PayPal-Phishing: ‘Wir entdeckten eine Unregelmässigkeit auf Ihrem PayPal-Konto’

‘Phishing’ ist ein Kunstwort, dass sich aus “Password” und “Fishing” zusammensetzt: Beim “Passwortfischen” geht es Online-Kriminellen darum, Aspekte Ihrer digitalen Identität zu stehlen, in der Regel Ihren Zugangsnamen und Ihr Passwort. Das lohnt sich ganz besonders, wenn man mit diesen Zugangsdaten bares Geld überweisen kann – zum Beispiel beim beliebten Zahlungsdienst PayPal von eBay. Die Mails klingen immer irgendwie nach ‘Wir entdeckten unregelmäßige Tätigkeiten auf Ihrem PayPal-Konto. Damit Sie Ihr Paypal-Konto weiterhin verwenden können, müssen Sie Ihre Daten aktualisieren. Verwenden Sie bitte den Link unten, um Ihre Daten zu aktualisieren.’. Sieht zum Beispiel so aus:

PayPal-Phishing-Mail mit verdächtigen Stellen

Der Link führt zu einer Website, die in diesem Beispiel wahrlich kaum mehr von einer echten PayPal-Seite zu unterscheiden ist:

PayPal-Phishing-Website mit verdächtigen Stellen

Gibt man dann Name und Passwort ein, übergibt man sie damit automatisch an die Konto-Diebe. Mehr noch: Man kriegt nur eine Fehlermeldung wie ‘Sie müssen Ihre E-Mail-Adresse und Ihr Passwort eingeben. Versuchen Sie es bitte erneut.’.

Abgefischt: Mit der Fehlermeldung gibt die Fake-Site zu, falsch zu sein – hat aber bereits Zugangsname und Passwort abgeschöpft

Das ist eine interessante Idee, denn wer mehrere Konten hat, probiert dann möglicherweise alle aus…

Wie Sie Phishing bei PayPal erkennen

  • Phishing-Mails sehen stets offiziell aus, haben aber kleine Fehler (siehe Bilder). Im Beispiel sind es die Umlaute, die fehlende direkte Anrede und der zu einfache Message-Abbinder: Um möglichst viele Leute anzusprechen, verwendet die Mail nur “PayPal” als Namen, aber wer echte PayPal-Mails bekommt, kann den Unterschied sehen. Die Fälschungen sind meist ‘simpler’ als die Originale.
  • Phishing-Mails locken nie auf die echte Domain. Die Webadresse ist also nicht www.paypal.com oder www.paypal.de, sondern lockt in in diesem Fall www.paypaldet.com/… – das sieht ähnlich aus und wird daher sicher zeitnah aus dem Web geklagt werden, aber für kurze Zeit kann das zweifellos täuschen.
    Trick: Klicken Sie nicht einfach auf den Link, sondern melden Sie sich manuell bei www.PayPal.de oder www.PayPal.com an – wenn das Unternehmen wünscht, dass Sie Daten ändern, wird es Ihnen die Aufforderung garantiert auch nach dem Login zukommen lassen.
  • Noch ein Trick: Im Zweifel geben Sie die angebliche Domain manuell ein, hier also www.paypaldet.com, und wie Sie dann oft (aber nicht immer) sehen, sehen Sie nichts, weil die Basisdomain oft gar nicht funktioniert, weil über den restlichen Link Informationen übertragen werden, die bestimmen, was Ihnen angezeigt werden soll.
    Oder: Klicken Sie auf die verschiedenen Links der Homepage – auf Phishing-Sites funktioniert das meiste gar nicht, alles führt stets zur Login-Seite, denn nur um die geht es den Angreifern. ODER es wechselt dann die angezeigte Domain, weil die Links der anderen Buttons der Fake-Website tatsächlich zur echten Website führen, um die Täuschung zu erhöhen.

Tipps gegen Phishing und Phishing-Mails

  • Phishing-Mails arbeiten oft mit der Dringlichkeit der Aufforderung: Typisch sind Hinweise auf eine wichtige Sicherheitsüberprüfung, auf eine nötige Freischaltung oder ähnliches, zuweilen flankiert von Drohungen, ein Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen.
  • In Wirklichkeit meiden vor allem Banken diese Art der Kommunikation und verwenden für wichtige Korrespondenz nach wie vor den Postbrief. Versuchen Sie, es dabei zu belassen: Meiden Sie alle Angebote von Banken und ähnlichen Instituten, die für Phisher attraktiv sind, mit Ihnen per E-Mail zu kommunizieren. Zwingen Sie sie dagegen zur Briefpost-Kommunikation, denn dann wissen Sie: Wenn ist nicht auf Papier kommt, ist es Phishing.
  • Zahlen in der Webadresse oder anstelle eines Domainnamens sind immer verdächtig, kein seriöses Unternehmen würde sich hinter solcher Anonymität verstecken, eine Domain wie http://211.199.252.187:180/r1/paypal/ ist ganz sicher Fake.
  • Auch Namen können verdächtig sein: In der Webadresse www.paypalsubsite.com steckt zwar scheinbar PayPal drin, aber die eigentliche Domain ist eben doch paypal.com beziehungsweise paypal.de.

