Paypal-Phishing: "Neue Adresse"-Funktion missbraucht

Eine aktuelle Phishing-Masche missbraucht eine Funktion für Adressänderungen und -Ergänzungen in Paypal, um an serverseitigen Filtermechanismen vorbeizuschlüpfen. Um Opfer zu unbedachten Handlungen zu verleiten, weisen die Mails auf teure gekaufte Gegenstände hin, die mit der Adressänderung zusammenhängen würden.

Anzeige

Das Online-Medium BleepingComputer berichtet von der Masche. Auf Reddit schreiben Nutzer über E-Mails, die von Paypal stammen und angeben, dass die Empfänger eine neue Adresse zu ihrem Konto hinzugefügt hätten. Die Mail sei eine kurze Bestätigung, dass die neue Adresse dem Paypal-Konto hinzugefügt wurde.

Der weitere Mail-Text gibt vor, dass ein teurer Einkauf an die neue Adresse gesendet werde, konkret etwa ein Macbook M4 Max. Sofern Empfänger diese Aktualisierung nicht autorisiert hätten, sollten sie eine angegebene Telefonnummer anrufen. Wie BleepingComputer berichtet, verbergen sich hinter der Nummer jedoch die Betrüger. Sie wollen Anrufer dazu bringen, zu glauben, dass der eigene Paypal-Zugang geknackt wurde und durch Starten von bestimmter Software der Zugriff wiederzuerlangen und die angebliche Transaktion rückgängig gemacht werden könne.

Auf der von Betrüger angegebenen Webseite wartet jedoch ein ConnectWise-ScreenConnect-Client, der den Angreifern Zugriff auf den Rechner gibt. BleepingComputer hat an der Stelle abgebrochen, üblicherweise stehlen Betrüger mit derartigem Zugang dann Geld von Bankkonten, installieren Malware oder kopieren sensible Daten vom Computer, erklären die Autoren.

Die Absenderadresse "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." in den Betrugs-E-Mails wirkt authentisch. Sie stammen offenbar auch aus dem Paypal-Netzwerk, sie können Sicherheitsmaßnahmen wie DKIM und Spam-Filter umgehen. Die Phishing-Mails weisen auf "Geschenkadressen" hin. Die Betrüger haben ein eigenes Paypal-Konto mit solch einer Adresse ausgestattet. Durch das Einfügen des Textes dieser Mails in das "Adresse 2"-Feld konnte BleepingComputer nachstellen, dass die E-Mails genau so aussehen wie die Phishing-Mails.

Um diese nun einem großen Empfängerkreis zukommen zu lassen, haben die Betrüger einen weiteren Hebel genutzt. Die E-Mail-Header wiesen darauf hin, dass die Mails automatisch an eine Mail-Adresse eines MIcrosoft-365-Tenants weitergeleitet wurden. Die Adresse dort beherbergt mutmaßlich eine Mailingliste, auf der die E-Mail-Adressen der Phishing-Mail-Empfänger aufgelistet sind. Durch die Angabe der Adresse mit der Mailingliste erreichen die Betrüger also das Versenden von authentisch wirkenden Phishing-Mails, die diverse Schutzmechanismen umgehen können. BleepingComputer schlägt vor, etwa die Länge der Adressen-Formularfelder zu beschränken, sodass dort keine Nachrichtentexte eingeschleuste werden können.

Phishing stellt unverändert eine der größten Bedrohungen online dar. Google hat dem Webbrowser Chrome dagegen kürzlich neue KI-Funktionen für sichereres Browsen im Web verpasst.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)