Besonders tückisches PayPal-Phishing

[Christoph]

Zitat:

Wer derzeit eine Mail von PayPal erhält, muss genau hinschauen: Cyber-Kriminelle versenden professionell gestaltete Phishing-Mails, die man auf den ersten Blick nicht erkennt. Die Betrüger verwenden persönliche Anreden und registrierten sogar eigens eine .de-Domain, um ihrer Abzockaktion einen seriösen Anstrich zu verleihen.

heise Security liegen zwei Varianten von Phishing-Mails vor, deren Absender sich offenbar mehr Mühe als üblich gegeben haben, um deutsche PayPal-Kunden in die Falle zu locken. Eine davon hat den Betreff "[Vorname] [Nachname], PayPal benötigt Ihre Mithilfe!" und stammt vermeintlich von pp_k9_4n@paypal.com. Die persönliche Anrede findet sich nicht nur in der Mail wieder, sonder auch auf der Phishing-Seite, die der Mailempfänger besuchen soll, um sein angeblich missbrauchtes Konto zu verifizieren.

Der Name des Opfers in spe wird dabei nicht auf dem Server gespeichert, sondern in kodiertert Form über den URL-Parameter data an die Phishing-Seite übergeben. Beim Besuch der Webseite wird man aufgefordert, seine persönlichen Daten einzugeben. Im nächsten Schritt soll man dann seine Kreditkartendaten – einschließlich Kreditkartenlimit – eintippen. Dabei überprüft die Phishing-Seite sogar, ob die eingegegeben Daten plausibel sind.

Wo die persönlichen Daten kopiert wurden, ist derzeit unklar. Wahrscheinlich muss man das Datenleck nicht bei PayPal, sondern zum Beispiel bei einem schlecht abgesicherten Onlineshop oder Forum suchen.

Die zweite uns vorliegende Mail hat den Betreff "[Info] Wichtige Mitteilung zu Ihrem Kundenkonto 31.05.2013" und stammt vermeintlich von info@paypal.de. Auch hier geht es wieder darum, Daten nach einem angeblichen Missbrauch des PayPal-Kontos zu verifizieren, auch diese mal geht es dem Absender darum, persönliche Informationen und Kreditkartendaten abzugreifen. Anders als bei der ersten Mail haben die Betrüger eigens eine .de-Domain bei Strato registrieren lassen, sie lautet paypal-konfliktloesung.de.

Wenn PayPal vermeintlich per Mail um die Eingabe vertraulicher Daten bittet, sollten die Alarmglocken schrillen. Dahinter stecken in aller Regel Kriminelle, die mit den eingegebenen Zahlungsinformationen einkaufen gehen. Grundsätzlich sollte man PayPal-Daten nur dann eingeben, wenn man via HTTPS mit PayPal.com verbunden ist und der Browser beim Besuch der Seite keine Zertifikats-Fehlermeldung angezeigt hat.

Doch auch dann kann man sich nicht absolut sicher sein, dass nicht ein Schwindel im Gange ist: Immer wieder werden Schwachstellen in der PayPal-Site bekannt, durch die Betrüger eigenen Code – etwa ein Phishing-Formular – in PayPal.com einschleusen können. Die letzte Lücke dieser Art wurde von PayPal erst nach rund zwei Wochen geschlossen. Fünf Tage waren die Details, wie man die Schwachstelle ausnutzt, öffentlich einsehbar, ehe das Unternehmen reagierte und das Problem in den Griff bekam.

Quelle: http://www.heise.de/newsticker/meldu...g-1874729.html

Gestern war sogar ein Hinweis auf der Raika-Netbankingseite zu Phishing-Mails.

[Satan_666]

Irgendwie wundert es mich, dass man derart problemlos eine Domäne registrieren kann wie "paypal-konfliktloesung.de" ... das sollte doch schon der Registrierstelle auffallen, dass die URL nur als Phishing-Plattform verwendet werden wird.

[Christoph]

Theoretisch ja, es ist nur die Frage ob ein (mit)denkendes Wesen die Registrierung durchführt, in diesem Fall wären viele mißbräuchlich genutzte Domains unmöglich.