Phishing über E-Mail-Verteiler: Gefahr für Ihr PayPal-Konto?

Stand:
Rechtschreibfehler, unpassender Absender, seltsame Links, keine namentliche Anrede – das sind bislang die "Klassiker" zum Erkennen betrügerischer Nachrichten. Inzwischen reicht das nicht mehr. Prüfen Sie Behauptungen immer in der echten App oder auf der echten Internetseite der Unternehmen!
Frau blickt auf Laptop, auf dessen Monitor eine E-Mail mit PayPal-Logo zu sehen ist sowie großer Text: "stephen dickstein sent you a money request"
Foto:

Verbraucherzentrale NRW

Das Wichtigste in Kürze:

  • Wenn Sie eine E-Mail von PayPal bekommen, sehen Sie genau hin, ob die auch an Sie adressiert ist.
  • Kriminelle nutzen echte PayPal-Mails für Betrugsversuche.
  • Auffälligste Merkmale: Die E-Mail-Adresse im An-Feld ist nicht die der Empfänger und eine angegebene Telefonnummer für Rückfragen gehört nicht PayPal!
On

Phishing mit Mail-Verteiler

Sparkasse, Postbank, Telekom, PayPal – es sind oft die großen Unternehmen, deren Namen Kriminelle für betrügerische E-Mails (Phishing-Mails) missbrauchen. Denn bei Firmen mit großem Kundenstamm ist die Wahrscheinlichkeit hoch, dass unter den wahllos ausgewählten Adressaten schon einige dabei sein werden, die die Behauptung in der Mail glauben und in die Falle tappen.

Die Methoden werden dabei zunehmend raffiniert. Ließen sich früher Phishing-Mails allein an schlechter Rechtschreibung, falscher Absender-Adresse, seltsame verlinkte Internet-Adressen und einem fehlenden Namen in der Anrede erkennen, braucht man für manchen Angriff heute schon mehr Hintergrundwissen.  Ein Beispiel zeigen wir hier anhand eines Missbrauch des Zahlungsdienstleisters PayPal.

Vorher aber der wichtigste Hinweis:

Wann immer Sie eine E-Mail von einem Unternehmen erhalten, bei dem Sie ein Kundenkonto haben und die nicht ausschließlich an Ihre eigene E-Mail-Adresse adressiert ist: Tippen Sie die Internet-Adresse des Unternehmens in die Adressleiste des Browsers ein und melden Sie sich dort mit Ihren Zugangsdaten an! Alternativ nutzen Sie die echte App des Anbieters auf Ihrem Smartphone! Verlassen Sie sich auf keinen Fall allein auf Aussagen und Links in einer E-Mail!

PayPal erscheint als echter Absender

Bei diesem Betrugsversuch haben die Kriminellen augenscheinlich das Ziel, sich ins PayPal-Konto ihrer Opfer einzuloggen. Betrachten wir zunächst die E-Mail, die sie verschicken:

Screenshot einer E-Mail von PayPal mit folgendem Text: "Hello, orderstatus8@revivesupportedliving. co. uk PayPal stephen dickstein sent you a money request Payment request details Amount requested $399.99 USD Note from stephen dickstein: Fraud Alert: Didn't make this order? Call at 1-866-270-2839 Transaction ID U-3N641859NT8399709 Transaction date December 16, 2024 Pay Now"
  • Erster Eindruck: Optisch ist der Inhalt der E-Mail wie bei echten E-Mails von PayPal.
  • Die Absenderadresse lautet: service@paypal.com. Das ist eine echte von PayPal.
  • Im An-Feld steht normalerweise Ihre eigene E-Mail-Adresse oder Ihr Name. In diesem Fall ist das nicht so. Das ist verdächtig!
  • In der Begrüßung über dem PayPal-Logo steht normalerweise Ihr Name. In diesem Fall steht dort die gleiche E-Mail-Adresse wie im An-Feld. Verdächtig!
  • Unter der großen Überschrift "Here's your invoice" (deutsch: Hier ist Ihre Rechnung) wird behauptet, "stephen dickstein" fordert 399,99 US-Dollar von Ihnen, die Sie über den Button "Pay Now" ansehen und bezahlen können. Diese Schock-Nachricht soll Sie dazu verleiten, den Button zum Prüfen anzuklicken.
  • Das Ziel des Buttons "Pay Now" (deutsch: Jetzt bezahlen) ist die echte Internetseite von PayPal. Im Bild sehen Sie den Anfang der Adresse unter dem schwarzen Button.
  • Für Menschen mit Skepsis haben die Kriminellen auch noch als Notiz eine Telefonnummer angegeben, die man anrufen könne, wenn man hier einen Betrugsversuch vermutet. In diesem Beispiel ist es eine Nummer in den USA. Rufen Sie dort nicht an! Denn mit hoher Wahrscheinlichkeit erreichen Sie darüber nicht PayPal, sondern jemanden, der für die Kriminellen arbeitet und Sie am Telefon betrügt. Denkbar wäre zum Beispiel so genannter Support-Scam.

