Oh, lange keinen Phishing-Versuch mehr gehabt. Die Masche scheint ja jetzt schon so lange nicht mehr benutzt worden zu sein, dass einige verbrecherische Spammer glauben, dass man es wieder einmal versuchen könnte. Diesmal ist es aber nicht die Volksbank, die Raiffeisenbank, die Citibank oder eine Sparkasse, wo die Kunden um ihr Geld betrogen werden sollen, diesmal ist PayPal dran.

Technische Hinweise:

Die Mail mit dem Betreff „PayPal Notification“ sieht zwar in Farbwahl, Logo, Schriftgrößen und Zeichensätzen durchaus stilecht aus, hat aber den sehr unglaubwürdigen Absender „your (at) mail (punkt) com“ – wenn man schon Adressen fälscht, sollte man als Verbrecher vielleicht ein bisschen um Glaubwürdigkeit bemüht sein. Abgesendet wurde diese Mail nicht etwa von einem richtigen Mailserver, sondern von einer dynamisch von AOL vergebenen IP-Adresse, also von einem Botrechner, der feindselig von Spammern übernommen wurde. (Deshalb wird sie bei mir auch zuverlässig als Spam erkannt.) Die Mail ist HTML-formatiert, das PayPal-Logo wird direkt von der PayPal-Website eingebunden, so dass ein guter Mailclient wie der Thunderbird allein schon deshalb einen Hinweis ausgeben sollte, dass das Nachladen externer Grafiken unterbunden wurde, um die Privatsphäre zu schützen.

Die Spammer haben versucht, im Mailheader anzugeben, dass die Mail mit Microsoft Outlook Express 6.0 erstellt wurde. Der Inhalt der Mail widerspricht dem jedoch, da er lediglich über einen HTML-formatierten Teil verfügt – Outlook Express erzeugt die Mail immer in doppelter Ausfertigung, als HTML und als Text, wenn eine HTML-Mail abgesendet wird. (Auch dieser recht häufige Fehler der Spammer führt bei mir zu einem sofortigen Aussortieren des Sondermülls, ich hoffe, dass das überall so ist. Wer es nötig hat, die Angabe seiner Mailsoftware im Header zu fälschen, der hat es nicht nötig, dass ich mich mit seinem Geschreibsel weiter beschäftige. Ich habe Besseres mit meiner Zeit zu tun.)

Kurz: Gnadenlose Stümperei!

Die Mail:

You have 1 new Security Message Alert!

Klar, ich kriege also ein Sicherheitswarnungen. So ganz ohne persönliche Ansprache, obwohl ich Kunde bei PayPal sein soll. Und völlig ohne weiteren Hinweis, um was es sich handelt, obwohl eine solche Warnung doch gewiss ihre Dringlichkeit hätte – es geht ja um Geld.

Das Wort „Gnadenlose Stümperei“ habe ich ja schon geschrieben…

Log In into your account to resolve the problem.

Und dann soll ich das Problem auch noch lösen! Einfach nur, weil eine Mail mit fragwürdigem Absender, der mich nicht einmal namentlich ansprechen kann, dazu auffordert. Und zwar, ohne dass mir auch nur gesagt wird, worin das Problemchen bestehen könnte. Und ohne jeden Hinweis, dass wegen des möglichen Missbrauches eines PayPal-Kontos die Funktion vorübergehend gesperrt wurde. Alles in meiner Verantwortung.

Boah ey, die Spammer haben ja echt Vorstellungen!

Click here to Log In

Und wer da klickt, landet natürlich nicht bei paypal.com, sondern bei einer ziemlich kryptischen Bandwurm-URL, die nicht einmal versucht, vorzuspielen, dass sie die Adresse von PayPal wäre. Diese liegt auf einem Rechner mit der IP 88.97.204.162. Was man dort geboten kriegt, wird gewiss ganz ähnlich wie eine Anmeldemaske von PayPal aussehen (ich habe es nicht ausprobiert, weil ich keinen gut gesicherten Rechner vor mir habe) und dem Opfer die Möglichkeit geben, seinen Usernamen und sein Passwort einzugeben.

Diese Daten gehen natürlich direkt zu den Verbrechern weiter, die dann erstmal über PayPal das Konto belasten. Da man hierfür nicht so umständliche Dinge wie TANs braucht, ist dieser Betrug wesentlich leichter in klingende Münze umzuwandeln als es mit einem gephisten Zugang zu den „richtigen“ Kontodaten möglich wäre. Ob die Betrüger daraus direktes Kapital schlagen, indem sie Geld abheben und über einen Hilfsgeldwäscher bar nach Russland transferieren lassen, oder ob sie damit betrügerische Geschäfte auf eBay machen, um das Geld in Bares zu verwandeln, das wird das Opfer dieses Betruges schon merken.

Wahrscheinlich wird dieses Ding in ein paar Tagen auch in deutscher Sprache an Mailadressen in .de-Domains gehen, um etwas mehr Wirkung zu entfalten.

WICHTIGE HINWEISE ZUM PHISHING: Der beste Schutz gegen Phishing mit massenhaft versendeter Spam ist die Benutzung des eigenen Kopfes. Die Mails von PayPal kommen immer mit einer persönlichen Ansprache, die den dort angegebenen Namen widergibt. Wo eine solche Ansprache fehlt, handelt es sich niemals um eine Mail von PayPal. So etwas sollte unbesehen gelöscht werden. Leider versäumt es PayPal zurzeit noch, seine Kunden auf diese Form des Betruges hinzuweisen und Anweisungen zu geben, wie man Phishing erkennt und einen Schaden vermeidet. Eventuell sollte PayPal deshalb von Kunden, die diese (oder eine vergleichbare) Mail erhalten haben, auf die gegenwärtige Betrugswelle aufmerksam gemacht werden. Generell gibt: Bei Internet-Diensten, die Geld transferieren, niemals auf einen Link in einer Mail klicken, sondern immer die Internetadresse des Dienstes direkt in die Adresszeile des Browsers eingeben, um auch bei besser vorgetregenen Angriffen nicht in die gestellte Falle zu tappen. (Auch diese Vorgehensweise ist nicht völlig sicher, wenn ein durch Schadsoftware übernommener Rechner den Hostnamen nicht korrekt auflöst und stattdessen die Website von Verbrechern lädt. Das Manipulieren der „Lesezeichen“ oder „Favoriten“ ist oft noch einfacher, deshalb immer von Hand eingeben.) Dieses bisschen Prävention kann schnell viel Geld und viel Nervenkraft sparen.