PayPal.info: Konto Problem! Ihre Mithilfe ist gefragt

Auch hier lohnt ein Blick auf die Details der Mail, um sie als Phishing-Mail zu entlarven.

Phishing-Mail von paypal.info: Konto Problem! Mithilfe gefragt…

Bis dahin haben wir den Zugang zu Ihrem PayPal-Konto vorübergehend eingeschränkt.

1. Die Drohung: “Wir haben Dich eingeschränkt.”

Wo liegt das Problem?
Bei Ihrer Kreditkarte sind uns ungewöhnliche Aktivitäten aufgefallen.

2. Die vage Begründung: Irgendwas mit “ungewöhnlichen Aktivitäten” … bloß nicht ins Detail gehen. (Und: Der Schmarren: Kreditkarte? Bei PayPal? Hä?)

Bearbeitungsnummer: PP-591-604-134-416

3. Die Bedröhnung: Besonders dick aufgetragene Bearbeitungsnummern erhöhen das “glaubwürdige Aussehen”, suggerieren Authentizität.

Verifizieren Sie sich durch ein Abgleich Ihrer Daten

4. Der ‘call to action’: “Melde Dich an, jetzt, hier, über den Link da unten” … (der natürlich ein böser Phishning-Link ist)

um Ihr Paypal Konto wieder Uneingeschränkt nutzen zu können.

5. Wink mit der Belohnung: “Was auch immer Du für Probleme hast: Anmelden reicht, dann geht’s wieder. (Tätschel’.)” Zugleich versteckte Drohung: Machen wir nichts, geht nichts mehr.

Und wie immer auch: Deutshe Sprack, schvere Sprack…

PayPal-Phishing erkennen

  • Phishing-Mails sehen stets offiziell aus, haben aber stets kleine Fehler (, hier etwa das erererer das erererer ist hier wohl “richtig”…), oft auch Umlaute, die fehlende direkte Anrede und der zu einfache Message-Abbinder: Um möglichst viele Leute anzusprechen, verwendet die Mail nur “PayPal” als Namen, aber wer echte PayPal-Mails bekommt, kann den Unterschied sehen. Die Fälschungen sind meist ‘simpler’ als die Originale.
  • Phishing-Mails locken nie auf die echte Domain. Die Webadresse ist also nicht www.paypal.com oder www.paypal.de, sondern irgendwas anderes, ähnliches.
  • Doch schon eine Anzeige der Identitätsdaten / des Zertifikats kann das dann entlarven. Klicken Sie dazu auf das Icon links von der Adresszeile (hier ein grafisches “P”). Der Hinweis “Diese Website stellt keine Identitätsdaten zur Verfügung” ist völlig okay für arme Schlucker wie mich, aber bei allen Arten von Banken, Shops und ‘sicheren’ Systemen ist das ein klarer Hinweis, dass was nicht stimmt.

Paypal-Phising: Website ohne SSL-Identität

  • Zum Vergleich: echtes PayPal:

PayPal: echte Website mit Identitätsdaten, und https für verschlüsselte verbindung

  • Aber (leider) Vorsicht: Nur weil ein Zertifikat da ist, heißt das nicht 100% immer und unbedingt, dass diese Seite absolut OK ist. Eine geringe Wahrscheinlichkeit der Täuschung bleibt auch bei Seiten mit SSL – siehe zum Beispiel News zu ssl zertifikate gehackt. Auch ist es so, dass einige Seiten erst beim Login-Formular auf https umschalten. So ist paypal.com ab Start SSL-gesichert, paypal.de ist es nicht, sondern erst, wenn man auf Login klickt (und dann erst erscheint auch das Login-Formular). Doof.

