Die Amazon-Kampagne zur Passwortzurücksetzung per Rückruf nutzt die legitime Benachrichtigungsinfrastruktur aus
7. April 2026
Von Ankit Gutpa, Andrew Gosney, Hiwot Mendahun, Samantha Clarke und dem Mimecast Threat Research Team
- In den ersten drei Märzwochen versendeten die Angreifer etwa 67.000 Rückrufnachrichten unter Verwendung echter Benachrichtigungen von Amazon zur Passwortwiederherstellung.
- Die Kampagne nutzt die legitime Amazon-SES-Infrastruktur mit gültiger DKIM-Authentifizierung aus
- Durch die Weiterleitungskette über Proton und Microsoft 365 SRS wurde eine single Nachricht an Tausende von Empfängern weitergeleitet
Kampagnenübersicht
Im März 2026 identifizierte das Mimecast Threat Research-Team eine Callback-Phishing-Kampagne, bei der das Amazon-eigene Benachrichtigungssystem zur Passwortwiederherstellung missbraucht wurde. Im Gegensatz zu herkömmlichen Phishing-Angriffen, die auf gefälschte Domains oder linkbasierte Angriffe setzen, nutzte diese Kampagne die legitime Infrastruktur von Amazon, um Social-Engineering-Nachrichten, die ein hohes Maß an Vertrauen erweckten, in hoher Geschwindigkeit zu versenden. Die Angreifer hatten die Kontrolle über ein Amazon-Konto erlangt, das zur Auslösung von Benachrichtigungen zur Passwortwiederherstellung genutzt wurde, und fügten in die Benutzernamenfelder der Benachrichtigungsvorlage schädliche Inhalte ein, darunter Anweisungen zur Rückrufnummer. Das Ergebnis: Die Nachrichten durchlaufen alle Authentifizierungsprüfungen und werden als echte Mitteilungen von Amazon angezeigt.
Der Köder: Künstlich erzeugte Dringlichkeit
Die Empfänger erhielten eine scheinbar seriöse Benachrichtigung, aus der hervorging, dass jemand eine Passwortzurücksetzung für ihr Amazon-Konto beantragt hatte. Anstatt einen bösartigen Link einzubetten, schuf die Nachricht ein Gefühl der Dringlichkeit in Bezug auf eine Telefonnummer und wies die Empfänger an, anzurufen, falls sie die Zurücksetzung nicht selbst beantragt hätten.
Dieses Callback-Muster verlagert den Angriff bewusst weg von E-Mail-Sicherheitskontrollen und URL-Reputationssystemen hin zu Sprachkanälen, wo die Überprüfung schwieriger ist und Betrüger ihre Vorgehensweise in Echtzeit anpassen können. In Verbindung mit einer authentifizierten Amazon-Vorlage steigt die Wahrscheinlichkeit, dass der Empfänger Vertrauen fasst, erheblich.
Technischer Prozessablauf: Weiterleitung als Verstärkung
Das Ausmaß und das Tempo der Kampagne waren auf eine Weiterleitungskette mit mehreren Zwischenstationen zurückzuführen, durch die aus einer einzigen angenommenen Nachricht eine Massenversendung wurde:
- Amazon-Konto erstellen: Der Angreifer registriert sich für ein Amazon-Konto unter Verwendung einer Proton-Mail-Gruppenadresse und eines Benutzernamens wie beispielsweise [Nicht Sie? Rufen Sie jetzt an: 1-(805) 334 9416]. Durch diese Manipulation des Benutzernamens ist es möglich, dass automatisierte Benachrichtigungen den vom Angreifer festgelegten schädlichen Inhalt enthalten.
- Passwortwiederherstellung: Sobald das Amazon-Konto erstellt wurde, leitet der Angreifer einen Vorgang zur Passwortwiederherstellung ein.