Domainnamen lesen

Jeder Domainname hat vereinfacht dargestellt mindestens zwei Teile: Ein Second-Level-Label wie scareware und eine Top-Level-Domain wie de, zusammen also unsicherheitsblog.de. Vorne dran steht ein http:// oder https://. Nach dem Domainnamen steht der Pfad zu einer Website. ABER: Zwischen http:// und dem minimalen Domainnamen kann beliebiger sonstiger Käse stehen. www zum Beispiel. Oder auch http://www.paypal.de.unsicherheitsblog.de. Relevant ist in diesem Beispiel nur der kursiv markierte Teil vor der Top-Level-Domain. Der gefettet dargestellte Teil ist nur Täuschung. Achten Sie daher stets nur auf jenen Domain-Namen, der sich links vom ersten / befindet und – von rechts nach links betrachtet – aus der Top-Level-Domain(.com, .de, .net, .info etc.) und dem Domainnamen links vom Punkt besteht.

Achten Sie beim Banken auf https-Seiten (Secure HTTP). Ein untrügliches Merkmal für Phishing ist, wenn Sie auf eine Bankseite oder ähnliches gelockt werden und dort Zugangsdaten eingeben sollen – der Browser dabei aber keine Verschlüsselung (SSL) verwendet. Das wäre für Online-Banking zu unsicher und daher unvernünftig. Daher befördert Sie ein Klick auf “Online-Banking” bei fast jeder Bank Sie zu einer Seite mit SSL-Verschlüsselung. Nur manchmal ist die Login-Seite nicht SSL-gesichert; holen Sie das nach, indem Sie in der Adresszeile nach dem http und vor dem :// ein s einfügen, so dass ein https: draus wird. Mehr Infos im Beitrag Sichere HTTPS-Verbindung im Browser erkennen.

Infos:

Mehr Infos zu PayPal-Mails:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …

11 Antworten

  1. dingo sagt:

    Hallo,

    auch ich habe diese Phishing Mails erhalten, was allerdings höchst suspekt ist, dass nur die Mailkonten betroffen waren, die ich schon einmal mit meinem Paypal Account verknüpft hatte, ich vermute dass es also irgendwo geleakte Accountdaten von Paypal oder Ebay gibt, oder allerdings Robots auf Ebay nach Paypal Adressen graben, denn woanders habe ich Paypal nicht eingesetzt!

    Gruß

    • Andreas sagt:

      Die Adresse, die bei mir diese Phishes erhielt, war weder mit eBay noch mit PayPal verknüpft, umgekehrt haben weder meine mit eBay, noch meine mit PayPal verknüpften Mail-Konten diese Spams erhalten. Es bleibt merkwürdig.

      Wenig Zweifel hätte ich theoretisch daran, dass irgendwann mal eBay- oder PayPal-Kontendaten geleakt sind, allerdings habe ich in der Praxis seit Jahren ein- und dasselbe Konto dort, mit einer nur dafür eingerichteten Adresse, und dieses Konto ist junkfrei (sieht man vom zunehmend nervigen eBay-Blafasel ab…). Anders gesagt: Ich mag eBay nicht mehr und PayPal auch nicht besonders, aber Spam-mäßig kann ich persönlich mich nicht beklagen, wie ich ganz allgemein den Shops dieser Welt ein eher gutes Zeugnis ausstellen würde, basierend auf meinen Erfahrungen.

  2. Lukas sagt:

    Super Erklärung! Danke!

  3. riley sagt:

    Hallo,

    es ist eine neue Version dieser Phishing E-Mails im Umlauf und verweist in hervorragendem Deutsch auf die täuschend echt aussehende Seite http://www.kreditkarten-paypal.com, wäre da nicht der falsche deutsche Umlaut im Betreff, ist es fast perfekt. Das beste ist, dass am Ende ausdrücklich vor Phishing E-Mails gewarnt wird :-)
    Laut WHOIS Abfrage bei nic.com ist eine Fantasie-Adresse in Deutschland mit Telefonnummer in China registriert. Der Absender verwendete einen Mail Relay in Russland. Gleich Online Strafanzeige erstellt und an spoof@paypal.com weiter geleitet.

    —– Original Message —–
    Return-Path:
    Received: from piter7.dns-rus.net ([91.215.170.7])
    (envelope-from )
    X-PHP-Script: http://www.telemark-ufa.ru/contact.php
    From:
    To:
    Sent: Tuesday, October 01, 2010 8:21 PM
    Subject: Herr Hans Mustermann, bitte hinterlegen Sie eine zusXtzliche Sicherheit bei uns

