Amazon warnt vor erneuten Betrugsgefahren

2 Min. Lesezeit

Phishing stellt nach wie vor eine der prominentesten Gefahren im Cyberraum dar, besonders wenn namenhafte Unternehmen imitiert werden und dadurch eine große Zahl potenzieller Opfer erreicht wird. Während Cyber-Kriminelle den Namen des Versandhändlers in der Vergangenheit bereits häufig für ihre Scams missbrauchten, versendete Amazon kürzlich selbst eine E-Mail an seine Nutzer, um sie über mögliche neue Betrugsversuche in Zusammenhang mit der eigenen Plattform aufzuklären.

Das Wichtigste in Kürze

Amazon warnt aktiv vor Phishing-Kampagnen, die Prime-Mitgliedschaften und Kontosperren als Köder nutzen
Betrüger operieren über E-Mail, SMS und Telefon – immer mit dem Ziel, Zahlungs- oder Kontodaten abzugreifen
Nutzer sollten niemals auf Links in verdächtigen Nachrichten klicken und Betrugsversuche direkt an Amazon melden

Die Betrüger geben sich laut Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4,in ihren E-Mails als Amazon aus und lassen die Opfer glauben, dass es z.B. Probleme mit ihrer Prime-Mitgliedschaft gäbe, oder dass neue Mitglieds-Beiträge zu zahlen wären. Die Kunden sollen nun bezahlen oder die Mitgliedschaft kündigen. So versuchen die Betrüger die Nutzer dazu zu bringen ihre Zahlungs- oder Bankkontodaten anzugeben. Auch versenden die Betrüger SMS, E-Mails und tätigen Anrufe, in denen sie behaupten, dass das Konto des Nutzers gesperrt oder gelöscht wird, und fordern diesen auf, auf einen betrügerischen Link zu klicken oder mündlich Informationen zur „Verifizierung ihres Kontos“ anzugeben.

In der eigenen E-Mail weist Amazon seine Nutzer darauf hin, dass sie niemals vertrauliche Daten per Telefon oder auf einer anderen Seite als der offiziellen Amazon-Website anfordern würden. Außerdem wurden einige hilfreiche Tipps hinzugefügt, wie der Nutzer diese Art von Betrug erkennt und sein Konto sicher hält:

Amazon-eigene Dienste nutzen – Wenn ein Nutzer den Kundendienst oder technischen Support benötigt oder wenn Änderungen an einem Konto vorgenommen werden müssen, sollte der Nutzer sich immer an die mobile Amazon-App oder die Amazon-Website wenden.
Vorsicht vor falscher Dringlichkeit – Betrüger versuchen oft, ein Gefühl der Dringlichkeit zu erzeugen, um das Opfer zu bewegen, das zu tun, was sie verlangen. Der Nutzer sollte misstrauisch werden, wenn er zu sofortigem Handeln aufgefordert wird.
Bezahlung niemals am Telefon durchführen – Amazon fordert Kunden nie dazu auf, Zahlungsinformationen, einschließlich Geschenkkarten (oder „Verifizierungskarten“, wie einige Betrüger sie nennen) für Produkte oder Dienstleistungen am Telefon anzugeben.
Links immer zuerst überprüfen – Seriöse Amazon-Websites enthalten stets den Domainnamen „amazon.com“ bzw. „amazon.de“. Ist man sich unsicher, sollte man sicherheitshalber die Seite manuell aufrufen und von dort aus Hilfe verlangen, anstatt auf verdächtige Links zu klicken.

Mögliche Betrugsversuche per SMS, E-Mail oder Anruf in Zusammenhang mit Amazon können und sollten dem Unternehmen direkt gemeldet werden. Auch ist der Nutzer selbst die letzte Instanz der Verteidigung. So ist die Teilnahme an Security Awareness Trainings stets zu empfehlen und mindert das Risiko auf Betrugsversuche hereinzufallen.

