Blog

PayPal Betrüger verschicken wieder eMails

Kein Tag vergeht ohne den Müll im eMail-Postfach. Heute geht wieder eine eMail mit einem angeblich notwendigen Datenabgleich herum. Jemand hat Hunderte von Euros von meinem PayPal-Konto abzweigen wollen:

paypal-spam

 

Die eMail kommt angeblich von service@paypal.de, was neben der deutschen Sprache darauf hinweist, dass es ein gezielter Angriff auf deutsche Nutzer ist. Der Quelltext der eMail verrät, dass das Bild oben in der eMail auf einem anonymen Bildhoster abgelegt ist:

paypal-spam-header

Der eMail Quelltext verrät uns, dass der Absender klar gefälscht wurde. Die eMail-Erstellung erfolgte über den niederländischen Provider weservit.nl (IP 94.228.215.24). Dafür wurden auch noch ein paar andere Server genutzt. Der Quelltext nutzt scheinbar auch yahoo-Stilelemente, was bedeuten könnte, dass der Originalversender yahoo-Mail nutzt.

paypal-spam-yahoo

Die Rückverfolgung der eMail bringt hier erstmal wenig Erfolg.

In der eMail selbst wird die Webadresse http://sicherer-datenabgleich.de/ beworben, um die PayPal-Zugangsdaten zu bestätigen, bzw. den Betrügern freiwillig zu übergeben. Die Domain ist in Deutschland registriert. Der angebliche Inhaber ist eine wohl eher nicht existierende Person namens Uliver Wünscher aus Wassertorstraße 15 in 10969 Berlin. Die Domain wurde erst am 14.03.2014 registriert. Scheinbar durch einen Service namens Zitat: “Created by LifeGuard at 3/14/2014 7:35:17”. Traurig, dass man bei der Denic diesen gefälschten Mist durchbekommt. Die Denic selbst bietet keine offensichtliche Möglichkeit sich zu beschweren, bzw. hält sich nicht für verpflichtet Domains, die auf kriminelle Inhalte zielen, abzuschalten. Die Adresse liegt auf dem Webserver mit der IP 123.1.154.234. Die IP gehört dem Webhoster New World Telephone in Hongkong, wo auch die Server stehen. Ein Besuch der IP-Adresse offenbart dann auch eine an PayPal angelehnte Seite, die stellenweise Designelemente direkt von PayPal nutzt.

paypal-spam-webseite

 

paypal-spam-design

Auf der Webseite sind alle Links bis auf einen tot. Jeder Menüpunkt und Link ist einfach ohne Ziel hinterlegt. Das sieht man an dem Hash bzw. der Raute im Link:

paypal-tote-links

Der einzige funktionierende Link ist diese Schaltfläche:

paypal-lebendiger-link_1

Sie führt in ein Unterverzeichnis zu:

paypal-lebendiger-link_2

Folgt man diesem Link erscheint dieses nette Formular, dass ich einfach pauschal ausgefüllt habe:

paypal-spam-unterseite1

Auch auf dieser Unterseite sind alle Links bis auf den Fortfahren-Knopf tot.

Klickt man nun auf Fortfahren kommt ein weiteres Formular, das ich freundlicherweise auch mal ausgefüllt habe:

paypal-spam-unterseite2

Die VISA-Kartennummer habe ich mal ausgedacht und geschwärzt, falls es das Ding tatsächlich gibt. Durch die falsche Prüfnummer und das gigantische Limit wird es eh keinen Treffer für diese kriminelle Bande geben. Im Kleingedruckten auf dieser Seite steht noch etwas von verschlüsselter Übertragung, aber diese Mühe haben sich die Betrüger nicht gemacht. Erkennbar daran, dass nur http statt https genutzt wird.

Klicken wir nun weiter verifiziert die Webseite (also paypal) die Daten.

paypal-spam-unterseite3

 

Das dauert einige Sekunden und anschließend wird man zur korrekten paypal-Seite weitergeleitet.

Fazit: Das ist eine durchaus perfekte Phishingaktion. Wenn die internen Links auf der Phishingseite noch funktioniert hätten und eine SSL-Verschlüsselung vorhanden wäre, hätte man darauf reinfallen können. Diese Betrüger sind mit einfachen Mitteln jedenfalls nicht zu schnappen. Also Vorsicht, wenn Ihr diese oder ähnliche eMails erhaltet!

Tagged , , ,