Tipps gegen Phishing

  • Tipp 1: Klicken Sie niemals auf den Link; melden Sie sich stets & immer manuell bei www.PayPal.de oder www.PayPal.com an – wenn ein Unternehmen wirklich will, dass Sie Ihre Kontendaten ändern, wird es den entsprechenden Hinweis gewiss auch nach dem Login noch irgendwie anzeigen.
  • Tipp 2: Geben Sie die angebliche Domain (in diesem Fall den Basisteil von www.payment-communication.com/update/ oder www.payment-communication.com/sicherheit/) manuell ein, hier also www.payment-communication.com, und wie Sie dann meist sehen, sehen Sie nichts, weil die Basisdomain oft gar nicht funktioniert. In diesem Fall sehen (oder sahen) Sie: das Rootverzeichnis eines Apache-Servers (ganz schöne Schlamper, diese Phisher).

Root eines Paypal-Phisher-Webservers – so arbeitet PayPal eher nicht

  • Tipp 3: Klicken Sie auf die verschiedenen Links der Homepage – auf Phishing-Sites funktionieren die meistens nicht, oft führen alle Links stets zur Login-Seite, denn nur um die geht es den Angreifern.
    ODER
    Sobald Sie auf die Links klicken, wechselt der Browser auf eine andere (nämlich die echte) Domain, weil die Button-Links der Buttons der Fake-Website nämlich (wie in diesem Fall) tatsächlich zur echten Website führen, um die Täuschung aufrecht zu erhalten. (Das war früher eher selten und zeigt, dass auch die Phisher dazulernen.)
  • Tipp 4: Die Phishing-Hilfe von PayPal kann man sich auch mal reinziehen: hier – dort kann man Phishing-Mails und solche Webseiten außerdem melden, PayPal versucht dann, sie dichtzumachen.

Warnsignale: Wann Sie Phishing wittern sollten

  • Achten Sie auf Dringlichkeit: Typisch sind Hinweise auf eine wichtige  oder auf eine nötige Freischaltung oder ähnliches
  • Achten Sie auf Drohung: Etwa, der Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen würden.
  • Achten Sie auf Autorität oder Authentizität:Es ist zum Beispiel die Sicherheitsabteilung, die sich melden, oder eine Behörde, oder wie in obigem Beispiel sollen komplizierte Vorgangsnummern es so aussehen lassen, als habe man es mit “echter Bürokratie” zu tun. (Was ist das eigentlich für eine Welt, wo die Gauner sich bürokratisch geben müssen, um glaubhafter zu wirken?)
  • Achten Sie auf die Webadresse: Zahlen anstelle des Domainnamens sind verdächtig, z.B. http://211.199.252.187:180/r1/paypal/. Allerdings kommt das aus der Mode: Moderne Online-Kriminelle gönnen sich eine Domain.
  • Achten Sie auf den Domain-Namen: In der Webadresse paypalsubsite.com steckt zwar scheinbar PayPal drin, aber die richtige  Domain wären eben doch paypal.comoder paypal.de. Und payment-communication.com (siehe oben) ist definitiv nicht PayPal. Leider ist, wie Jörg korrekt anmerkt, auch paypal-deutschland.de echtes PayPal. Ein bisschen Resthirn ist also trotzdem nötig…

Auf https / SSL achten

Ein typisches Merkmal von Phishing-Seiten ist, dass keine Verschlüsselung (SSL) verwendet wird. Bei Online-Banking oder Shops wäre das unsicher und wird dort daher vermieden, jeder gute Shop und jedes Zahlungssystem im Web verwenden daher heute SSL auf einer https-Adresse.
Bei PayPal sähe das so aus:

PayPal: echte Website mit Identitätsdaten

(Gelegentlich ist die Login-Seite nicht SSL-gesichert; holen Sie das nach, indem Sie in der Adresszeile nach dem http und vor dem :// ein s einfügen, so dass ein https: daraus wird. Auf vielen Seiten erledigt das Plugin HTTPS Everywhere das für Sie.) Mehr Infos im Beitrag Sichere HTTPS-Verbindung im Browser erkennen.

Auf galoppierenden Schwachsinn achten

Ganz ehrlich: Eine Website, die “zur Überprüfung” folgende Daten auf einmal einfordert, deren Formular darf eigentlich kein Bürger mit Wahlrecht/Führerschein auch nur im Suff ausgefüllt haben:

Warum nicht noch den  Ausweis per Briefpost anfordern? (Oder die Gasrechnung, wie es das echte PayPal zuweilen haben will…)

Infos:

Mehr Infos zu PayPal-Mails:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

25 Antworten

  1. Jörg sagt:

    – “Sichererer” war aber wirklich mal ein Marketingspruch ebay!

