Neben dem Amazon-Login bietet warmgravy.com auch die Möglichkeit sich in der Google-Cloud oder bei Office365 einzuloggen. Da hat jemand geträumt und den Hosenlatz vergessen. Hier erst mal der Header:


header:
01: From - Thu Oct 11 [...] 2018
02:
03: Delivery-date: Thu, 11 Oct 2018 [...] +0200
04: Received: from [80.67.18.22] (helo=[...].ispgateway.de)
05: by [...].ispgateway.de with esmtps (TLSv1.2:[...]:256)
06: (Exim 4.90_1)
07: (envelope-from <[...]@warmgravy.com>)
08: ID: [ID filtered]
09: Return-path: [...]@warmgravy.com>
10: X-Envelope-to: [...]
11: Received: from [188.209.49.167] (helo=mail.warmgravy.com)
12: by [...].ispgateway.de with esmtps (TLSv1.2:[...]:256)
13: (Exim 4.90_1)
14: (envelope-from <[...]@warmgravy.com>)
15: ID: [ID filtered]
16: for [...]; Thu, 11 Oct 2018 [...] +0200
17: Received: from mail.warmgravy.com (localhost.blazingfast.io [127.0.0.1])
18: by mail.warmgravy.com (Postfix) with ESMTP ID: [ID filtered]
19: for <[...]>; Thu, 11 Oct 2018 [...] +0000 (UTC)
20: From: Tim Herman <[...]@warmgravy.com>
21: To: [...]
22: Subject: Frage zum Versand von Amazon-Kunde Tim Herman(Bestellung:
23: 302-[...])
24: Date: Thu, 11 Oct 2018 [...] +0000

Die Links im Quelltext der Phishing-Mail bauen sich alle nach folgendem Schema auf:
http://sellercentral.amazon.de.[...].warmgravy.com/?[...]
Hier zeigt sich wieder, wie wichtig die vollständige Darstellung von Links ist, und noch wichtiger ist es, daß Nutzer verstehen, wie Links aufgebaut werden. Um so befremdlicher sind die Versuche von Browser-Herstellern Links mehr oder minder zu verstecken.

Nebelwolf