Ausgefeilte Phishing-Attacke zielt auf PayPal-Nutzer

Martin Schindler,
Phishing (Bild: Shutterstock)

Nutzer von PayPal-Konten werden mit korrekter Anrede und teilweise mit richtiger Lieferadresse angeschrieben. Wollen diese die Transaktion von über 300 Euro stoppen, werden Zugangsdaten ergaunert.

Mit einer ausgefeilten Phishing-Attacke versuchen Angreifer offenbar Nutzer des Bezahldienstes Paypal zur Preisgabe ihrer Kontoinformationen zu bewegen. Was diese Attacke von anderen unterscheidet ist vor allem die hohe Qualität des Täuschungsmanövers.

Die Angreifer scheinen über gewisse Informationen über die Angeschriebenen zu verfügen. Name und Adresse der Adressaten sind teilweise korrekt. Dennoch scheint nicht jeder Angeschriebene auch über ein PayPal-Konto zu verfügen. Wie der Blogger Günter Born in einem Beitrag vermutet, haben die Angreifer Zugriff auf einen Adressbestand. Auch in der ZDNet.de-Redaktion ist eine entsprechende Mail mit korrekter Anschrift eingegangen.

Phishing ohne Rechtschreibfehler. Die Nachricht, die angeblich von PayPal stammt, soll Nutzer dazu verleiten, ihre Konto-Daten weiterzugeben. Angeblich sei es noch bis zum 17.01.2016 möglich, die Transaktion zu stoppen. (Screenshot: silicon.de)
Phishing ohne Rechtschreibfehler: Die Nachricht, die angeblich von PayPal stammt, soll Nutzer dazu verleiten, ihre Konto-Daten weiterzugeben. Angeblich sei es noch bis zum 17.01.2016 möglich, die Transaktion zu stoppen. Die angegebene Adresse war in unserem Fall anders als die Anrede nicht korrekt. (Screenshot: silicon.de)

Die Angeschriebenen bekommen eine Nachricht, dass bei einem Einkauf über den Outdoor-Spezialisten Globetrotter rund 310 Euro angefallen sind. Zudem wird auf ein vermeintliches Problem mit dieser Zahlung hingewiesen. Bei der Betrugsmasche wird dem Angeschriebenen auch die Möglichkeit zur Stornierung der Transaktion angeboten. Anders als andere Links in der Mail, die tatsächlich auf die PayPal-Seite führen, führt der Link “Stornierung durchführen” auf die Phishing-Seite www.paypal-x-3.

Nutzer des Internet Explorers 11 bekommen für Sekundenbruchteile den SmartScreen-Filter mit Meldung angezeigt, dass es sich dabei um eine Phishing-Seite handeln könnte. Offenbar aber haben die Angreifer einen Weg gefunden, diese Meldung wieder auszublenden.

Über Firefox wird die Adresse als Phishing-Adresse geführt und der Browser leitet den Nutzer automatisch auf die echte PayPal-Seite um.

In der hochprofessionellen Phishing-Attacke sollen Nutzer die Zugangsdaten zu PayPal-Konten preis geben. Angeblich sollen sie eine Transaktion über 300 Euro stornieren. (Screenshot: silicon.de)
In der hochprofessionellen Phishing-Attacke sollen Nutzer die Zugangsdaten zu PayPal-Konten preis geben. Angeblich sollen sie eine Transaktion über 300 Euro stornieren. Hinter dem Link “Weiter zur Konfliktlösung” erscheint ein Dialog für die Eingabe der vertraulichen Daten. (Screenshot: silicon.de)

Unter IE und Chrome hingegen erscheint folgender Dialog, über den Nutzer angeblich Probleme bei der Stornierung bearbeiten können. Hier werden dann tatsächlich die Zugangsdaten abgegriffen.

Die Seite selbst scheint auf einem Server in den Niederlanden gehostet zu sein, wie eine entsprechende Whois-Abfrage zeigt. Die Domain jedoch wurde von einem Registrar aus Russland vergeben. PayPal wurde bereits über die neue Betrugswelle informiert.

Die Gesichter hinter der Malware – Wer sind die berühmtesten Hacker? Stellen Sie Ihr Wissen auf silicon.de unter Beweis!