    > Sehr geehrter Hans Mustermann,
    >
    > aufgrund eines automatisierten Abgleiches Ihrer Kundendaten mit Vergleichsstatistiken wurde das Risiko
    > eines Zahlungsausfalls für Ihr Konto als überdurchschnittlich hoch eingestuft.
    >
    > Um weiterhin problemlos die Zahlungsmethode \’Bankeinzug\’ nutzen zu können, bitten wir Sie
    > deshalb eine Kreditkarte – als Sicherheit bei Zahlungsausfällen – bei uns zu registrieren.
    >
    > Diese wird Ihrem Account nicht als Zahlungsmethode hinzugefügt, sondern dient lediglich als Absicherung
    > bei einem nicht ausreichend gedeckten Bankkonto.
    >
    > Sollten sie keine Kreditkarte bei uns hinterlegen wird die Zahlungsmethode Bankeinzug für Ihr Konto deaktiviert.
    >
    >
    > Ihre Kreditkartendaten können Sie unter kreditkarten-paypal.com hinterlegen.
    >
    >
    > Es ist dabei irrelevant ob sie bereits eine Kreditkarte bei uns registriert haben, aus vertragsrechtlichen
    > Gründen dürfen wir diese Kartendaten, sollte Ihr Bankkonto nicht ausreichend gedeckt sein,
    > nicht als zusätzliche Sicherheit heranziehen. Sie können also eine Karte, welche bereits bei uns registriert ist,
    > auch als Sicherheit hinterlegen.
    >
    > Der Inhaber des PayPal Accounts muss außerdem nicht mit dem Karteninhaber übereinstimmen, es reicht wenn
    > dieser Ihnen die Erlaubniss erteilt hat seine Daten bei uns anzugeben (z.B. Ehepartner, Erziehungsberechtigter usw).
    >
    >
    > Wir bitten die Unannehmlichkeiten zu Entschuldigen, dieses Vorgehen ist allerdings aufgrund vermehrter
    > Betrugsversuche durch ungedeckte Bankkonten erforderlich.
    >
    >
    > Mit freundlichen Grüßen,
    > Ihr PayPal Kundenservice
    >
    >
    > Achtung:
    >
    > Derzeit sind wieder verstärkt Phishing Mails im Umlauf!
    > Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.
    > Wir werden Sie in einer Mail auch nie auffordern, eine der folgenden Informationen preiszugeben:
    >
    > * Ihre PayPal Zugangsdaten
    > * Ihre Kontoverbindung
    > * die PIN oder TAN Ihres Bankkontos
    >
    >
    >
    >

  4. Michi sagt:

    Hallo Zusammen
    Hab unvorsichtigerweise auch den Link geöffnet.
    Aber es kam erstmal ein ERROR 404. Dann hab ich genauer hingeschaut und nochmals versucht um sicher zu gehen. Nun schlug auch der Phishihnfilter vom Firefox Alarm. Somit hab ja auch keine Daten eingegeben. Kann mir trotzdem jemand sagen ob ich jetzt ein Problem habe?
    Es wir dja immer auch gewarnt überhaut den Link zu öffnen. Hab das leider erst zu Spät im Netz gelesen.

    Gruß Michi

    • Andreas sagt:

      @michi:

      Wenn es sich um reines Phishing handelt und Sie noch keine Daten eingegeben haben, dann ist das Problem gering, es wurde maximal Ihre E-Mail-Adresse bestätigt.

      Allgemein gilt aber, dass der Klick auf einen Link in einer Spam-Mail (oder aus anderen unbekannten Quellen) bereits gefährlich sein kann, weil der Browser eine unbekannte Seite aufruft und zugleich – wie alle Software – Sicherheitslücken haben, darunter auch “ganz neue” (Zero-Day), die von genau dieser Seite ausgenutzt werden, um den Rechner zu infizieren. Es ist jedoch selten (mir jedenfalls nicht bekannt), dass Phishing und Drive-by-Infektionen gleichzeitig betrieben werden. Anders gesagt: Sie haben wahrscheinlich – puh! – noch kein Problem, hätten aber durchaus eins kriegen können.

  5. Also, übers Phishing ist so viel in allen Medien berichtet worden, da muss man schon mit offenen Augen und Ohren geschlafen haben, um auf solche Bauerntricks bei den E-Mails noch reinzufallen.
    Allerdings werden einige Methoden zusehends raffinierter, so das Phishing über Facebook. Die Postbank bietet jetzt das MobileTAN-Verfahren an, ich hoffe, die anderen Kreditinstitute bald auch, da sollte sich das eigentlich von selbst erledigen.

  6. Matthias sagt:

    Gibt eine neue solche Mail, angeblich von service@paypal.de, die Mail ist allerdings in 1A Deutsch und ohne Umlaut Fehler! Die Ziel-URL ist http://www.paypal-konfliktbehandlung.e7.to (erhalten heute, 22. Jan)

  7. Matthias sagt:

    achso, ich wollte die URL eig. nicht verlinken nicht dass noch jemand draufklickt… “schön” gemacht ist auch, dass in der Mail die URL nicht sichtbar ist, da es sich um einen schönen, orangen Jetzt-Zu-Paypal-Button handelt, den man anklicken muss… es ist scheinbar auch original-kundenhotline von paypal angegeben, könnte aber auch ein fake sein…

  8. GiMie sagt:

    auch ich erhalte seit Wochen diese PayPal Informationen. Diese mails werden sofort als Spam von mir weiter gegeben und lösche sofort die Mail.