Oh, gleich mit zwei Punkten nach dem Betreff. ‼️

Von: service@paypal.de

Nun, ich nutze PayPal. Ich habe eine eigene (und nicht leicht erratbare) Mailadresse nur für PayPal – so eine Mailadresse ist ja schnell eingerichtet – die ich für nichts anderes verwende und die außer mir und PayPal niemand kennt. Das kann ich nur weiterempfehlen. Das ganze Phishing auf PayPal-Konten kommt regelmäßig auf meinen „bekannteren“ Mailadressen an, und ich kann es deshalb sofort und ohne weiteres Nachdenken als Phishing erkennen. Manchmal ist es sehr einfach, die gefürchteten „Cyberangriffe“ abzuwehren. 🛡️

Diese Mail kommt also nicht von PayPal.

Man kann sich natürlich nicht nur darauf verlassen. Wenn es irgendwann einmal ein so genanntes „Datenleck“ bei PayPal gibt, ist es mit diesem Schutz vorbei und man muss sich eine neue Mailadresse für PayPal machen. Bis das so genannte „Datenleck“ bekannt wird, ist der Schutz nicht wirksam, sondern sogar gefährlich, wenn man sich darauf verlässt. Man kann sich niemals nur auf eine Sache verlassen. Sonst ist man schnell verlassen.

Mein rspamd hat dieser Mail 33,11 „güldene Spampunkte“ gegeben, wie ich das immer nenne. Größtenteils wegen der gescheiterten Verifizierung über SPF und DKIM. Bei mir ist die Einstellung generell sehr empfindlich, was sich vermutlich nicht jeder Mensch leisten kann: Schon ab fünf Punkten gehts automatisch in die eklige Tonne. Aber so eine klare Spam sollte wirklich überall sicher erkannt und aussortiert werden, wenn es überhaupt eine Spamfilterung gibt. Und gegenüber automatisch erkannter und aussortierter Spam ist hoffentlich jeder Mensch ein bisschen skeptisch. ☣️

Man kann sich natürlich auch nicht nur darauf verlassen. Mit einer Absenderadresse unter Kontrolle der Spammer wäre die Spamerkennung nicht mehr so sicher gewesen, und es gäbe immer noch genug Möglichkeiten, die Absenderadresse halbwegs plausibel aussehen zu lassen. Aber ich wiederhole mich. Man kann sich niemals nur auf eine Sache verlassen.

In diesem Fall hat eine sehr einfache, für jeden Menschen leicht durchführbare und verständliche Sicherheitsmaßnahme, nämlich die Nutzung einer speziellen Mailadresse für die Kommunikation mit einem Dienstleister, das Phishing völlig entschärft. Und der Spamfilter hätte ebenfalls gereicht, auch wenn die meisten Menschen nicht verstehen werden, nach welchen Kriterien die Spamfilterung funktioniert und sich auch noch niemals den Quelltext einer Mail angeschaut haben.

Wenn man sich zudem angewöhnt, niemals in eine E-Mail zu klicken, schützt man sich sowieso wirksam vor Phishing, einer der häufigsten Trickbetrugsmaschen im gegenwärtigen Internet. Denn Phishing setzt voraus, dass einem der Betrüger einen giftigen Link unterschieben kann. Wer für Websites wie die Website von PayPal ein Lesezeichen im Webbrowser anlegt und sich angewöhnt, diese Websites nur über das Lesezeichen aufzurufen, kann aber gar nicht so einfach einen giftigen Link untergeschoben bekommen. Die Methode ist einfach, kostet kein Geld, führt zu keinerlei Komfortverlust (es bleibt ja Klicken) und schützt selbst dann noch zuverlässig, wenn alle anderen Abwehrtechniken versagen. Macht das! Es ist ein für den „Hausgebrauch“ völlig hinreichender Sicherheitsgewinn.

Ich habe gestern erst wieder eine Frau kennengelernt, die wegen Phishing rd. tausend Euro Schaden hatte, den sie natürlich nicht ersetzt bekommt. Sie weiß jetzt nicht, wie sie über den Monat kommen soll. Nein, das Konto lässt sich nicht überziehen. Sie ist arm. Das hat zwar vor größerem Schaden bewahrt, aber der Schaden ist wahrlich groß genug. Das wird eine bittere Zeit in den nächsten Monaten und Jahren. Denn wahrscheinlich wird jetzt auch noch ihre Identität für Betrugsgeschäfte missbraucht. Währenddessen muss sie sich „ein bisschen“ einschränken, weil sie das ganze von Bekannten geliehene Geld, mit dem sie sich jetzt durchschlägt, ja auch wieder zurückzahlen muss.

Und das alles nur, damit sich eine Betrügerbande den verfeinerten Lebensstil leisten kann! 🤬️

Wenn man sich angewöhnt, niemals in eine E-Mail zu klicken, ist man vor so einer kleinen persönlichen Katastrophe ziemlich sicher. So einfach geht das. Tausend Euro sind übrigens ein recht geringer Schaden. 😐️

So, und nun zum „Inhaltlichen“:

PayPal

Es ist relativ schwierig, die originale Formatierung der Firmierung „PayPal“ aus der Spam hier gut abzubilden. Das HTML der Spam erweckt den Anschein, irgendwie aus den Neunziger Jahren übriggeblieben zu sein.

Für Genießer mit Kenntnissen: Bitte gut festhalten. Dieses Meisterwerk eines unbekannten Künstlers mit dem provisorischen Titel „Firmierung formatieren“ sieht im Quelltext so aus:

<TABLE class="x_245998493bb11370image_block x_9c3a65a68b1dc5d5block-2" cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD class=x_ecc3ce92abbe759epad style="WIDTH: 100%; PADDING-BOTTOM: 20px; PADDING-TOP: 10px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px">
<DIV class=x_2aa39bf5fa21f0d2alignment style="FONT-FAMILY: Arial, Helvetica, sans-serif, serif, EmojiFont; LINE-HEIGHT: 10px" ><h6>&nbsp; &nbsp;&nbsp;<i style="FONT-FAMILY: Arial"><b><big><big><font size="6" color="#001f6b"><big><big>Pay</big></big></font></big></big><font size="6" color="#009be1"><big><big>Pal</big></big></font></b></i></h6>&nbsp;</DIV></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE>

Einfach nur zum Weglaufen! 💩️

(Ja, diese völlig überflüssige HTML-Tabelle mit einer Zeile und einer Spalte war in einer weiteren Tabelle enthalten, die in einer weiteren Tabelle enthalten war. Das ist nur angedeutet, weil ich das Zitat kurz halten wollte.)

Und nein, das wird im Folgenden nicht besser. Die lediglich dreiunddreißig Wörter dieser Spam, insgesamt 263 Byte, werden in 14.489 Byte grotesk aufgedunsenem HTML verpackt. Ich kriege davon einen Flashback in eine Zeit, in der Microsoft Word auf einmal um Mailfunktionen erweitert wurde, weil Internet damals der große Hype war.¹ Diese Mails sahen auch immer gruselig aus, siebenmal schlimmer als alles, was Microsoft Outlook jemals verbrochen hat, vor allem, wenn man sie mit einer Mailsoftware angeschaut hat, die nicht von Microsoft war. Und wer damals auf ein Modem zurückgeworfen war – und das waren immer noch sehr viele Menschen – hat diese sinnlose Stopfmasse gehasst. Es war nicht ungewöhnlich, dass ein kurzer Einzeiler in zwanzig Kilobyte völlig redundanten Auszeichnungen verpackt wurde. Zum Glück hat sich das damals schnell herumgesprochen, und der große Wahnsinn ging vorüber, um dem normalen Wahnsinn zu weichen. Dem Wahnsinn, den wir bis heute haben.

