PayPal-Phishing: ‘Wir entdeckten eine Unregelmässigkeit auf Ihrem PayPal-Konto’

‘Phishing’ ist ein Kunstwort, dass sich aus “Password” und “Fishing” zusammensetzt: Beim “Passwortfischen” geht es Online-Kriminellen darum, Aspekte Ihrer digitalen Identität zu stehlen, in der Regel Ihren Zugangsnamen und Ihr Passwort. Das lohnt sich ganz besonders, wenn man mit diesen Zugangsdaten bares Geld überweisen kann – zum Beispiel beim beliebten Zahlungsdienst PayPal von eBay. Die Mails klingen immer irgendwie nach ‘Wir entdeckten unregelmäßige Tätigkeiten auf Ihrem PayPal-Konto. Damit Sie Ihr Paypal-Konto weiterhin verwenden können, müssen Sie Ihre Daten aktualisieren. Verwenden Sie bitte den Link unten, um Ihre Daten zu aktualisieren.’. Sieht zum Beispiel so aus:

PayPal-Phishing-Mail mit verdächtigen Stellen

Der Link führt zu einer Website, die in diesem Beispiel wahrlich kaum mehr von einer echten PayPal-Seite zu unterscheiden ist:

PayPal-Phishing-Website mit verdächtigen Stellen

Gibt man dann Name und Passwort ein, übergibt man sie damit automatisch an die Konto-Diebe. Mehr noch: Man kriegt nur eine Fehlermeldung wie ‘Sie müssen Ihre E-Mail-Adresse und Ihr Passwort eingeben. Versuchen Sie es bitte erneut.’.

Abgefischt: Mit der Fehlermeldung gibt die Fake-Site zu, falsch zu sein – hat aber bereits Zugangsname und Passwort abgeschöpft

Das ist eine interessante Idee, denn wer mehrere Konten hat, probiert dann möglicherweise alle aus…

Wie Sie Phishing bei PayPal erkennen

  • Phishing-Mails sehen stets offiziell aus, haben aber kleine Fehler (siehe Bilder). Im Beispiel sind es die Umlaute, die fehlende direkte Anrede und der zu einfache Message-Abbinder: Um möglichst viele Leute anzusprechen, verwendet die Mail nur “PayPal” als Namen, aber wer echte PayPal-Mails bekommt, kann den Unterschied sehen. Die Fälschungen sind meist ‘simpler’ als die Originale.
  • Phishing-Mails locken nie auf die echte Domain. Die Webadresse ist also nicht www.paypal.com oder www.paypal.de, sondern lockt in in diesem Fall www.paypaldet.com/… – das sieht ähnlich aus und wird daher sicher zeitnah aus dem Web geklagt werden, aber für kurze Zeit kann das zweifellos täuschen.
    Trick: Klicken Sie nicht einfach auf den Link, sondern melden Sie sich manuell bei www.PayPal.de oder www.PayPal.com an – wenn das Unternehmen wünscht, dass Sie Daten ändern, wird es Ihnen die Aufforderung garantiert auch nach dem Login zukommen lassen.
  • Noch ein Trick: Im Zweifel geben Sie die angebliche Domain manuell ein, hier also www.paypaldet.com, und wie Sie dann oft (aber nicht immer) sehen, sehen Sie nichts, weil die Basisdomain oft gar nicht funktioniert, weil über den restlichen Link Informationen übertragen werden, die bestimmen, was Ihnen angezeigt werden soll.
    Oder: Klicken Sie auf die verschiedenen Links der Homepage – auf Phishing-Sites funktioniert das meiste gar nicht, alles führt stets zur Login-Seite, denn nur um die geht es den Angreifern. ODER es wechselt dann die angezeigte Domain, weil die Links der anderen Buttons der Fake-Website tatsächlich zur echten Website führen, um die Täuschung zu erhöhen.

Tipps gegen Phishing und Phishing-Mails

  • Phishing-Mails arbeiten oft mit der Dringlichkeit der Aufforderung: Typisch sind Hinweise auf eine wichtige Sicherheitsüberprüfung, auf eine nötige Freischaltung oder ähnliches, zuweilen flankiert von Drohungen, ein Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen.
  • In Wirklichkeit meiden vor allem Banken diese Art der Kommunikation und verwenden für wichtige Korrespondenz nach wie vor den Postbrief. Versuchen Sie, es dabei zu belassen: Meiden Sie alle Angebote von Banken und ähnlichen Instituten, die für Phisher attraktiv sind, mit Ihnen per E-Mail zu kommunizieren. Zwingen Sie sie dagegen zur Briefpost-Kommunikation, denn dann wissen Sie: Wenn ist nicht auf Papier kommt, ist es Phishing.
  • Zahlen in der Webadresse oder anstelle eines Domainnamens sind immer verdächtig, kein seriöses Unternehmen würde sich hinter solcher Anonymität verstecken, eine Domain wie https://211.199.252.187:180/r1/paypal/ ist ganz sicher Fake.
  • Auch Namen können verdächtig sein: In der Webadresse www.paypalsubsite.com steckt zwar scheinbar PayPal drin, aber die eigentliche Domain ist eben doch paypal.com beziehungsweise paypal.de.

Domainnamen lesen

Jeder Domainname hat vereinfacht dargestellt mindestens zwei Teile: Ein Second-Level-Label wie scareware und eine Top-Level-Domain wie de, zusammen also unsicherheitsblog.de. Vorne dran steht ein https:// oder https://. Nach dem Domainnamen steht der Pfad zu einer Website. ABER: Zwischen https:// und dem minimalen Domainnamen kann beliebiger sonstiger Käse stehen. www zum Beispiel. Oder auch https://www.paypal.de.unsicherheitsblog.de. Relevant ist in diesem Beispiel nur der kursiv markierte Teil vor der Top-Level-Domain. Der gefettet dargestellte Teil ist nur Täuschung. Achten Sie daher stets nur auf jenen Domain-Namen, der sich links vom ersten / befindet und – von rechts nach links betrachtet – aus der Top-Level-Domain(.com, .de, .net, .info etc.) und dem Domainnamen links vom Punkt besteht.

Achten Sie beim Banken auf https-Seiten (Secure HTTP). Ein untrügliches Merkmal für Phishing ist, wenn Sie auf eine Bankseite oder ähnliches gelockt werden und dort Zugangsdaten eingeben sollen – der Browser dabei aber keine Verschlüsselung (SSL) verwendet. Das wäre für Online-Banking zu unsicher und daher unvernünftig. Daher befördert Sie ein Klick auf “Online-Banking” bei fast jeder Bank Sie zu einer Seite mit SSL-Verschlüsselung. Nur manchmal ist die Login-Seite nicht SSL-gesichert; holen Sie das nach, indem Sie in der Adresszeile nach dem http und vor dem :// ein s einfügen, so dass ein https: draus wird. Mehr Infos im Beitrag Sichere HTTPS-Verbindung im Browser erkennen.

Infos:

Mehr Infos zu PayPal-Mails:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …