Pishing Versuch als paypal-Mail getarnt

Innerhalb weniger Stunden bekam ich gleich 2 Mal Post von paypal – angeblich von paypal. Ich muss zugeben, dass die Nachrichten wirklich gut gemacht sind. Die Aufmachung der Mails wirkt schon sehr seriös.  So ist der Text in fehlerfreiem Deutsch geschrieben (eine kleine Buchstabenverdrehung o.ä. kann überall mal vorkommen – besonders bei mir hier….), die Logos sehen gut aus, es ist ein Impressum vorhanden – und die Links führen auch fast alle auf die offizielle Paypal-Seite – fast alle.Die Links, die man anklicken soll, um sein Konto zu „verifizieren“ führen auf andere Websites. Die Adresse dieser Seiten wirkt schon etwas seltsam – könnte aber durchaus noch als zu Paypal gehörig durchgehen: „…pp-verification…“ kann man sich ja noch als „paypal…“ zusammenreimen und bei der anderen Adresse fällt steht zumindest paypal mit in der Adresszeile. Im folgenden ein paar Screenshots ( mit kurzen Erläuterungen) der Mails und der Webseiten, auf die man klickt, wenn man tatsächlich den Links folgt – was man eigentlich nicht tun sollte!!!

Auf den ersten Blick sieht folgende Mail unverdächtig aus. Der Text scheint stimmig – und in meinem Fall kommt hinzu, dass ich vor kurzem tatsächlich auffällig viel (oder teuer?) via paypal bezahlt habe. Stutzig werden muss man aber bei dem, was in den roten Kästchen steht: die Adresse endet nicht auf paypal.de oder paypal.com sondern auf paypal-e.de – was hat das -e da zu suchen??? Die Antwort-Adresse (Return-Path) ist wiederum völlig seltsam:  …@pmt.perfora.net – was ist das? Diese Zeilen werden in einigen Mail-Programmen aber (standardmäßig) nicht angezeigt.

paypal_pish_1a

 

Zeigt man mit der Maus auf den Link „Verifizierung jetzt starten“ wird bei meinem Mail-Programm unten in der Info-Leiste (roter Rahmen)die tatsächliche Adresse angezeigt. Hier sollte im Normalfall etwas wie …/paypal.de/… oder …/paypal.com/… stehen und nicht a.paypal-next.org:

paypal_pish_1b

 

Der Link ist mittlerweile tot – es erscheint ganz kurz die Adresse im Browser, dann wird zur echten Paypal-Seite umgeleitet. Ob diese Umleitung eine gute Idee ist wage ich zu bezweifeln – so entsteht der Eindruck (bei Leuten, die das erst spät lesen o.ä.), das mit der Mail alles in Ordnung war und Paypal tatsächlich solche Mails verschickt. Übrigens wurde diese Adresse (angeblich?) in Deutschland/Bad Rappenau registriert. Ob die Person, die dort angegeben ist das tatsächlich selbst war oder jemand die Mail-Adresse mißbrauchte ist wohl noch die Frage.

Auf dieser Seite wird o.g. Mail auch thematisiert – allerdings scheint dort die Mail schlechter ausgeführt, da dort mehr Ungereimtheiten im Text auftauchen, z.B. kein Datum angegeben ist.

Auch bei der 2. Mail mit diesem Thema sieht man in der Mail-Ansicht (je nach Einstellungen), dass die Mail nicht von Paypal stammt. Im folgenden Beispiel stammt die Mail von einem „Webservice.de“

paypal_pish_2a

Zeigt man in meinem Mail-Programm mit der Maus auf den Button „Konfliktlösungen“ so wird bei mir unten (roter Rahmen) wieder die tatsächliche Adresse angezeigt: pp-verfikation…. Das hat nun wirklich nichts mit Paypal zu tun. Ich habe trotzdem mal geklickt…

paypal_pish_2b

 

…und kam damit auf folgende Webseite. In der Adresszeile die tatsächliche Adresse, die mir im Mailprogramm angezeigt wurde. Das traurige: 16 Stunden nach Empfang der Mail (die sicher auch viele andere Empfänger erhielten) war diese Webseite immer noch in Betrieb. Eine Whois-Abfrage zeigt, dass diese Adresse (angeblich) in/über Panama registriert wurde. Paypal -Seiten sind in der Regel über USA/San Jose registriert. Was auf dieser Webseite abgefragt wird, ist wirklich schon frech:

paypal_pish_2c

Vor allem scheint hier eine gewisse „Intelligenz“ hinter zu stecken. Ich habe mir mal den Spaß gemacht und alle Felder (natürlich mit falschen erfundenen Daten) ausgefüllt – das wurde nicht akzeptiert, ich wurde drauf hingewiesen, das Mail-Adresse und Passwort nicht übereinstimmen – wurde das im Hintergrund gleich geprüft?

Waren es in letzter Zeit oft angebliche Mails von anderen Banken oder der Post, so ist nun wohl wieder paypal verstärkt Ziel von Pishing-Attacken. Vielleicht wurden gerade die „Baukästen“ aktualisiert, mit denen man solche Mails und manipulierte Webseiten erstellen kann. Es ist schon sehr auffällig, wenn innerhalb kurzer Zeit mehrere sehr ähnliche Mail ankommen.

Fazit: Finger weg bei solchen Mail, keinem Link folgen! Im Browser händisch paypal.de eingeben, darauf achten dass am Anfang der Adresszeile https steht (falls angezeigt?) und so schauen, ob es tatsächlich irgendwelche Probleme mit dem Konto gibt.

Mehr zum Thema übrigens hier:   PC und Internet Teil 5: Datenschutz und online-Fallen 2

2 Klicks für mehr Sicherheit: der 1. Klick aktiviert die Buttons (schon dabei werden Daten übertragen) der 2. Klick ermöglicht das Empfehlen, Twittern usw.

Über dischue

"Chef" dieses Blog-chens hier und momentan fast einziger Verfasser der Artikel auf diesen Seiten, fleißiger Internetnutzer und für technische Spielereien aller Art zu haben... ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.