    – “paypal-deutschland.de” ist leider auch eine wirkliche Domain von PayPal. Als erstes habe ich dieser Seite auch nicht getraut!

    – es muss nicht nur ein gehacktes Zertifikat sein, was Probleme bereiten kann. Für meine Webseiten stelle ich selber Zertifikate aus. HTTPS geht, aber mit einem eigenen Zertifikat eben.

    – auf eine Pishing Seite gehen kann schon allein wegen einer eventuellen Drive-by Infektion gefährlich sein, nicht erst dann, wenn ich Daten eingebe …

    Also, selbst mit “Augen auf” haben User es schwer!

    Jörg

  2. Jörg sagt:

    Jipp. Offtopic: gerade habe ich wieder deutschen Spam bekommen. Verflixt, selbst die wagen es, weil die wissen, dass sich niemand die Arbeit macht ihnen in den Allerwertesten zu treten!
    Man, man, man. Geht mir das auf die Prinzenrolle!

    Jörg

  3. Kerstin sagt:

    Das Hauptaugenmerk braucht man in der Regel nur erstmal auf die Anrede zu legen. Die Betrüger schreiben immer nur “Lieber PayPal Kunde” oder ähnlichen Kram. So ein email kommt niemals von PayPal. Ohne direkte Anrede ist das immer 100%ig ein Betrugsversuch.

    Ich lösche den Mist immer gleich, aber wer sich irgendwie unsicher ist, der kann sich ja ganz normal auf seinem PayPal Account anmelden und schauen, ob da irgendwelche Meldungen stehen.

    Die meißten dieser Betrüger sind ja glücklicherweise ziemlich dämlich. Und ganz grottendämlich sind die, die dann noch in gebrochenem Deutsch von einer “offiziellen” Seite schreiben ;)

  4. P. Unzer sagt:

    besser wäre es mal diesen Dreckssäcken habhaft zu werden und sie an der nächsten Straßenlaterne aufzubammeln mit einem Schild um den Hals “ich bin eine Betrügersau und der nächste der es macht und gefaßt wird, hängt neben mir”. Mal sehen wielange diese drecksfaule Brut noch ihr Unwesen auf diesem Planeten treibt.

  5. Jörg sagt:

    Liebe(r) P. Unzer,

    mal sollte immer versuchen, sich ein gewisses Niveau zu bewahren. Den Anfang kann man ja seiner Wortwahl machen. Und das könnte bei Fortgeschrittenen soweit gehen, dass man nicht zur öffentlichen (Lynch-)Justiz aufruft. Abgesehen davon, dass sich sowas nicht schickt, ist es meines Wissens nach sogar eine Straftat.
    Zumal sich meiner Erfahrung nach die Leute, die solch große Worte in den Mund nehmen in ihren Tagen bei weitem nicht so “mutig” sind.

    Mit freundlichen Grüßen,
    Jörg B.

  6. Alexej sagt:

    Ich habe heute die oben beschriebene Phishing Mail bekommen – interessanterweise mit meinem richtigen Vor- und Nachnamen…

  7. ra sagt:

    Heute auch bekommen, allerdings war’s im Spam Ordner. Super fand ich ja, dass die Nachricht an eine Mail-Adresse ging die Paypal gar nicht bekannt ist. Deswegen mein Tipp: Extra Mail-Adresse nur für Paypal die man nicht anderweitig im Web benutzt. So reduziert sich Spam/Scam/Phishing auf dieser Adresse gegen Null.