Schluss mit „Opa erzählt vom Krieg“. Also weiter zur Spam:

Kontoauszug für Dezember bereitgestellt

Ihre Finanzübersicht für diesen Monat steht jetzt zur Verfügung. Melden Sie sich einfach in Ihrem PayPal-Konto an und laden Sie den Bericht herunter.

Kontoauszug anzeigen

Copyright © 1999-2025

Und, gibt es einen PayPal-Nutzer auf dieser Welt, der jemals einen „Kontoauszug“ von PayPal gesehen hätte? Es gibt eine Aktivitätsübersicht der letzten drei Jahre, ja, aber es gibt keinen „Kontoauszug“ für einen Monat. Eine solche Bezeichnung ist völlig untypisch für PayPal.

Das ist das nächste und vielleicht unzuverlässigste Sicherheitsnetz gegen Phishing und vergleichbare Formen des Trickbetrugs: Die Spams haben oft große inhaltliche Schwächen, die beim einfachen Lesen auffallen. Die Teilnahme am Datenverkehr erfordert ständige Vorsicht und gegenseitige Rück… ach, das war ja die Straßenverkehrsordnung. Aber Aufmerksamkeit und ständige Vorsicht helfen auch im Datenverkehr, große Schäden zu vermeiden. Und dazu ist jeder Mensch imstande, auch ohne vertiefte technische Kenntnisse.

Wer es sich zudem angewöhnt, niemals in eine (nicht digital signierte) Mail zu klicken, tut sehr viel mehr für seine Sicherheit als die meisten anderen Menschen. Leider ist die Naivität, mit der durchschnittlich bis gut gebildete Menschen an ein anonymisierendes, technisches Medium herangehen, oft erschreckend. Ich sage gern, dass es wie die Herangehensweise unreifer Teenager an Sex ist: Schnell, einfach und gefährlich.

Aber ich bin ja auch ein kleines bisschen zynisch. Das hilft im kollektiven Wahnsinn nicht selbst irre zu werden.

Apropos inhaltliche Schwächen: An dieser Spam entzückt nicht nur, dass sie ein „geistiges Eigentum“ auf einen Text proklamiert, der die dafür rechtlich erforderliche Schöpfungshöhe nicht einmal aus großer Ferne gesehen hat, sondern auch, dass dieses „geistige Eigentum“ nicht etwa bei einem geistig eigentümlichen Autor liegt, sondern bei einem Zeitraum von 26 Jahren. Das wird sicherlich lustig, wenn mich jetzt der Kalender verklagt, weil ich ein Vollzitat der Mail veröffentliche! 🤭️

In diesem Sinne: Entf! 🗑️

¹Wer es nicht selbst miterlebt hat und es sich heute nicht mehr vorstellen kann: In der Wikipedia gibt das Lemma „Dotcom-Blase“ eine Schnelleinführung in den kollektiven Irrsinn dieser Zeit. An jedes noch so fernliegende Programm wurde damals in allergrößter Eile eine so genannte „Internetfunktionalität“ angeflanscht, egal, ob das sinnvoll war oder nicht. Zurzeit erleben wir einen ähnlichen Hype rund um die so genannte „Künstliche Intelligenz“, und wieder wird das Geld in Milliardenpäckchen verbrannt, begleitet von einem völlig inkompetenten Journalismus, der bis in die Fachmagazine reicht – aber besoffen von dummer Gier nach Geld und Machbarkeit nicht ein einziges Mal die naheliegende Frage stellt, wo eigentlich die lebenspraktisch wichtigen Anwendungsfälle liegen und wo das Geschäftsmodell sein soll, das alle Investitionen zurückbringt. Wer aus den Fehlern der Vergangenheit nicht lernt, ist dazu verdammt, sie zu wiederholen. Und wer sich aus journalistischen Publikationen informiert, lernt nur PResseerklärungen und aufregende Neuigkeiten, die von noch neueren, aufregenderen Neuigkeiten ins Vergessen gespült werden, aber nichts über die Fehler der Vergangenheit.