Menü
Security

Perfides PayPal-Phishing mit angeblicher Eventim-Rechnung

Eine überdurchschnittlich gut gemachte Phishing-Mail soll PayPal-Kunden in die Datenfalle locken. Die Absender haben sogar beim Header getrickst.

Von
vorlesen Drucken Kommentare lesen 340 Beiträge
PayPal

Online-Gauner verschicken derzeit gut gemachte Phishing-Mails, die vorgeben, dass über das PayPal-Konto des Empfängers Veranstaltungstickets gekauft wurden. Laut der Mail hat der Kontoinhaber eine Zahlung in Höhe von 85,70 Euro an die CTS Eventim AG & Co. KG gesendet. Es geht um den Kauf von zwei Tickets für die Veranstaltung "Let's Spend The Night Together", die bereits am vergangenen Samstag stattgefunden haben soll.

Bei der Phishing-Mail handelt es sich um die Kopie einer legitimen PayPal-Bestätigung.

Wer neugierig wird und wissen möchte, was es damit auf sich hat, landet direkt in der Phishing-Falle: Sämtliche Links in der Mail verweisen auf die Seite der Online-Ganoven, auf der man nach Zugangsdaten und vermutlich auch Zahlungsinformationen gefragt wird. Gibt man hier seine Daten ein, landen sie geradewegs in den Händen der Abzocker. Die Täter nutzen die eingesammelten Daten ihrer Opfer oft nicht selbst, sondern bieten sie auf speziellen Markplätzen im Paket zum Kauf an. Die Käufer versuchen letztlich, maximales Kapital aus der Datenbeute zu schlagen, etwa durch Bestellungen in Online-Shops.

Die Mail ist auf den ersten Blick kaum als Fälschung zu erkennen, da es sich um eine Kopie einer legitimen PayPal-Mail handelt. Auffällig ist vor allem, dass eine persönliche Anrede fehlt – umgekehrt ist eine solche kein Indiz dafür, dass eine Mail echt ist. Zudem verweisen die Links nicht auf https://www.paypal.com, sondern auf eine ähnlich klingende Phishing-Domain.

Auch, wer einen Blick hinter die Kulissen wirft und den Mail-Header analysiert, muss möglicherweise zwei Mal hinschauen: Der Kopf enthält eine ausgedachte Zeile, die vorgibt, dass die Mail ursprünglich von mail.paypal.de stammt:

Received: from s19162184.onlinehome-server.info (s19162184.onlinehome-server.info [87.106.61.226])
by mail.paypal.de (Postfix) with ESMTPA id 1299332D3342C
for <rei@heise.de>; Mon, 18 Apr 2016 23:11:41 -0500 (CDT)

Sie befindet sich ganz unten, also als erster Eintrag der Einlieferungskette. Bei der Übergabe an den Einlieferungs-Server schickt der Server der Spammer zudem ein HELO mit dem Inhalt "mail.paypal.de", um die Glaubwürdigkeit der ausgedachten Zeile zu erhöhen.

Grundsätzlich sollte man seine PayPal-Daten ausschließlich auf paypal.com eingeben. PayPal gibt auf seinen Seiten Tipps, woran betrügerische Websites und E-Mails zu erkennen sind. Wer eine verdächtige Mail erhält, kann Sie dem Unternehmen über die eigens eingerichtete Mail-Adresse spoof@paypal.com zukommen lassen. (rei)