Der Zahlungsdienstleister PayPal hat mir heute eine wichtige Mitteilung zugesandt. Wie nicht anders zu erwarten war, kam die per Email. Das bespreche ich. Denn an der Email an sich gibt es etwas auszusetzen. Die kann ich so nicht hinnehmen. Klar, in Sachen PayPal hört und liest man immer wieder komische Dinge. Und man denkt, dass sie einen eh nicht betreffen. Dann kommt so eine Email ins Haus geflattert, und plötzlich merkt man, dass es jeden betreffen kann. Das mache ich zum Thema in meinem Abwasch der Woche.
Wichtige Mitteilung – 03.12.2017
Guten Tag,
leider müssen wir Ihnen mitteilen, dass Ihre zuletzt aufgegebene Bestellung annulliert werden musste. Unser internes Sicherheitssystem hat einen unbefugten Kontozugriff feststellen können. Um weitere Betrugsversuche und kriminelle Aktivitäten zu vermeiden, wurde Ihr Kundenkonto temporär deaktiviert.
Provider: Alice AG
IP-Adresse: xxx.xxx.xxx.xxx
Region: BerlinKlicken Sie bitte auf „Hier bestätigen“, um ein kostenfreien Datenabgleich durchzuführen und Ihr Konto wieder freizuschalten.
Ich soll eine Bestellung aufgegeben haben? Beim Provider Alice AG? Oder soll ich über einen Anschluss bei Alice eine Bestellung abgegeben haben? Gibt es Alice überhaupt noch? Sehr obskur. Jedenfalls kommt dann ein Knopf, auf den man drauf klicken kann. Und darunter:
Sofern Ihr Kundenkonto nicht innerhalb der nächsten fünf Werktage von Ihnen validiert werden sollte, wird eine automatische Sperrung und Löschung Ihres Kundekontos ausgeführt.
Bei einer manuellen Wiederherstellung Ihres Kundenkontos wird eine pauschale Bearbeitungsgebühr in Höhe von 78,90 EUR in Rechnung gestellt.
Und so sieht die Email aus, wenn Sie eine solche Nachricht in Ihrem Email-Programm erhalten.
Vorsicht beim Kopieren der Email
Beim Kopieren der Inhalte dieser Email kopieren Sie einen ganzen Haufen Steuerzeichen mit, die Sie so nicht sehen. Woher das Alles geladen wird, ist nicht klar. Darum sollten Sie – wenn Sie diese Email erhalten haben und den Inhalt kopieren möchten – diese erst einmal in einen Text-Editor (Word ist keiner) kopieren.
Woher kommt diese Email?
Na, von PayPal kommt doch die Email, wie man am Absender sehen kann. Oder doch nicht? Schauen wir mal in den Quelltext der Email. In einem Email-Programm erreicht man den meistens durch Rechtsklick innerhalb der Email. Jedenfalls sehen wir da als Absender nicht PayPal, wie ich festgestellt habe:
From: „PayPal“ <postmaster@knauf-24service.com>
Diese „Knauf“-Domäne allerdings ist eine leere Webseite. Sie wurde von 1&1 registriert. Und der Dienstleister scheint auch Inhaber zu sein. Aber halt eine britische Version. Denn die „1and1 Internet Limited“ soll ihren Sitz im britischen Gloucester haben.
Wohin führt der Knopf in der Email?
Bei dem Knopf handelt es sich um einen so genannten Call-to-Action-Button. Man wird dazu aufgerufen, irgendeine bestimmte Aktion durchzuführen. Hier geht es um den Aufruf einer Webseite zum „Datenabgleich“. Und hier müssen wir mal schauen, wohin wir geleitet werden würden. Man nimmt ja an, dass dieser Knopf zur PayPal-Seite führt, aber er führt dorthin:
https://gdbldbf8kxv2qmhz.sicherheit-kundencenter.org/TB>+-`A[E>&[xGHWJbE759C9C~r7$x8`
Ja, es ist wirklich diese kryptische Ansammlung von allem möglichen. Ein guter Rat: Klicken Sie niemals auf diesen Knopf, wenn Sie einmal so eine Email erhalten haben. Ich hab das auch nicht gemacht, weiß also nicht, wohin mich der Knopf führt. Aber ich habe mal geschaut, wer sicherheit-kundencenter.org registriert hat. Und siehe da: Wieder die gleiche 1&1, die dann wieder Inhaber ist.
Was macht man denn nun mit der Email?
Na klar, diese Email muss man löschen oder so. Jedenfalls sollte niemand auf die Aufforderung darin reagieren und auf den Button klicken. Man dürfte auf eine präparierte Seite gelangen, die nach PayPal aussieht. Und wer weiß schon, was diese Betrüger dann mit den Daten machen. Es handelt sich hierbei um eine Phishing-Attacke, die über eine mutmaßliche Spam-Nachricht ausgeführt wird.
Es gibt immer wieder Veröffentlichungen, in denen 1&1 angegriffen wird, sie seien Spam-Versender. Allerdings würde ich nicht so weit gehen. Wer weiß, vielleicht handelt es sich auch um Platzhalter-Domänen, die missbraucht werden. Jedenfalls könnte man erwarten, dass sich 1&1 dahingehend äußern wird, wenn man das Unternehmen aus Montabaur mit diesen Informationen konfrontiert.
