Paypal lässt sich phishen

Allgemein

Ebays Bezahldienst ließ sich vom Ansturm der Phishing-Betrüger so sehr verwirren, dass die eigene Login-Seite mit einer fremden Seite verwechselt wurde, die angeblichen Schutz vor Spyware und eine Menge mehr verspricht. Der irreführende Hyperlink war in E-Mails an Kunden enthalten, mit denen Paypal Zahlungen bestätigte.

Die falschen Links waren offenbar bereits seit zwei Monaten in Paypals eigenen Mails enthalten. Doch erst in dieser Woche wurde dieser interne Paypal-Fehler korrigiert, wie Michael Oldenburg bestätigte, ein Sprecher für Paypals Muttergesellschaft Ebay. Angesichts der zahlreichen Betrugsversuche mit der bewährten Phishing-Methode, denen gerade die Paypal-Kunden ausgesetzt sind, erscheint das äußerst nachlässig.

Der falsche Link verwies auf secure.uninitialized.real.error.com. Er kam dort bei einer nicht existenten Seite an, so dass zumindest kein unmittelbarer Schaden entstehen konnte. Hätten die Leute von error.com richtig bösartige Absichten gehabt, hätten sie sich jedoch zahllose goldene Nasen verdienen können mit Hilfe von E-Mails, die eindeutig von Paypal selbst kamen. Die Betreiber von error.com erklären dazu: “Wir haben keine Ahnung, wie es zu dem Link kam. Die sollten das korrigieren.”

Ein Bezahldienst, zu dessen Nutzung Ebay zudem noch die eigenen Kunden zu zwingen versucht, sollte nun wirklich sorgfältiger vorgehen als die Kunden, die natürlich oft technisch weniger versiert sind. Ebay-Sprecher Oldenburg aber schob die Verantwortung auch diesmal wieder einfach den Kunden zu: Die sollten einfach niemals, niemals, niemals auf Links in E-Mails klicken, selbst wenn diese E-Mails von einer Bank, Händlern und Paypal kommen. Sondern immer schön ein neues Browserfenster aufmachen und händisch die Adresse eintippen.

Zweifellos ein guter Ratschlag, wenn man sich bei einer solchen Firma nicht auf die erforderliche Sorgfalt verlassen kann. Warum aber verschickt Paypal dann noch immer offizielle Mails mit Links auf die offizielle Login-Seite der Firma?

(nik)

The Register