigten Bestellung und der genannten beteiligten Personen nicht von Amazon stammt, sondern von kriminellen Spamversendern, die dem ahnungslosen Opfer Schadsoftware unterschieben wollten. Die zur Personalisierung verwendeten Daten stammten nicht von Amazon, sondern wahrscheinlich aus der Datenbank einer Druckerei, die Ihre Dienste auch in einem Webshop anbietet. Dort bestellte Frau Anette Schmidt vor einigen Jahren ein Produkt für Frau Rita Müller. Dabei wurde die E-Mailadresse von Frau Anette Schmidt hinterlegt, das Produkt aber direkt an Frau Rita Müller gesendet. In der Datenbank dieses Webshops waren somit die in der Spam-E-Mail kombinierten Daten hinterlegt. Offensichtlich wurde die Datenbank gehackt und die Informationen von den Kriminellen kopiert. Die Spam-Versender haben dann Amazon als „Absender“ angegeben, schließlich bestellen mehr Menschen bei Amazon als bei der kleinen Druckerei. Dadurch steigt statistisch gesehen die Wahrscheinlichkeit, dass die Spam-E-Mail zeitnah zu einer tatsächlich getätigten Bestellung beim ahnungslosen Empfänger eintrifft.

Es zeigt sich immer wieder: E-Mails sind nicht vertrauenswürdig. Selbst wenn sie aufgrund persönlicher Angaben überaus plausibel und authentisch erscheinen, muss damit gerechnet werden, dass es sich um einen Betrugsversuch handelt. Die Kriminellen kennen Wege an persönliche Daten zu kommen, von denen die meisten Menschen nichts ahnen. Das Internet mag zwar formal kein rechtsfreier Raum sein, letzten Endes wird das dort geltende Recht aber kaum durchgesetzt. Die Spamversender sitzen meist im Ausland und sind für deutsche Strafverfolgungsbehörden nicht greifbar. Es mag zwar eine Impressumspflicht und weitere Gesetze zum Schutz von Verbrauchern geben. Daran halten sich die Kriminellen aber natürlich nicht. Sie werden ihre persönlichen Daten wohl kaum wahrheitsgemäß preisgeben. Es ist also nicht damit zu rechnen, dass sich die Situation in absehbarer Zeit verbessern wird. Frei nach einem bekannten witzigen Bonmont könnte man also sagen: Traue keiner E-Mail, die du nicht selbst gefälscht hast.