Ich gehe jedenfalls nicht davon aus, dass 1&1 wirklich der Spam-Versender ist. Wenn allerdings doch, und irgendwer mit entsprechenden Mitteln bekommt das mit, könnte es für das Unternehmen problematisch werden. Mal abgesehen von dem beschädigten Ruf. Da so ein Anbieter wie United Internet (die Mutter von 1&1) oder Mobilcom-Debitel oder so auf ihren guten Ruf angewiesen ist, müssten diese Unternehmen schön doof sein, wenn sie so etwas selbst machen würden.
Meldung machen?
Vielleicht sollte man es wirklich 1&1 melden, was da in deren Namen abgeht. Es könnten zwei Dinge passieren: 1. Das Unternehmen untersucht solche Vorgänge und schaltet die entsprechenden Domänen ab. Oder 2. Die Firma ignoriert das Ganze weg. Letzteres wäre schlimm. Dann müsste der Markt entscheiden, wie 1&1 mit so etwas umgeht.
Wie konnte so etwas passieren? Vielleicht wurden mal wieder die Mailserver von 1&1 ausgelesen. Das wäre nicht das erste Mal. Irgendetwas als Zielseite zu basteln, dürfte dann auch kein Hexenwerk sein. Vielleicht also liegt der ursprüngliche Fehler in zu leichtgläubigen Kunden von 1&1. Wobei: Vielleicht betrifft so etwas auch andere Kunden? Vielleicht sind GMail-Nutzer, Outlook.com-Nutzer und so weiter ähnlich leichtgläubig?
Das erklärt aber nicht, was das mit den bei 1&1 registrierten Domänen auf sich hat. Und hier empfehle ich dem Unternehmen, sorgsam zu untersuchen, was da los ist. Also würde ich als Fazit durchgehen lassen: Ja, man sollte es 1&1 mitteilen, dass Phishing-Attacken ablaufen und von Domänen kommen, die von 1&1 registriert wurden. Die Firma hat einen Ruf zu verlieren. Deshalb werden sie es wohl untersuchen. Vielleicht also gibt es demnächst etwas neues zu berichten.
Und als Zusatz-Info
Ja, PayPal dürfte hier auch untersuchen. Aber ich glaube, denen ist es egal. Also zumindest, soweit ich das immer wieder mitbekomme. Die Email-Adresse, die da die Betrüger in der Email angeschrieben haben, stammt aus einem PayPal-Account, der schon längere Zeit kaputt ist und den ich nicht löschen kann. Seit bestimmt einem Jahr oder so ist der Account nicht mehr in Betrieb. Ich wollte ihn löschen, aber PayPal lässt mich partout nicht rein. Deshalb gibt es einen neuen Account.
Aber dass Email-Adressen zu PayPal-Accounts einfach mal so bekannt werden, ist auch ein ziemliches Ding. Ich kann mir aber nicht vorstellen, dass PayPal hier irgendwas untersucht. Am Ende war mir klar, dass diese Email Unsinn ist. Aber nicht jeder kann das so nachvollziehen, weshalb ich das Alles mal aufgeschrieben habe.
[Update 06.12.2017]
1&1 hatte sich zwischenzeitlich gemeldet. Sie haben sich der Sache angenommen. Der Anbieter nimmt also so etwas durchaus ernst. Jedenfalls hatten sie bereits eine Domain geprüft. Und was passierte?
Update: https://t.co/WJsdhhwbup bereits gelöscht. Die andere wird derzeit untersucht. Gruß /ma
— IONOS DE Support (@ionos_hilft) December 4, 2017
Ich werde mal schauen, wie es weitergeht.
Solche Mails habe ich auch schon bekommen.
Ich logge mich natürlich dann immer über die normale PayPal Startseite ein und es ist nie irgendwas gewesen, wie ich auch vermutet habe.
Merkt man sofort das das nicht von PaylPal kommt wenn man sich den Link am Button über dass Browserkontextmenü kopiert unde in den Editor einfügt.
Zitat:
Aber dass Email-Adressen zu PayPal-Accounts einfach mal so bekannt werden, ist auch ein ziemliches Ding-
Ähm? Durch Ebay!
Das kann man sowohl bei ebay aber auch im Paypalkonto abwählen.
Übrigens leite ifch solche Mails auch immer an PayPal weiter.
Hierhin: spoof@paypal.com.
Ob es was nutzt weiß Ich nicht.
Ja, natürlich kommen immer mal solche Emails an. Aber die war ganz besonders schön. Freilich ist da nie irgendwas, zumindest konnte ich bisher nichts derartiges feststellen.
Nein, durch Ebay ist zumindest bei mir nichts bekannt gewesen, da ich dort eigentlich nix mache und gar kein PayPal hinterlegt habe.
Derzeit prüft 1&1 die genannten Domains. Wenn das abgeschlossen ist, werde ich den Artikel aktualisieren.