Ein neuer Phishing-Angriff gegen PayPal-Nutzer sorgt für Unruhe. Kriminelle versuchen; die Konten ihrer Opfer zu übernehmen. Dazu nutzen sie spezielle E-Mail-Verteiler und gefälschte Geldanforderungen.
Ungewöhnliche Phishing-Mail an CISO von Fortinet
Carl Windsor der Chief Information Security Officer von Fortinet, erhielt im Dezember 2024 eine merkwürdige E-Mail. Diese Nachricht war eine Zahlungsaufforderung eines PayPal-Nutzers. Allerdings war die E-Mail an eine völlig andere Adresse gerichtet. Windsor wurde stutzig und begann Nachforschungen anzustellen.
E-Mail-Adresse auf einem Mailverteiler
Die Angreifer haben scheinbar seine E-Mail-Adresse entlarvt. Sie trugen er in einen Mailverteiler ein. Microsofts Cloud-Dienst M365 spielte dabei eine Schlüsselrolle. Durch dessen Reputation konnten die Kriminellen Spam- & Malwarefilter überlisten.
Zahlungsaufforderung über ein kontrolliertes PayPal-Konto
An den präparierten Mailverteiler schickten die Angreifer eine Zahlungsaufforderung in Höhe von etwa 2200 US-Dollar. Der Kniff: Klickt der Empfänger auf den Link zur Zahlung, wird die E-Mail-Adresse automatisch seinem PayPal-Konto hinzugefügt. “Wir fügen [email protected] Ihrem PayPal-Konto hinzu, wenn Sie sich einloggen” – solch ein Hinweis lenkt ab.
Falle schnappen bei Login
Meldet sich das Opfer bei PayPal an um die irrtümliche Forderung abzulehnen, greift die Falle – so die theoretische Annahme. Nach der Hinzufügung der neuen E-Mail-Adresse könnten die Phisher ein neues Passwort setzen und das PayPal-Konto übernehmen.
Tests bestätigen keine Vorfälle
Heise Security führte eigene Tests durch. Mehrere PayPal-Konten wurden ausprobiert. Der Angriff ließ sich jedoch nicht wiederholen. Einige Mitteilungen waren ebenfalls hier sichtbar. Bei Ablehnung der gefälschten Zahlungsaufforderung passierte jedoch nichts – weder bei Ablehnung noch bei Zahlung. Auch bei einem neu eingerichteten PayPal-Konto funktionierte der Angriff nicht.
Ungewissheit über die Funktionsweise
Warum der Angriff in den Tests nicht gelang, bleibt unklar. Eine Möglichkeit könnte sein, dass PayPal Sicherheitslücken geschlossen hat. Eine Anfrage an PayPal und auch an den CISO von Fortinet blieb unbeantwortet.
Vorsicht bei unerwarteten Zahlungen
Die Situation ändert sich bei eingehenden Zahlungen. Falls ein Betrüger einen Betrag “irrtümlich” sendet, sieht die Lage anders aus. Nach dem Anmelden wird ein Pop-up angezeigt. Dieses fordert die Bestätigung der zusätzlichen E-Mail-Adresse für das PayPal-Konto an. Geschicktes Social Engineering könnte Kriminellen helfen einzelne Opfer zu überlisten. Doch die klare Bestätigungsmeldung stellt eine große Hürde dar.
PayPal in der Kritik
Zudem war PayPal kürzlich in der Berichterstattung, da seine Tochterfirma Honey sowie deren Browser-Plugins unter Betrugsverdacht standen. Viele Kooperationspartner zogen sich öffentlich zurück.
Kommentare