Besonders tückisches PayPal-Phishing

Aufgepasst: Mit persönlicher Anrede und einer eigens registrierten .de-Domain greifen Cyber-Kriminelle derzeit nach den Kreditkartendaten von PayPal-Kunden. Der Schwindel fällt bestenfalls auf den zweiten Blick auf.

In Pocket speichern vorlesen Druckansicht 120 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Die Cyber-Gauner haben auch das von PayPal erfundene Werbewort "Sichereererer" übernommen.

Wer derzeit eine Mail von PayPal erhält, muss genau hinschauen: Cyber-Kriminelle versenden professionell gestaltete Phishing-Mails, die man auf den ersten Blick nicht erkennt. Die Betrüger verwenden persönliche Anreden und registrierten sogar eigens eine .de-Domain, um ihrer Abzockaktion einen seriösen Anstrich zu verleihen.

heise Security liegen zwei Varianten von Phishing-Mails vor, deren Absender sich offenbar mehr Mühe als üblich gegeben haben, um deutsche PayPal-Kunden in die Falle zu locken. Eine davon hat den Betreff "[Vorname] [Nachname], PayPal benötigt Ihre Mithilfe!" und stammt vermeintlich von pp_k9_4n@paypal.com. Die persönliche Anrede findet sich nicht nur in der Mail wieder, sonder auch auf der Phishing-Seite, die der Mailempfänger besuchen soll, um sein angeblich missbrauchtes Konto zu verifizieren.

Die persönliche Anrede findet sich auch auf der Phishing-Seite wieder. Die persönlichen Daten werden kodiert über einen URL-Parameter an die Seite übergeben.

Der Name des Opfers in spe wird dabei nicht auf dem Server gespeichert, sondern in kodiertert Form über den URL-Parameter data an die Phishing-Seite übergeben. Beim Besuch der Webseite wird man aufgefordert, seine persönlichen Daten einzugeben. Im nächsten Schritt soll man dann seine Kreditkartendaten – einschließlich Kreditkartenlimit – eintippen. Dabei überprüft die Phishing-Seite sogar, ob die eingegegeben Daten plausibel sind.

Wo die persönlichen Daten kopiert wurden, ist derzeit unklar. Wahrscheinlich muss man das Datenleck nicht bei PayPal, sondern zum Beispiel bei einem schlecht abgesicherten Onlineshop oder Forum suchen.

Die zweite uns vorliegende Mail hat den Betreff "[Info] Wichtige Mitteilung zu Ihrem Kundenkonto 31.05.2013" und stammt vermeintlich von info@paypal.de. Auch hier geht es wieder darum, Daten nach einem angeblichen Missbrauch des PayPal-Kontos zu verifizieren, auch diese mal geht es dem Absender darum, persönliche Informationen und Kreditkartendaten abzugreifen. Anders als bei der ersten Mail haben die Betrüger eigens eine .de-Domain bei Strato registrieren lassen, sie lautet paypal-konfliktloesung.de.

Wenn PayPal vermeintlich per Mail um die Eingabe vertraulicher Daten bittet, sollten die Alarmglocken schrillen. Dahinter stecken in aller Regel Kriminelle, die mit den eingegebenen Zahlungsinformationen einkaufen gehen. Grundsätzlich sollte man PayPal-Daten nur dann eingeben, wenn man via HTTPS mit PayPal.com verbunden ist und der Browser beim Besuch der Seite keine Zertifikats-Fehlermeldung angezeigt hat.

Doch auch dann kann man sich nicht absolut sicher sein, dass nicht ein Schwindel im Gange ist: Immer wieder werden Schwachstellen in der PayPal-Site bekannt, durch die Betrüger eigenen Code – etwa ein Phishing-Formular – in PayPal.com einschleusen können. Die letzte Lücke dieser Art wurde von PayPal erst nach rund zwei Wochen geschlossen. Fünf Tage waren die Details, wie man die Schwachstelle ausnutzt, öffentlich einsehbar, ehe das Unternehmen reagierte und das Problem in den Griff bekam.

Update vom 3. Juni, 10 Uhr: Inzwischen liegen uns auch Varianten der Phishing-Mails vor, die neben einer persönlichen Anrede sogar die postalische Anschrift des Mail-Empfänger enthalten.

Siehe dazu auch:

(rei)