- Erstversand der Benachrichtigung: Die Benachrichtigung zur Passwortwiederherstellung wird an die Proton-Mail-Gruppenadresse gesendet, wobei der manipulierte Benutzername in der Benachrichtigung enthalten ist. Diese E-Mail wird vom offiziellen Amazon-Benachrichtigungsdienst versendet und enthält alle Authentifizierungs-Header wie SPF, DKIM und DMARC der Amazon-Dienste.
- Weiterleitung über Proton: E-Mails, die an die Proton-Mail-Gruppenadresse gesendet werden, leiten die E-Mail-Benachrichtigung anschließend an einen Microsoft 365-Hub-Tenant weiter, der dem Angreifer gehört oder von diesem kompromittiert wurde und eine Reihe externer Empfänger umfasst.
- Microsoft-Amplifikation: Wenn Microsoft die vollständig authentifizierte weitergeleitete Nachricht erhält, bereitet das Unternehmen diese für die Zustellung an die endgültige Liste externer Empfänger vor. Bei diesen Kampagnen kommt der Microsoft SRS-Dienst (Sender Rewrite Scheme) zum Einsatz, der den Absender im Umschlag umschreibt, wodurch Microsoft als offizieller Absender ausgewiesen wird, und der eine eigene gültige Authentifizierung (SPF/DKIM) hinzufügt, um die Zustellung sicherzustellen. Außerdem ist die Amazon-Authentifizierung in den Headern noch intakt.
- Externe Übermittlung: Die Systeme der externen Empfänger überprüfen anschließend die Authentifizierung der E-Mail. Die angezeigte Absenderadresse wäre die legitime E-Mail-Adresse von Amazon. Die Absenderadresse wäre jedoch eine mit Microsoft verbundene Adresse, wie beispielsweise [bounces+srs=v1zju=bn@[customer].onmicrosoft.com] und würde dank einer gültigen Authentifizierung durch Microsoft über SRS identifiziert werden, sodass diese E-Mail alle Authentifizierungsprüfungen bestehen würde.
Diese Verstärkung basierte auf dem „Sender Rewriting Scheme“ (SRS), einem legitimen Mechanismus zur Weiterleitung von E-Mails. Wenn eine E-Mail weitergeleitet wird, wird der ursprüngliche Absender im E-Mail-Header häufig überschrieben, sodass Fehler bei der Zustellung an das Weiterleitungssystem zurückgemeldet werden und nicht an den ursprünglichen Absender. Bei ordnungsgemäßer Nutzung gewährleistet SRS einen reibungslosen E-Mail-Verkehr über Mailinglisten. In diesem Missbrauchsszenario kann ein Hub, der eine Nachricht entgegennimmt, diese innerhalb von Sekunden an zahlreiche Empfänger weiterleiten, wobei bei jeder Übertragungsstufe möglicherweise geänderte Absender-Metadaten angezeigt werden. Weitere Informationen zum Microsoft SRS-Dienst finden Sie hier.
Warum eine Authentifizierung nicht ausreicht
Diese Kampagne deckt eine gravierende Wissenslücke im Bereich der E-Mail-Sicherheit auf. Starke DKIM-Signaturen und abgestimmte Domänen bestätigen, wer die E-Mail signiert hat; sie überprüfen jedoch nicht jedes einzelne Wort im Nachrichtentext. Wenn ein Dienst benutzereingebrachten Text in systemgenerierten E-Mails zulässt, wird dieser Text zu einem von Angreifern kontrollierten Inhalt innerhalb einer als besonders vertrauenswürdig eingestuften Hülle. Für Sicherheitsbeauftragte ist die Erkenntnis klar: Authentifizierungsmechanismen beschreiben die Herkunft einer Nachricht, nicht deren Sicherheit. Unternehmen müssen neben Authentifizierungsprotokollen auch Verhaltensanalysen, Inhaltsprüfungen und Benutzerschulungen einsetzen.
