PayPal.info: Konto Problem! Ihre Mithilfe ist gefragt

Auch hier lohnt ein Blick auf die Details der Mail, um sie als Phishing-Mail zu entlarven.

Phishing-Mail von paypal.info: Konto Problem! Mithilfe gefragt...

Phishing-Mail von paypal.info: Konto Problem! Mithilfe gefragt…

Bis dahin haben wir den Zugang zu Ihrem PayPal-Konto vorübergehend eingeschränkt.

1. Die Drohung: “Wir haben Dich eingeschränkt.”

Wo liegt das Problem?
Bei Ihrer Kreditkarte sind uns ungewöhnliche Aktivitäten aufgefallen.

2. Die vage Begründung: Irgendwas mit “ungewöhnlichen Aktivitäten” … bloß nicht ins Detail gehen. (Und: Der Schmarren: Kreditkarte? Bei PayPal? Hä?)

Bearbeitungsnummer: PP-591-604-134-416

3. Die Bedröhnung: Besonders dick aufgetragene Bearbeitungsnummern erhöhen das “glaubwürdige Aussehen”, suggerieren Authentizität.

Verifizieren Sie sich durch ein Abgleich Ihrer Daten

4. Der ‘call to action’: “Melde Dich an, jetzt, hier, über den Link da unten” … (der natürlich ein böser Phishning-Link ist)

um Ihr Paypal Konto wieder Uneingeschränkt nutzen zu können.

5. Wink mit der Belohnung: “Was auch immer Du für Probleme hast: Anmelden reicht, dann geht’s wieder. (Tätschel’.)” Zugleich versteckte Drohung: Machen wir nichts, geht nichts mehr.

Und wie immer auch: Deutshe Sprack, schvere Sprack…

PayPal-Phishing erkennen

  • Phishing-Mails sehen stets offiziell aus, haben aber stets kleine Fehler (, hier etwa das erererer das erererer ist hier wohl “richtig”…), oft auch Umlaute, die fehlende direkte Anrede und der zu einfache Message-Abbinder: Um möglichst viele Leute anzusprechen, verwendet die Mail nur “PayPal” als Namen, aber wer echte PayPal-Mails bekommt, kann den Unterschied sehen. Die Fälschungen sind meist ‘simpler’ als die Originale.
  • Phishing-Mails locken nie auf die echte Domain. Die Webadresse ist also nicht www.paypal.com oder www.paypal.de, sondern irgendwas anderes, ähnliches.
  • Doch schon eine Anzeige der Identitätsdaten / des Zertifikats kann das dann entlarven. Klicken Sie dazu auf das Icon links von der Adresszeile (hier ein grafisches “P”). Der Hinweis “Diese Website stellt keine Identitätsdaten zur Verfügung” ist völlig okay für arme Schlucker wie mich, aber bei allen Arten von Banken, Shops und ‘sicheren’ Systemen ist das ein klarer Hinweis, dass was nicht stimmt.
Paypal-Phising: Website ohne SSL-Identität

Paypal-Phising: Website ohne SSL-Identität

  • Zum Vergleich: echtes PayPal:
PayPal: echte Website mit Identitätsdaten

PayPal: echte Website mit Identitätsdaten, und https für verschlüsselte verbindung

  • Aber (leider) Vorsicht: Nur weil ein Zertifikat da ist, heißt das nicht 100% immer und unbedingt, dass diese Seite absolut OK ist. Eine geringe Wahrscheinlichkeit der Täuschung bleibt auch bei Seiten mit SSL – siehe zum Beispiel News zu ssl zertifikate gehackt. Auch ist es so, dass einige Seiten erst beim Login-Formular auf https umschalten. So ist paypal.com ab Start SSL-gesichert, paypal.de ist es nicht, sondern erst, wenn man auf Login klickt (und dann erst erscheint auch das Login-Formular). Doof.