  8. Markus sagt:

    habe heute auch eine mail mit vor und zunamen bekommen. habe den eingetragenen betreiber (melanie-riedler@arcor.de) direkt angeschrieben und werde es paypal als betrugsversuch melden

  9. Miko sagt:

    Hier ist version 2.0 des Paypal-Phishing-Versuches, auch mit korrektem Vor- und Nachnamen, Zieldomain:

    http://konflikte-paypal.com

    Auch diese wieder von “Melanie Riedler” in Leverkusen. Die Domain ist am 20.7. angelegt worden (lt. whois)

    Das Zertifikat ist natürlich falsch, aber plain http geht problemlos.

    Interessant vielleicht noch hier:

    http://www.web-whois.org/history.php?was=whois&domain=payment-ssl-notice.com

    Wie läuft das eigentlich – kümmert sich Paypal, Inc. selbst darum?

    Ich rufe Melanie mal an. ;->

  10. Miko sagt:

    PS: Die Telefonnummer scheint zufällig gewählt und gehört irgendeinem armen Burschen, der die ganze K**e schon kennt.

    Ruft ihn nicht an, es bringt nichts.

    • Andreas sagt:

      Man muss sagen, dass Domains zu buchen einfach viel zu einfach ist, oder ganz generell: digitale Fake-Identitäten überzeugend darzustellen.

  11. Micha sagt:

    Habe aktuell auch diese Mail erhalten (kursiert also weiterhin). Kam mir sofort nicht geheuer vor – aber spätestens beim “Disclaimer” am Ende der Mail war mir klar, dass diese Mail nicht von PayPal stammen kann:

    “Diese PayPal-Benachrichtigung wurde an victim@blabla.de gesendet. weil Sie in Ihren E-Mail-Einstellungen unter “Neues von PayPal” den Erhalt aktiviert haben.”

    “victim@blabla.de”??? Wenn das die neue Generation von Internet-Betrügern ist, mache ich mir keine all zu großen Sorgen, doch mal auf einen Phishing-Betrug hereinzufallen. :-)

  12. Jörg sagt:

    In der Tat ist es zu einfach, Domains mit dem “passenden” Namen zu ordern. Meiner Meinung nach sollten daher die Provider mit haften (nicht nur allein wegen Verletzung der Markennamen, sondern auch wegen dem Vereinfachen des Pishings). Dann würden die sich auch etwas mehr Mühe bei der Kontrolle von neuen Domains geben.
    Es kann doch nicht so schwer sein, die Top 1.000 der internationalen Domains, die am meisten “bepisht” werden mit einer Textsuche zu sperren. In etwa so, dass alle Domains mit *paypal* oder *pay-pal* im Namen nicht angelegt werden dürfen, ohne die Clearing-Stelle der echten PayPal-Zentrale.
    Mit der Top 1.000 der Adressen dürften sicherlich 50% aller Pishing-Versuche schon ins Leere greifen …

  13. Alexej sagt:

    Zumindest weiß ich jetzt wahrscheinlich, woher sie meinen Namen und (in Bezug auf Paypal falsche) Email-Adresse hatten. Ich bekam im Lauf des Tages eine Info-Email eines VOIP-Providers, in der dieser angab, dass ihre Adressdatenbank (ohne Passwörter)gehackt wurde…
    BTW, inzwischen erhalte ich andere Phishing-Mails mit diesen Daten – scheint sich in den entsprechenden Foren verbreitet zu haben.

  14. Fensterle sagt:

    Neuerdings verschicken die auch über http://www.paypal-payment.de/
    ich glaube da stecken irgendwelche Abmahnanwälte dahinter… ;) Alles Parasiten.

  15. Karl sagt:

    Sie sind wieder Aktiv!

    27. Dezember. 2012
    Sehr geehrter PayPal.de Kunde,

    Bitte helfen Sie uns dabei, Ihr Konto wieder in Ordnung zu bringen. Bis dahin haben wir den Zugang zu Ihrem Konto vorübergehend eingeschränkt.

    Wo liegt das Problem?

    Bei Ihrer Kreditkarte sind uns ungewöhnliche Aktivitäten aufgefallen. Bearbeitungsnummer: PB-04021-5443-6423-1759-9

    Für die unmittelbare Ausführung Ihrer Bezahläufträge aktualisieren
    Sie bitte umgehend Ihre Kontoinformationen.

