Neue PayPal-Phishing-Mails im Umlauf

Stefan Keller, den 1. Mai 2012
PayPal Phishing-E-Mail
PayPal Phishing-E-Mail

In den Mail-Konten dieser Welt befinden sich immer wieder sogenannte Phishing-Mails. Hierbei wird versucht, dem Anwender eine E-Mail zu senden, die wie ein bekannter Anbieter aussieht, beispielsweise seine Hausbank. Diese will häufig etwas überprüfen, man solle einen Link anklicken, sich einloggen und TANs hinterlegen. In unserem Postfach ist nun eine neue Masche gelandet. Anstatt von einem technischen Fehler zu sprechen, stellt der neue Phishing-Angriff den Anwender vor vollendete Tatsachen.

Angeblich habe man über den Online-Payment-Dienst PayPal etwas gekauft, die Mail gaukelt eine Zahlungsbestätigung vor. Auch wenn die E-Mail relativ echt aussieht, gibt es einige Punkte, an denen man sie recht eindeutig als Spam entlarven kann. So beginnt der Betreff mit „RE:“ – das steht üblicherweise für eine beantwortete Mail und kommt bei solchen Bestätigungen ansonsten nie vor. Weiterhin ist die Mail in unserem Fall an die Redaktion geleitet – entsprechend lautet die Anrede „Hello redaktion“. Hieße die E-Mail-Adresse „WirWollenKeinenSpam at ichspiele.cc“, würde die Anrede sicherlich „Hello WirWollenKeinenSpam“ lauten. Man sollte weiterhin skeptisch werden, wenn es darum geht, ob die Mail in sich überhaupt plausibel ist. Der Verkäufer ist in unserem Fallbeispiel ein „Armand Peterson“, der auch die Bezahlung erhalten haben soll. Interessant ist aber, dass man eine Nachricht hätte hinterlegen können (was offenbar nicht der Fall ist), an einen „Thad Peterson“. PayPal und andere Dienste versenden derlei Mails automatisch, die echten Server würden sich solche Fehler nicht leisten.

Damit wurde die Mail bereits an offensichtlichen Merkmalen ziemlich zweifelsfrei enttarnt, aber wer etwas tiefer gräbt, kann noch mehr Ungereimtheiten entdecken. In der Mail sind vier Links versteckt, die Transaction ID und unten „Help Centre“, „Resulution Centre“ und „Security Centre“. Hält man den Mauszeiger länger auf die Links, zeigt das E-Mail-Programm an, wo die Links hinzeigen – sie sollten eigentlich auf paypal.com zeigen, in diesem Fall zeigen sie aber auf eine indische Domain, die mit PayPal ansonsten gar nichts zu tun hat.

Der letzte Zweifel verfliegt schließlich, wenn man sich alle Mail-Header ausgeben lässt. Das ist mit fast allen Web-Mailern und allen E-Mail-Clients möglich. Der Zielserver (also beispielsweise GMX), notiert unter anderem, welchen Weg die E-Mail auf ihrem Weg in den Posteingang gegangen ist. In unserem Fall ist die Mail über viele Umwege aus Rumänien gekommen von einem lokalen DSL-Kunden, der sich vermutlich einen Trojaner eingefangen hat und nun als „Spam-Schleuder“ fungiert. Auf jeden Fall sollten in den Header-Daten Server desjenigen Anbieters auftauchen, von dem die Mail angeblich ist.

In allen anderen Fällen: Weg damit, keine Links anklicken und sich auf keinen Fall irgendwo einloggen!


Ähnliche Nachrichten