PayPal - "Bestätigen Sie ihren Account" / "Bitte Verifizieren Sie ihren Account."

  Guten Tag, Andreas Winterer!
  Bitte Verifizieren Sie ihren Account.
hiess es soeben, und:
  Kürzlich haben wir eine Unregelmäßigkeit bei Ihrem Konto festgestellt. Wir haben den Grund zur Annahme, dass ein Dritter auf Ihr Konto zugegriffen hat. Wir haben den Zugriff auf perspersönliche PayPal-Kontofunktionen für den Fall beschränkt, dass durch einen nicht autorisierten Dritten auf Ihr Konto zugegriffen wurde. Uns ist bewusst, dass der eingeschränkte Zugriff Nachteile mit sich bringt, der Schutz Ihres Kontos ist jedoch unser Hauptanliegen. Wir haben den Zugriff auf Ihr Konto kurzzeitig eingeschränkt. Die Einschränkung wird überprüft, wenn wir die angeforderten Informationen von Ihnen erhalten. Um auf die Einschränkung zu reagieren und sie zu beheben, verwenden Sie bitte die folgende Seite:

Jetzt Verifizieren

Hahaha. Ist natürlich alles Unsinn, obwohl die Mail ganz gut gemacht ist. Im folgenden ein paar Hinweise zu einer typischen PayPal-Phishing-Mail, weiter unten das Bild mit numerierten Hinweisen:

  1. Absenderadresse ist falsch - service@paypal.de ist hier nur der "Name" der Mailadresse, oder rausch@wedder.de ist die echte Mail-Adresse in <eckigen>-Klammern (möglicherweise über ein gehacktes Forum verschickt). Bei PayPal würde sowas nicht passieren. ABER: Selbst wenn dort die richtige Adresse stünde, wäre die Mail deswegen noch lange nicht echt. Dass dort aber eine falsche Adresse steht, ist ein ziemlich sicherer Hinweis, dass sie falsch ist. Man könnte den ganzen Rest hier schon abhaken.
  2. Ein PayPal-Logo sagt ebenfalls nichts aus.
  3. "Bitte verifizieren Sie Ihren Account" mit gleich zwei Rechtsschreibfehlern? Wow. -- Manchmal - leider - erhalten Sie eine reale, authentische Afforderung, die in eine ähnliche Richtung geht, etwa, um eine Gasrechnung einzuschicken und damit nachzuweisen, dass Sie kein Geldwäscher sind und dergleichen üble PayPal-Demütigungen mehr. Egal: Vergessen Sie die Mail und melden Sie sich statt dessen bei PayPal über die normale Website an. Wenn die was wichtiges wollen, werden sie Sie damit auch nach dem Login noch drangsalieren.
  4. Die Angabe der Adressdaten soll die Glaubwürdigkeit erhöhen, nach dem Motto: "Wir wissen, wer Sie sind, denn wir sind ja wirklich PayPal, ganz ehrlich jetzt...". Stimmt aber nicht, und wozu sollte PayPal einfach Ihre Daten in der Welt herumschicken? -- Bleibt die Frage: Woher haben die meine (oder eben Ihre) volle Postadresse?
    Ganz einfach: a) Wenn Sie eine Domain haben, dann sind Ihre Adressdaten zur Domain gespeichert und stets irgendwie irgendwo abrufbar. b) Wenn nicht: Irgendein Shop oder sonstiges System wurde vielleicht mal gehackt, Ihre Postadresse dort entnommen, zwischen Hackern weiterverkauft und jetzt steht sie in diversen Datenbanken. c) Aus dem Impressum einer Website könnte sie auch stammen. (Der Gesetzgeber zwingt ja Leute wie mich dazu, jedem Stalker und Identitätsbetrüger schafsbrav meine Adresse mitzuteilen, sonst Abmahnung; zugleich schützt mich der Gesetzgeber nicht vor Stalkern und Identitätsbetrug. Das nenne ich mal Digitalkompetenz...) Sprich: dieses Wissen zu besitzen bedeutet rein gar nichts.
  5. Immerhin: ein falsches Geburtsdatum. (Ätschbätsch!) Ich habe es mir nämlich zur Angewohnheit gemacht, die meisten Dienste (nicht bei Banken oder A-Shops, eher die unwichtigen) mit falschen Geburtstagsinfos zu füttern. Weil es sowieso Daten sind, die für den Betrieb des Dienstes nicht notwendig sind, sie dürften also gar nicht erhoben werden. Sue me.
    Falls Sie das auch so machen wollen: Sinnvoll ist das nur, wenn Sie dann auch zu jedem Konto in Ihrem Passwortbüchlein / Zettelverhau auch das jeweils verwendete Geburtsdatum vermerken, denn gelegentlich wird es beim Zurücksetzen des Kontos abgefragt, und sein "eigenes Geburtsdatum" nicht mehr zu wissen sperrt einen dann so wirksam aus wie jeden anderen Eindringling auch ... diese Methode hilft Ihnen sogar, zurückzuverfolgen, von welchem (gehackten?) Konto das falsche Geburtsdatum stammt (sofern Sie bei jedem Konto ein anderes Datum verwenden).