    Dadurch werden Verzögerungen bei Ihrem nächsten Einkauf ausgeschlossen.

    Folgende Daten werden für die Registrierung benötigt:

    Kreditkartennummer
    Geburtsdatum
    Abbuchungs-/Lastschrifteinzugskonto der Kreditkarte
    Ihr Name und Ihre Anschrift

    http://www.paypal.de/kundenupdate/index.php

    Maximale Sicherheit

    Mit Verified by Visa / MasterCard SecureCode genießen Sie größtmögliche
    Sicherheit bei Ihren Zahlungen.

    Viele Grüße
    Ihr Team von PayPal Deutschland

    Copyright © 1999-2011 PayPal. Alle Rechte vorbehalten. PayPal Europe S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

  16. Hanoi1896 sagt:

    Am 13.02.2013 habe ich diese Mail erhalten.
    Gott sei dank nicht darauf reagiert.
    Zum anderen habe ich mich noch nie bei PayPal angemeldet.
    Dank deiner Kommentare will auch ich andere davor warnen.
    Weiter so!

    PayPal. Sicherererer.
    Einfach: Sie bezahlen mit zwei Klicks.
    Schnell: PayPal-Zahlungen treffen schnell beim Verkäufer ein.
    Sicher: Ihre Bankdaten sind nur bei PayPal hinterlegt.

    Schützen Sie Ihr Konto
    Halten Sie Ihr PayPal-Passwort geheim. Teilen Sie es niemandem mit.

    Konfliktlösung – PayPal Konto
    Thursday, February 14, 2013

    Guten Tag Klaus Mustermann

    Leider müssen wir Ihnen mitteilen dass Ihr Konto eingeschränkt wurde !

    Wo liegt das Problem?

    Bei Ihrer letzten Kreditkarten Zahlung sind uns ungewöhnliche Aktivitäten aufgefallen.

    Bearbeitungsnummer: PP-74be16979710d4c4e7c6647856088456.

    Wie entsperre ich mein Konto?

    Bitte verifizieren Sie sich durch einen Abgleich Ihrer Daten, um Ihr Konto wieder uneingeschränkt nutzen zu können auf folgender Seite:
    http://paypal-deutschland.de/Karsten-Serbent

    Bei Fragen steht Ihnen unser Kundenservice von Mo.-Fr., 8.30 bis 19.00 Uhr, und Sa.-So., 9.00 bis 19.30 Uhr unter der Telefonnummer 0180 500 66 27 zur Verfügung (für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.).

    ——————————————————————————–

    Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe benötigen, loggen Sie sich in Ihr PayPal-Konto ein, und klicken Sie oben rechts auf einer beliebigen Seite auf den Link “Hilfe”.

    Copyright © 1999-2012 Pay. Alle Rechte vorbehalten.

    PayPal (Europe) S.à r.l. & Cie, S.C.A.
    Société en Commandite par Actions
    Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg
    RCS Luxemburg B 118 349

    E-Mail-ID PP74be16979710d4c4e7c6647856088456

  17. dora sagt:

    ich habe heute auch solch eine mail bekommen und musste lachen,
    ich habe kein konto bei paypal und will da auch keins haben,

    Bitte helfen Sie uns dabei, Ihr PayPal-Konto wieder in Ordnung zu bringen. Bis dahin haben wir den Zugang zu Ihrem PayPal-Konto vorübergehend eingeschränkt.

    Wo liegt das Problem?

    Bei Ihrer letzten Transaktion sind uns ungewöhnliche Aktivitäten aufgefallen.

    Bearbeitungsnummer: PP-035-829-010-738.

    Was mache ich jetzt?

    Bitte verifizieren Sie sich über folgenden Link durch einen Abgleich Ihrer Daten als rechtmäßiger Besitzer. Im Anschluss können Sie Ihr Konto wieder uneingeschränkt nutzen:
    den link habe ich weggelassen

    dazu die mailadresse von den betrügern rigcsc.o6n5@seure@paypal.de