Phishing als Massenphänomen: Warum gerade große Marken im Visier stehen

Cyberkriminelle nutzen gezielt die Bekanntheit und Vertrauenswürdigkeit globaler Marken wie Amazon, um die Erfolgsquote ihrer Angriffe zu maximieren. Je größer die Nutzerbasis, desto mehr potenzielle Opfer können mit einer einzigen Kampagne erreicht werden. Die psychologische Wirkung ist enorm: Eine E-Mail von einem vermeintlich bekannten Absender wird deutlich seltener hinterfragt als eine Nachricht von einer unbekannten Quelle. Unternehmen sollten daher nicht nur auf technische Schutzmaßnahmen setzen, sondern auch die menschliche Komponente stärken – durch regelmäßige Security-Awareness-Trainings, die realistische Phishing-Simulationen beinhalten.

Schutzmaßnahmen für Verbraucher und Unternehmen im Überblick

Neben den von Amazon empfohlenen Verhaltensregeln gibt es weitere wirksame Schutzmaßnahmen: Multi-Faktor-Authentifizierung (MFA) sollte für alle Online-Konten aktiviert werden. Passwort-Manager helfen, für jeden Dienst ein einzigartiges, starkes Passwort zu verwenden. E-Mail-Clients mit integrierten Phishing-Filtern bieten eine erste technische Verteidigungslinie. Unternehmen sollten zusätzlich DMARC, SPF und DKIM für ihre E-Mail-Domains konfigurieren, um das Spoofing ihrer Marke zu erschweren.

Key Facts

Angriffsvektor: Gefälschte E-Mails, SMS und Anrufe im Namen von Amazon

Häufigste Köder: Angebliche Probleme mit der Prime-Mitgliedschaft oder drohende Kontosperrung

Erkennungsmerkmal: Seriöse Amazon-URLs enthalten immer die Domain amazon.de bzw. amazon.com

Schutzmaßnahme: Multi-Faktor-Authentifizierung aktivieren und keine Zahlungsdaten am Telefon preisgeben

Fakt: Die durchschnittliche Verweildauer eines Angreifers im Netzwerk beträgt laut Mandiant 10 Tage.

Fakt: Die durchschnittliche Erkennungszeit einer Phishing-Kampagne beträgt laut Mandiant 16 Stunden.

Häufige Fragen

Wie erkenne ich eine gefälschte Amazon-E-Mail?

Prüfen Sie die Absenderadresse genau – seriöse Amazon-Mails kommen nur von Domains, die auf amazon.de oder amazon.com enden. Achten Sie auf Dringlichkeitsappelle und Aufforderungen, persönliche Daten preiszugeben. Amazon fordert niemals Zahlungsdaten per E-Mail oder Telefon an.

Was soll ich tun, wenn ich eine verdächtige Nachricht erhalte?

Klicken Sie auf keinen Link in der Nachricht. Öffnen Sie stattdessen die Amazon-App oder Website direkt und prüfen Sie dort Ihren Kontostatus. Melden Sie die verdächtige Nachricht über die offizielle Amazon-Meldefunktion.

Warum nutzen Betrüger gerade Amazon als Tarnung?

Amazon hat weltweit Hunderte Millionen Kunden. Die Wahrscheinlichkeit, dass Empfänger einer Phishing-Mail tatsächlich ein Amazon-Konto besitzen, ist daher sehr hoch. Das erhöht die Erfolgsquote der Angriffe erheblich.

Schützt eine Zwei-Faktor-Authentifizierung vor Phishing?

Multi-Faktor-Authentifizierung erschwert den Missbrauch gestohlener Zugangsdaten erheblich, da Angreifer zusätzlich zum Passwort einen zweiten Faktor benötigen. Sie schützt allerdings nicht davor, dass Nutzer auf einer gefälschten Seite ihre Daten eingeben.

Wie können Unternehmen ihre Mitarbeitenden vor solchen Angriffen schützen?

Security-Awareness-Trainings mit realistischen Phishing-Simulationen sind der wirksamste Schutz. Zusätzlich sollten E-Mail-Systeme mit modernen Anti-Phishing-Filtern ausgestattet und DMARC-Richtlinien konfiguriert werden.