Rückruf für Geschädigte
Das Hauptziel dieser Kampagnen besteht darin, die Opfer dazu zu verleiten, die in den Benachrichtigungen angegebene Telefonnummer anzurufen. Sobald der Kontakt hergestellt ist, können die Angreifer ausgefeilte Social-Engineering-Taktiken anwenden, um das Opfer auszunutzen. Zu diesen Taktiken können gehören:
- Die Nutzer davon überzeugen, Tools zur Fernüberwachung und -verwaltung (RMM) herunterzuladen.
- Benutzer werden auf bösartige Websites weitergeleitet.
- Ermittlung sensibler personenbezogener Daten.
- Nutzer dazu zu zwingen, betrügerische Zahlungen zu leisten.
Solche Rückrufkampagnen sind äußerst gefährlich, da sie herkömmliche E-Mail-Sicherheitsmaßnahmen umgehen, indem sie den Angriff auf sprachbasierte Kanäle verlagern, wo eine Überprüfung schwieriger ist.
Indikatoren für eine Kompromittierung (IOCs)
Kopfzeile „E-Mail-Adresse“ – (legitime Absenderadressen für Benachrichtigungen von Amazon)
account-update@amazon[.]com
account-update@amazon[.]co[.]uk
E-Mail-Adresse des Empfängers in der Kopfzeile
updates_a_ccs@groups[.]proton[.]me
notifications_a_dd@groups[.]proton[.]me
updates_a_bb@groups[.]proton[.]me
notifications_acc@groups[.]proton[.]me
updates_a_b@groups[.]proton[.]me
notifications_a_bb@groups[.]proton[.]me
notifications_a_b@groups[.]proton[.]me
membership-09293@groups[.]proton[.]me
user-09838@groups[.]proton[.]me
user-00837@groups[.]proton[.]me
notifications_a4@groups[.]proton[.]me
notifications_a3@groups[.]proton[.]me
notifications_a2@groups[.]proton[.]me
Themen
amazon.com: Passwortwiederherstellung
amazon.com: Versuch, auf Kontodaten zuzugreifen
Ziele
Geografischer Schwerpunkt: Die Kampagnen richteten sich an verschiedene Regionen, wobei der Schwerpunkt auf den USA lag.
Branchenbereich: In vielen Branchen sind leicht höhere Werte zu verzeichnen, insbesondere im Rechtswesen und im verarbeitenden Gewerbe.
Empfehlungen
- Informieren Sie Ihre Mitarbeiter über die besonderen Merkmale dieser Kampagne und führen Sie bewährte Vorgehensweisen für den Umgang mit Telefonnummern ein, die in unaufgeforderten E-Mails angegeben sind. Stattdessen sollten sie direkt auf die offizielle Website des Dienstleisters zugreifen oder zuvor überprüfte Kontaktdaten verwenden.
- Durchsuchen Sie die E-Mail-Eingangsprotokolle nach Nachrichten von Amazon und den aufgeführten Betreffzeilen
Langfristige Überlegungen
Unternehmen sollten sich bewusst sein, dass legitime Dienste mit von Nutzern ausgefüllten Eingabefeldern potenzielle Missbrauchsmöglichkeiten bieten. Prüfen Sie, welche vertrauenswürdigen Absender eine Personalisierung zulassen, und klären Sie die Nutzer darüber auf, dass eine Authentifizierung allein keine Sicherheit garantiert. Da Angreifer weiterhin legitime Infrastruktur als Waffe einsetzen, müssen sich die Erkennungsstrategien weiterentwickeln – weg von der Frage „ "“, wer diese E-Mail gesendet hat (" ) hin zu der Frage „ "“, was mit dieser Nachricht bezweckt wird."
Behalten Sie Ihren Vorsprung im Bereich der Bedrohungsanalyse
Schließen Sie sich Tausenden von Sicherheitsexperten an, die sich auf unsere sorgfältig zusammengestellten Warnmeldungen, Expertenanalysen und IOCs zu Kampagnen verlassen, um sich gegen die neuesten Cyberbedrohungen zu schützen.
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates zu unseren Benachrichtigungen zu Bedrohungsinformationen angemeldet haben.
Wir bleiben in Kontakt!