Bin jetzt hier reichlich spät. Im Endeffekt ist aber eins klar:

Thema Anmeldedaten: Ein Amazon-Leak ist aus letzter Zeit nicht bekannt. Nichtmal in gehashter Form, nada. Wenn die Anmeldedaten also wirklich aus einem Darknet-Leak stammen sollen, wie die TE behauptet hat, dann hätte sie dasselbe Passwort für mehrere Dienste verwendet.

Sollte dem wirklich so sein, ist dort der Punkt, an dem man aus der Sache lernen kann. Wenn sie das aber verneinen sollte, dann ist es klar, dass Zugangsdaten und OTP im selben Zug gephisht wurden. Falls sie aber zugeben sollte, dasselbe Passwort bei verschiedenen Diensten verwendet zu haben, dann wäre es durchaus denkbar, dass man sich auf Täterseite etwas mehr Aufwand gemacht hat, um an das OTP zu kommen. Bei einem gezielten Angriff wäre das sicherlich plausibel. Man hat möglicherweise gemerkt, dass die Zugangsdaten passen und es sich bei dem Account lohnt.

Cell-Site-Spoofing habe ich die letzten Jahre nicht mehr gehört, wäre aber etwas, was mir da in den Sinn kommt. Was den RCS-Exploit angeht, halte ich das für unwahrscheinlich. Wer Zugriff auf das Config-File hat, wird doch wohl für jede SMS von Amazon ein Acknowledgement an den Provider senden. Sie sprach aber davon, dass unangeforderte SMS-OTPs durchgekommen seien. Vielleicht schreibe ich den Tätern hier aber auch zu viel zu.

Dennoch wäre das Ganze auch in diesem Fall vermeidbar gewesen, denn sie hätte - wie gesagt - dasselbe Passwort für zwei unterschiedliche Dienste verwenden müssen. Ich halte den anderen Fall dennoch erstmal für wahrscheinlicher, bis sie dazu Stellung nimmt.

Darüber hinaus ist es aber weiterhin ein Unding, dass Amazon uns nicht die Möglichkeit lässt, die Zustellung des OTP per SMS nicht vollständig zu deaktivieren. Das wäre schonmal ein erster großer Schritt. FIDO2 wäre als zweiter Schritt im Nachgang auch schön.

Achso - eine persönliche Botschaft an @Emporio_Paragon1: Bezeichne bitte nie wieder Angehörige der “Cyber-Kripo” als “Experten”. Danke. Ansonsten wünsche ich dir alles Gute!