Tipp

Erneute Warnung vor PayPal-Phishing-Webseiten

Shawn H Shawn H

Der Webhoster EUserv warnt vor mehreren offenbar täuschend echt gemachten PayPal-Phishing-Webseiten. Nutzer, die in den letzten Tagen scheinbar von PayPal aufgefordert wurden, ihre Zugangsdaten zu ändern, sollten dies dringend im richtigen Login-Bereich korrigieren.

Der Webhoster EUserv Internet warnt die Nutzer des Onlinedienstes PayPal vor Spam-E-Mails, die zum Update eines PayPal-Accounts auf einer speziell präparierten Website auffordern. Die in den Mails beworbene URL (http://www.sslsecurity-pays-secure-cgi-bin.de) ist eine Webseite eines vermeintlichen Kunden von EUserv, die eine fast 1:1-Kopie der Login- und Anmeldeseite des PayPal-Dienstes darstellt. Beim Ausfüllen der Formulardaten werden diese aber nicht an PayPal übermittelt, sondern an die Emailadresse sontax_976431@yahoo.com weitergeleitet. Abgefragt werden Kreditkartendaten, Kundendaten sowie die Logindaten.

Nutzer des Bezahldienstes, die auf eine solche Mail reagiert und zwischen dem 22. und 29. August Accountdaten, Kreditkartendaten oder andere Kundendaten unter der falschen URL aktualisiert haben, werden angehalten, dringend ihr Loginpasswort im richtigen Loginbereich von PayPal zu ändern. Weiterhin sollten Kreditkarten gegebenenfalls gesperrt werden, um unzulässigen Verfügungen vorzubeugen.

Die Webseite wurde zwischenzeitlich abgeschaltet. Der Provider hatte unterdessen sowohl PayPal als auch die Behörden informiert und konnte den Ursprung der Aktionen anhand der Logfiles und IP-Adressen über die USA und andere Staaten weitgehend zurückverfolgen. Zur Anmeldung und zum Upload der Webseite wurden wahrscheinlich Anonymisierungs-Proxy-Server genutzt, um die Identität und den genutzten Internetzugang des Betreibers der Seite zu verschleiern. EUserv hat den Inhalt der Phishing-Mail sowie weitere Informationen auf seiner Security-Webseite zur Ansicht bereitgestellt.

Damit jedoch nicht genug: Die Phisher versuchen durch weitere Bestellungen mehrere Webseiten gleichzeitig zu betreiben. Die Domains mit derselben Masche "ssl128-securepays-server.de", "secure-ssl128-paysserver.de" und "ssl128-secure-pays.de" wurden am Montagmorgen von den auftragsbearbeitenden Systemen des Providers abgefangen und nicht registriert. Das Security-Team von EUserv geht davon aus, dass diese Domains in den nächsten Tagen über andere Provider online gehen.

Neueste Artikel