    Angebliche Mail von PayPal: "bitte bestätigen / verifizieren Sie Ihren Account"

  6. Der "Jetzt verifizieren"-Link auf die Phishing-Website. Hier zeigt man Ihnen dann eine gefälsche PayPal-Website, und indem Sie dort Ihre Zugangsdaten eingeben, überreichen Sie Betrügern den Schlüssel zu Ihrem Konto. Dazu unten noch etwas mehr. Klicken Sie nicht auf solche Links. Melden Sie sich manuell an, auf paypal.de oder paypal.com. Wenn PayPayl Ihnen was zu sagen hat, werden sie es auch nach dem Login tun.
  7. Das pseudo-offizielle Geschreibsel soll nur den Eindruck erwecken, man hätte es hier mit der echten Firma PayPal zu tun. Lassen Sie sich von sowas nicht täuschen.
  8. Zu 6.: Ein gutes Mailprogramm (wie Thunderbird) zeigt Ihnen, sobald Sie den Mauszeiger über den Link bewegen, wohin der Link wirklich führt:

    Spam-Mail mit Phishing-Link zu angeblichem PayPal

    Und hier haben die Gauner ganze Arbeit geleistet: Diese Webadresse gibt sich wirklich alle Mühe, den Eindruck zu erwecken, sie würde irgendwas mit PayPal zu tun haben. Allerdings ist sie dadurch viiiiiiel zu lang geworden. Mal ehrlich, Jungs: Ich soll mich auf http://andreas.winterer.paypaldeutschland.de-sicherheit-online-www.paypal.paypal-kundensicherheit.org/ anmelden??? Was soll das sein - etwa das legendäre "Deep Web"?
    Sie benutzen kein Mailprogramm? Klicken Sie mit der rechten (!) Maustaste auf den Link und wählen Sie Link-Adresse kopieren und drücken Sie in einem Textpogramm [Strg V] - dann sehen Sie diese Adresse ebenfalls.

