SicherheitSicherheitsmanagement

Phishing-Attacke täuscht PayPal-Nutzer mit korrekter Anrede und Adresse

shutterstock-phishing (Bild: Shutterstock)
2 1 Keine Kommentare

Angreifer versuchen derzeit mit einer überraschend gut gemachten Phishing-Mail Paypal-Nutzern ihre Kontoinformationen abzuluchsen. Die Kampagne unterscheidet sich von anderen durch die hohe Qualität des Täuschungsmanövers. Möglicherweise liegen ihr anderswo entwendete Adressdaten zugrunde.

Aktuell erhalten Nutzer E-Mails, dass bei einem Einkauf beim Outdoor-Spezialisten Globetrotter rund 310 Euro angefallen sind. Darin wird auf ein Problem hingewiesen, dass bei der Zahlung aufgetreten sei. Den Angeschriebenen wird daher auch die Möglichkeit zur Stornierung der Transaktion angeboten. Im Gegensatz zu anderen Links in der Mail, die auf die echte PayPal-Seite führen, bringt der Link “Stornierung durchführen” Nutzer aber auf die Phishing-Seite www.paypal-x-3.

Die Angreifer scheinen über einige Informationen über die Angeschriebenen zu verfügen, da oft Name und teilweise auch die Adresse korrekt sind. Allerdings scheint nicht jeder Angeschriebene auch über ein PayPal-Konto zu verfügen. Blogger Günter Born vermutet daher, dass die Hintermänner Zugriff auf einen Adressbestand haben.

Bei Firefox wird die Adresse als Phishing-Adresse erkannt. Der Browser leitet Nutzer automatisch auf die echte PayPal-Seite um. Beim Internet Explorer 11 sieht man für Sekundenbruchteile den SmartScreen-Filter mit der Meldung angezeigt, dass es sich um eine Phishing-Seite handeln könnte. Die Angreifer haben aber offenbar einen Weg gefunden, diese Meldung auszublenden. Es erscheint dann, ebenso wie bei der Nutzung von Chrome, ein Tab mit einem Dialog, über den Nutzer angeblich Probleme bei der Stornierung bearbeiten können. Tatsächlich werden dort dann aber die Zugangsdaten abgegriffen.

Eine angeblich von PayPal stammende Nachricht soll Nutzer dazu verleiten, ihre Kontodaten preiszugeben. Die angegebene Adresse ist in diesem Fall anders als die Anrede nicht korrekt (Screenshot: sililcon.de).
Eine angeblich von PayPal stammende Nachricht soll Nutzer dazu verleiten, ihre Kontodaten preiszugeben. Die angegebene Adresse ist in diesem Fall anders als die Anrede nicht korrekt. (Screenshot: sililcon.de).

Wie eine entsprechende Whois-Abfrage zeigt, scheint die Seite auf einem Server in den Niederlanden gehostet zu sein. Die Domain jedoch wurde von einem Registrar aus Russland vergeben. PayPal wurde bereits über die neue Betrugswelle informiert.

[mit Material von Martin Schindler, silicon.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Journalist, Chefredakteur von ITespresso.de. Sucht immer nach Möglichkeiten und Wegen, wie auch kleine Firmen vom rasanten Fortschritt in der IT profitieren können. Oder nach Geschäftsmodellen, die IT benutzen, um die Welt zu verbessern - wenigstens ein bisschen.

Folgen