Betrüger setzen auf eine Paypal-Funktion namens "No Code Checkout", um echt aussehende Paypal-Seiten zu imitieren. Diese bewerben sie in Googles Suchmaschine, um potenzielle Opfer anzulocken.
Anzeige
Malwarebytes berichtet im Unternehmens-Blog von der Betrugsmasche. Demnach schalten die Betrüger Werbung bei Google, die die offizielle Paypal-Webseite anzeigt, jedoch auf eine Betrugsseite leitet. Das klappt deshalb, da Googles Richtlinien dafür sorgen, dass das populäre Logo und der Name angezeigt werden, sofern der Domain-Name der URL auf Paypal verweist.
Die Betrüger werben für die Seite, die unter der Paypal-Domain gehostet und dadurch als offizielle Paypal-Seite angezeigt wird.
(Bild: Malwarebytes)
Die Werbung schalten sie über vermutlich kriminell übernommene Konten, Malwarebytes nennt als ein Beispiel die Werbetreibende "Icebear Limited", die vermeintlich in Hongkong sitzt. Die Werbung sieht aus, als würde sie direkt zu Paypal führen, es wird auch lediglich die Haupt-Domain "https://www.paypal.com" angezeigt. Allerdings landen Interessierte auf einer "No Code Checkout"-URL von Paypal.
Der Paypal-"No Code Checkout" soll insbesondere kleineren Händlern helfen, Zahlungsanforderungen ohne Programmierung zu ermöglichen. Händler können in einer Maske beliebige Texte eintragen und dazu einen zu zahlenden Betrag angeben. Die Pfade dorthin sind nach dem Schema paypal.com/ncp/payment/[unique ID] aufgebaut.
Die Betrüger erstellen am Ende damit einen gefälschten Bezahl-Link. In der beobachteten Malvertising-Kampagne haben die Täter eine betrügerische Telefonnummer als "Paypal-Assistenz" angegeben.
Insbesondere Nutzerinnen und Nutzer von Smartphones sind nach Ansicht der Analysten anfällig dafür, auf diese Werbung hereinzufallen. Ein Beispiel zeigt Screenshots von einem iPhone, auf dem nach "paypal live agent" gesucht und als Erstes die betrügerische Werbung angezeigt wird. Aufgrund der reduzierten Bildschirmgröße müssen Interessierte erst hinter die Werbung und gegebenenfalls KI-Übersicht scrollen, um zu den organischen Suchergebnissen zu gelangen. Das ist natürlich kein Zufall, sondern begründet, warum Werbung Milliarden US-Dollar wert ist", erklären die IT-Forscher.
Klickt ein potenzielles Opfer auf den Werbe-Link, landet es auf der Seite, hinter der der falsche Bezahl-Link steckt und die falschen Support-Telefonnummern anzeigt. In der Adresszeile steht zudem ebenfalls korrekt die Paypal-Domain. Das sorgt bei Interessierten für Vertrauen und kann sie in die Fänge der Täter treiben. Die IT-Forscher raten dazu, nicht die Werbe-Links bei solchen Suchanfragen zu nutzen, sondern auf der Ergebnisseite weiter zu den organischen Ergebnissen zu scrollen.
Als einer der wichtigsten Zahlungsabwickler und -dienstleister im Netz steht Paypal ständig im Fokus von Cyberkriminellen. Erst vergangene Woche wurde eine Phishing-Masche bekannt, die die "Neue Adresse"-Funktion missbraucht, um echt scheinende Betrugsmails zu erstellen und an Schutzmaßnahmen und Filtern vorbeizuschleusen.
(