  9. Um die echte, also relevante Webadresse zu ermitteln, denken Sie stets von rechts nach links. Achten Sie daher stets nur auf jenen Domain-Namen, von rechts nach links betrachtet – aus der Top-Level-Domain(.com, .de, .net, .info, .org etc.) und dem Domainnamen links vom Punkt besteht, also paypal-kundensicherheit.org.
    Kann man wissen, ob man dieser Site trauen kann? Ja und nein.
    Ja: Sie verwenden die im Tipp Gefährliche Webseiten erkennen vorgeschlagen Websites und sehen dann bei einigen (!nicht bei allen!), dass paypal-kundensicherheit.org als schädlich / böswillig eingestuft wird (zum Beispiel McAfee: siteadvisor.com/sites/paypal-kundensicherheit.org). Aber es ist halt sehr mühevoll, zu suchen, ob die Site auf *irgendeiner* Blacklist vermerkt ist, denn sie ist nicht auf jeder zu finden. Daher ist das Quatsch.
    Nein: Gehen Sie umgekehrt vor, mit einer geistigen Whitelist: Welcher Website können Sie trauen? Genau: nur paypal.com! Vergessen Sie daher alles andere - und melden Sie sich *nur dort* an; wenn Sie aus Deutschland kommen, wird man sie schon auf paypal.de oder www.paypal.com/de/ umleiten. (Dito analog bei Amazon, Yahoo, GMX und wie sie alle heissen.)
    Und dann sehen Sie auch, wie bei "Sichere Verbindung im Browser erkennen" erläutert, dass die Site wirklich (mit 99,9%iger Wahrscheinlichkeit) zu PayPal gehört ...:

    Das echte PayPal: auf PayPal.com, mit https-Verbindung und Zertifikat

Weitere Infos:

Mehr Infos zu PayPal-Mails:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau ’normaler Nutzer‘ und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht’s um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

6 Antworten

  1. real sagt:

    Darf ich fragen, ob Du zufällig über REAL-Online bestellt hast? Ich habe auch diese Phishing-Mail von "service@paypal.de " erhalten, ca. 5 Tage nachdem ich etwas bei REAL bestellt habe. Die Lieferadresse war eine einmalige Ferienadresse, fand sich aber dann in der Phishing-Mail wieder... Paypal hat sich auch nach 4 Anfrage nicht bequemt Stellung zu nehmen. REAL steht noch aus.

    • Andreas sagt:

      Nein. Ich glaube auch nicht, dass das eine mit dem anderen was zu tun hat, aber um es zu wissen, müsste man das messen.

      PayPal antwortet gewiss nicht: Hunderdtausende kriegen diese Spams, die kann PayPal gar nicht mehr beantworten. ;-)

      Und PayPal kann auch nichts dafür.

  2. hausmaus sagt:

    Vielen Dank!!!Du hast mich mit Deinem Beitrag vor Schaden bewart und schlauer bin ich nun auch noch und kann damit angeben.
    Es ist mir schon zum 2. mal so eine Mail geschickt worden: Man bekommt einen Riesenschreck und möchte alles in Ordnung bringen.Zum Glück hat das verifizeieren über Link gar nicht geklappt.(die können zum Glück gar nix!)
    und verifizieren war auch falsch geschrieben.Über diese ellenlange Mailadresse bir ich auf Deiner Seite gelandet also noch mal Danke!!!

  3. Sebastian sagt:

    Nun, es sei darauf hingewiesen, dass aber auch im Falle einer Adresse, welche zu paypal.com zugehört, es sich um Phishing handeln kann. Nämlich dann, wenn man einige XSS Lücken ausnutzen kann.

  4. Horst sagt:

    Danke, Andreas. Gerade (11.09.)hab ich diesen Mist erhalten. Hätte hier natürlich nichts gemacht, aber freue mich, daß sowas publiziert wird. Das gibt eine gewisse Genugtuung und Sicherheit! m.f.G.

  5. flux sagt:

    Danke für den ausführlichen Hinweis! Hatte den falschen Braten schon gerochen... Grammatik und Rechtschreibfehler.. aber im ersten Moment voll reingefallen. Bei arglose Menschen geht da bestimmt was... Wie ich gerade sehe ist Dein Hinweis schon bald ein Jahr alt, aber immer noch aktuell...

    Man kann und sollte die phishing mail an

    spoof@paypal.com

    weiterleiten!

    Dabei nicht die Betreffzeile verändern. Die paypals können sich dann kümmern und wir dürfen hoffen, daß das was nützt..

    beste Grüße und merci!