Tipps gegen Phishing

  • Tipp 1: Klicken Sie niemals auf den Link; melden Sie sich stets & immer manuell bei www.PayPal.de oder www.PayPal.com an – wenn ein Unternehmen wirklich will, dass Sie Ihre Kontendaten ändern, wird es den entsprechenden Hinweis gewiss auch nach dem Login noch irgendwie anzeigen.
  • Tipp 2: Geben Sie die angebliche Domain (in diesem Fall den Basisteil von www.payment-communication.com/update/ oder www.payment-communication.com/sicherheit/) manuell ein, hier also www.payment-communication.com, und wie Sie dann meist sehen, sehen Sie nichts, weil die Basisdomain oft gar nicht funktioniert. In diesem Fall sehen (oder sahen) Sie: das Rootverzeichnis eines Apache-Servers (ganz schöne Schlamper, diese Phisher).
Root eines Paypal-Phishers

Root eines Paypal-Phisher-Webservers – so arbeitet PayPal eher nicht

  • Tipp 3: Klicken Sie auf die verschiedenen Links der Homepage – auf Phishing-Sites funktionieren die meistens nicht, oft führen alle Links stets zur Login-Seite, denn nur um die geht es den Angreifern.
    ODER
    Sobald Sie auf die Links klicken, wechselt der Browser auf eine andere (nämlich die echte) Domain, weil die Button-Links der Buttons der Fake-Website nämlich (wie in diesem Fall) tatsächlich zur echten Website führen, um die Täuschung aufrecht zu erhalten. (Das war früher eher selten und zeigt, dass auch die Phisher dazulernen.)
  • Tipp 4: Die Phishing-Hilfe von PayPal kann man sich auch mal reinziehen: hier – dort kann man Phishing-Mails und solche Webseiten außerdem melden, PayPal versucht dann, sie dichtzumachen.

Warnsignale: Wann Sie Phishing wittern sollten

  • Achten Sie auf Dringlichkeit: Typisch sind Hinweise auf eine wichtige  oder auf eine nötige Freischaltung oder ähnliches
  • Achten Sie auf Drohung: Etwa, der Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen würden.
  • Achten Sie auf Autorität oder Authentizität:Es ist zum Beispiel die Sicherheitsabteilung, die sich melden, oder eine Behörde, oder wie in obigem Beispiel sollen komplizierte Vorgangsnummern es so aussehen lassen, als habe man es mit “echter Bürokratie” zu tun. (Was ist das eigentlich für eine Welt, wo die Gauner sich bürokratisch geben müssen, um glaubhafter zu wirken?)
  • Achten Sie auf die Webadresse: Zahlen anstelle des Domainnamens sind verdächtig, z.B. https://211.199.252.187:180/r1/paypal/. Allerdings kommt das aus der Mode: Moderne Online-Kriminelle gönnen sich eine Domain.
  • Achten Sie auf den Domain-Namen: In der Webadresse paypalsubsite.com steckt zwar scheinbar PayPal drin, aber die richtige  Domain wären eben doch paypal.comoder paypal.de. Und payment-communication.com (siehe oben) ist definitiv nicht PayPal. Leider ist, wie Jörg korrekt anmerkt, auch paypal-deutschland.de echtes PayPal. Ein bisschen Resthirn ist also trotzdem nötig…

Auf https / SSL achten

Ein typisches Merkmal von Phishing-Seiten ist, dass keine Verschlüsselung (SSL) verwendet wird. Bei Online-Banking oder Shops wäre das unsicher und wird dort daher vermieden, jeder gute Shop und jedes Zahlungssystem im Web verwenden daher heute SSL auf einer https-Adresse.
Bei PayPal sähe das so aus:

PayPal: echte Website mit Identitätsdaten

PayPal: echte Website mit Identitätsdaten

(Gelegentlich ist die Login-Seite nicht SSL-gesichert; holen Sie das nach, indem Sie in der Adresszeile nach dem http und vor dem :// ein s einfügen, so dass ein https: daraus wird. Auf vielen Seiten erledigt das Plugin HTTPS Everywhere das für Sie.) Mehr Infos im Beitrag Sichere HTTPS-Verbindung im Browser erkennen.

Auf galoppierenden Schwachsinn achten

Ganz ehrlich: Eine Website, die “zur Überprüfung” folgende Daten auf einmal einfordert, deren Formular darf eigentlich kein Bürger mit Wahlrecht/Führerschein auch nur im Suff ausgefüllt haben:

PayPal-Phishing-Fake-Website

Warum nicht noch den  Ausweis per Briefpost anfordern? (Oder die Gasrechnung, wie es das echte PayPal zuweilen haben will…)

Infos:

Mehr Infos zu PayPal-Mails:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …