Erlaubt eine neue Phishing-Masche die Übernahme von PayPal-Konten?

Ein angeblicher neuer Phishing-Angriff gegen Paypal-Nutzer sorgt für Aufregung. Mit einem speziell präparierten E-Mail-Verteiler und einer gefälschten Geldanforderung sollen Kriminelle die PayPal-Konten ihrer Opfer kapern können. heise security konnte den Angriff jedoch nicht bestätigen.

Unbekannte bedachten Carl Windsor, den CISO des US-Firewallherstellers Fortinet, im Dezember 2024 mit einer seltsamen Phishing-Mail. Es handelte sich um eine Zahlungsaufforderung eines PayPal-Nutzers, die jedoch an eine vollkommen andere E-Mail-Adresse als die des Sicherheitsprofis gerichtet war. Das machte Windsor stutzig und er forschte nach.

Auf Mailverteiler eingetragen

Offenbar hatten die Angreifer seine E-Mail-Adresse herausgefunden und auf einem Mailverteiler eingetragen. Dazu nutzten sie ein Konto bei Microsofts Cloud-Dienst M365 – dessen Reputation bei E-Mail-Servern half den Phishern, an Spam- und Malwarefiltern vorbeizukommen.

An den derart präparierten Mailverteiler hatten sie dann über ein PayPal-Konto, das sie kontrollierten, eine Zahlungsaufforderung über knapp 2200 US-Dollar gesandt. Der Trick dabei: Klickt der Empfänger solch einer E-Mail auf den Link zum Begleichen der Forderung, wird die E-Mail-Adresse des Mailverteilers seinem PayPal-Konto hinzugefügt. Zumindest weckt die Login-Seite von Paypal diesen Eindruck, lautet ein Hinweis doch: "Wir fügen angreifermail@angreifer.de Ihrem PayPal-Konto hinzu, wenn Sie sich einloggen."

Meldet sich das Opfer bei PayPal an, um die vermeintlich irrtümliche Zahlungsaufforderung abzulehnen, schnappt die Falle zu – so die Theorie. Im nächsten Schritt hätten die Phisher dann über die neu hinzugefügte E-Mail-Adresse ein neues Passwort setzen und so das Paypal-Konto kapern können, vermutet Windsor.

Doch bei eigenen Tests mit mehreren PayPal-Konten konnten wir diesen Angriff nicht nachstellen. Zwar erscheint auch bei unseren Tests mittels eines Desktop-Browsers die Mitteilung, man füge eine E-Mail-Adresse hinzu, doch geschieht dies nicht. Weder bei Ablehnung der missbräuchlichen Zahlungsaufforderung noch wenn das Opfer diese annimmt und tatsächlich eine Zahlung leistet. Um sicherzugehen, richteten wir ein neues PayPal-Konto ein – auch hier konnten wir den Phishing-Angriff nicht erfolgreich durchführen.

Warum der Angriff in unseren Tests nicht funktioniert, ist unklar. Möglicherweise hat PayPal die Sicherheitslücke seit Windsors Test Anfang Dezember behoben. Weder PayPal noch der Fortinet-CISO meldeten sich auf eine Anfrage von heise Security am Donnerstag zurück.

Vorsicht beim Empfang von Zahlungen

Bei eingehenden Zahlungen – wenn die Phishing-Angreifer also dem Opfer einen Betrag "irrtümlich" überweisen, ist die Situation jedoch etwas anders. Sobald das Opfer eine Zahlung an eine derart präparierte E-Mail-Adresse erhält, durchläuft es einen anderen Ablauf: Nach der Anmeldung erscheint ein bildschirmfüllendes Pop-up, das um Bestätigung der zusätzlichen E-Mail-Adresse für das PayPal-Konto bittet. Mit geschicktem Social Engineering mag es Kriminellen möglich sein, einzelne Opfer dennoch zu überlisten, doch stellt die unübersehbare Bestätigungsmeldung eine hohe Hürde dar.

Der Zahlungsanbieter PayPal war unlängst in die Schlagzeilen geraten, weil seine Tochterfirma Honey und deren Browser-Plugins unter Betrugsverdacht gerieten und viele Kooperationspartner sich coram publico lossagten.

(cku)