Die Masche ist nicht besonders einfallsreich, nichtsdestoweniger offenkundig von Erfolg gekrönt: Cyberkriminelle verschicken massenhaft "Shipping Updates", zu deutsch "aktualisierte Versandinformationen", und verwenden als Absende-Adresse eine E-Mail-Adresse, die offenbar zu Amazon gehört.
Den E-Mails liegt eine Datei namens 'Shipping documents.zip' bei, die vorgeblich Details zu den Versandterminen einer Amazon-Bestellung enthält. Fast schon überflüssig zu sagen, dass die ZIP-Datei mitnichten irgendwelche für den Empfänger relevanten Informationen enthält. Die darin enthaltene Datei zu öffnen, führt zu einer Infektion mit einer Trojaner-Variante, wie die SophosLabs warnen.
Einer der Gründe für den andauernden Erfolg dieser Masche dürfte sein, dass zwar nicht Amazon, aber viele andere, durchaus seriöse Unternehmen wichtige Informationen in Form von Dateianlagen in E-Mails verschicken. Ein Merkmal, mit dem sich authentische von betrügerischen E-Mails unterscheiden lassen, ist aber die in den Betrugs-Mails fast immer fehlende oder fehlerhafte Personalisierung: Eine Anrede wie 'Dear Customer' oder 'Sehr geehrter Kunde' oder eine offenkundig aus der E-Mail-Adresse abgeleitete Anrede sollte auf jeden Fall die Alarmglocken läuten lassen.
