PayPal-Nachricht „Neue Adresse hinzugefügt“ – dahinter steckt eine Betrugsmasche
Die PayPal-Nachricht überwindet den Spam-Filter, wirkt authentisch – und ist so formuliert, dass sie Panik auslösen soll: Der Bezahldienst bestätige, dass eine neue Adresse hinterlegt und ein teures MacBook Pro auf dem Weg dahin sei. Falls man dies nicht veranlasst habe, möge man schnellstens eine Telefonnummer anrufen. Die Nachricht wirkt echt, selbst der Absender stimmt. Wer allerdings dort anruft, spricht mit Betrügern, die einem zur Installation von Bildschirmsteuerungs-Software auf den eigenen Rechner
überreden wollen.
Die Methode nutzt ein Detail des Bezahlportals aus: Beim Einrichten einer neuen Postadresse gibt es ein Feld namens „Adresszusatz“ – und dieses ist nicht in der Länge beschränkt. Deren Inhalt erscheint innerhalb der E-Mail, welche den Kunden als Bestätigung zugesendet wird. In dieses Adresszusatzfeld schrieben Betrüger dann einen Text über eine fiktive hochwertige Bestellung – nebst Telefonnummer, an welche man sich im Missbrauchsfall wenden solle.
Über das Feld „Adresszusatz“ gelangt betrügerische Information in offizielle Benachrichtigungen.
Über zwei E-Mail-Adressen wurde diese authentische PayPal-Adresse dann an einen großen Verteiler mit potenziellen Opfern weitergeleitet. Dies offenbart sich allerdings erst, wenn man sachkundig die erweiterten E-Mail-Header studiert; auf den ersten Blick erscheint die Nachricht authentisch und von einer offiziellen PayPal-Adresse stammend. Auch die im weiteren Text eingebetteten URLs führen auf offizielle Support-Seiten. Nur die Telefonnummer ist falsch.
ARC-Authentication-Results: i=4; mx.microsoft.com 1;
spf=softfail (sender ip is 209.85.214.198) smtp.rcpttodomain=m583us.onmicrosoft.com
smtp.mailfrom=paypal.com; dmarc=pass (p=reject sp=reject pct=100) action=none
header.from=paypal.com; dkim=pass (signature was verified)
header.d=paypal.com; arc=pass (0 oda=1 ltdi=1
spf=[1,2,smtp.mailfrom=service@paypal.com] dkim=[1,2,header.i=@paypal.com]
dmarc=[1,2,header.from=paypal.com])
Adresse überprüft, Inhalt nichtDie Nachricht ging also nicht an den tatsächlichen Account; das persönliche PayPal-Konto wurde also aller Wahrscheinlichkeit nach nicht kompromittiert. Ein kurzer Test im eigenen PayPal-Account bestätigt: Beim Hinzufügen einer neuen Postadresse lässt sich problemlos ein längerer Text in den Adresszusatz einfügen. Deren Inhalt unterliegt keiner Beschränkung, während die Daten wie Postleitzahl, Straße und Ort auf Echtheit überprüft werden.
Das Feld „Adresszusatz“ nimmt Texteingaben jeglicher Länge entgegen.
PayPal reagiertInzwischen hat der Bezahldienstleister reagiert und verschickt die Benachrichtigung über Adressänderungen fortan ohne den Inhalt, also Adresse nebst Zusatz. Die Nachricht wirkt deshalb etwas spartanisch; fürs Erste dürfte damit also diese Lücke geschlossen sein. Allerdings ist verwunderlich, dass es erst umfangreicher Medienberichte bedurfte, bis PayPal die Prozedur optimierte – diese Masche lässt sich auf mindestens Anfang Februar zurückverfolgen.