Wenn Sie auf den Button klicken

Der Link zur echten PayPal-Seite und PayPal als echter Absender der E-Mail könnten nun leicht dazu verleiten, dass auf den Button zu klicken. Daraufhin öffnet sich tatsächlich die echte PayPal-Seite, auf der man seine Zugangsdaten (E-Mail und Passwort) eingeben soll. Darüber steht ein wichtiger Hinweis: "We'll link [Mail-Adresse] to your PayPal account when you log in." Auf Deutsch: "Wir werden [Mail-Adresse] mit Ihrem PayPal-Konto verknüpfen, wenn Sie sich einloggen." [Mail-Adresse] ist an dieser Stelle ein Platzhalter für die Adresse, die in der Phishing-Mail im An-Feld steht.

In der Theorie soll es möglich sein, dass die E-Mail-Adresse aus dem An-Feld als zusätzliche Adresse Ihres PayPal-Kontos gespeichert wird. Damit könnten dann die Kriminellen eventuell Ihr Konto übernehmen. Das Fachmagazin Heise Security konnte das allerdings nicht nachstellen. Ob PayPal hier möglicherweise eine Schwachstelle erkannt und geschlossen hat, wissen wir nicht.

So schützen Sie sich

Grundsätzlich zeigt dieser Fall aber, wie wichtig es ist, sich nicht von Behauptungen in E-Mails blenden zu lassen – auch nicht wenn Absender und Links echt wirken! Öffnen Sie in diesem Fall die Internetseite paypal.de oder die App von PayPal und geben Sie dort Ihre Login-Daten ein. Sehen Sie dort keine Forderung, können Sie sicher sein, dass die E-Mail ein Betrugsversuch ist.

Sehen Sie in Ihrem Kundenkonto oder in der App tatsächliche eine Forderung, können damit aber nichts anfangen, schreiben Sie dem PayPal-Kundendienst über die Kontaktmöglichkeiten auf der Internetseite oder in der App. Rufen Sie auf keinen Fall die Telefonnummer an, die in der E-Mail angegeben wird und nutzen Sie auch keine sonstigen Kontaktdaten in solchen E-Mails!

Die mysteriöse Empfänger-Adresse

Warum bekommen Sie eine E-Mail, die gar nicht an Sie adressiert ist? Das kann durch Verteilerlisten passieren. Die Kriminellen richten eine E-Mail-Adresse als Verteilerliste ein. In diese Liste tragen sie die Mail-Adressen ihrer Opfer ein. Bei PayPal nutzen sie die Funktion "Geld anfordern" und geben die Adresse ihrer Verteilerliste ein. Dorthin wird eine echte PayPal-Mail geschickt und automatisch an alle anderen unsichtbaren Mail-Adressen des Verteilers gestreut.

Grafische Darstellung der Möglichkeiten sich vor Cybercrime zu schützen
Foto: Verbraucherzentrale NRW

Sicher im Internet - Handy, Tablet und PC schützen

Cybercrime betrifft längst nicht mehr nur eine geringe Anzahl von Menschen. Wie Sie sich vor Datenklau, Viren und unsicheren Netzwerken schützen können, lesen Sie hier. 

Mehr dazu

Ratgeber-Tipps

Titebild des Ratgebers "Ratgeber Wärmepumpe"
Ratgeber Wärmepumpe
Unabhängig werden von teurem Gas und Öl, Klima schonen, Kosten sparen
zum Ratgeber-Shop
Titelbild des Ratgebers Das Vorsorge-Handbuch
Das Vorsorge-Handbuch
Wer sich wünscht, selbstbestimmt zu leben und Entscheidungen zu treffen, und sich wünscht, das auch am Lebensabend zu…
zum Ratgeber-Shop

Aktuelle Meldungen

Fußball-Fans vor Fernseher
Foto: StockPhotoPro / Adobe Stock

Sammelklage gegen DAZN Limited

Der Streaming-Anbieter DAZN erhöhte seine Preise 2021 und 2022 in laufenden Verträgen ohne Zustimmung der Kunden. Der Verbraucherzentrale Bundesverband (vzbv) hält die zugrundeliegenden AGB-Klauseln für unangemessen benachteiligend und die damaligen Preiserhöhungen für Bestandskunden für rechtswidrig.
Mehr dazu
Ein Mann steht nachdenklich vor einem geöffneten Kühlschrank
Foto: kues1 / stock.adobe.com

Fragen zu Lebensmitteln? In unserem Forum antworten Expert:innen!

Kostenlose Auskunft von den Verbraucherzentralen: Unter lebensmittel-forum.de bekommen Sie unkompliziert eine fachkundige Antwort zu Fragen rund um Lebensmittel. Mehr als 300 Beiträge sind schon zum Stöbern da.
Mehr dazu
Bundesgerichtshof
Foto: nmann77 / stock.adobe.com

Wegweisendes BGH-Urteil: Klauseln zu Negativzinsen unzulässig

Von 2019 bis zur Zinswende 2022 hatten verschiedene Banken und Sparkassen Verwahrentgelte eingeführt, die sie in Form von Negativzinsen erhoben. Dies hielten die Verbraucherzentralen für unzulässig und klagten. Nun hat der Bundesgerichtshof (BGH) die Klauseln für unzulässig erklärt.
Mehr dazu
Kontakt
Beratung
Newsletter
Social Media
Kostenlose Online-Seminare
Beratung und Service