Der US-Zahlungsdienstleister PayPal hat damit begonnen, bereits in 2022 eine Gebühr für inaktive Benutzerkonten zu berechnen. Die Woche ist nun bei mir eine höchst obskure Mail von PayPal eingeschlagen, die mich zur Anmeldung am PaypPal-Konto aufforderte. Ich hießt die Mail für Phishing – was sie aber wohl nicht ist – und habe den Fall mal etwas genauer aufbereitet.
Anzeige
PayPal verlangt Inaktivitätsgebühren
Es war ein diese Woche auf heise erschienener Artikel, den ich auf die Schnelle überflogen hatte, der den Boden für den Blog-Beitrag bereitete. Inhaber von Konten bei PayPal sollen eine Inaktivitätsgebühr zahlen, wenn sie den Dienst für 12 Monate nicht genutzt haben. Laut heise wird das durch PayPal Europe und PayPal Canada ab sofort für private Konten als auch für Geschäftskonten umgesetzt.
Die Kunden sollten zwei Monate Zeit haben, ihr Konto zu nutzen, bevor die Strafgebühr fällig wird, schreibt heise. Laut heise können die Kunden mit PayPal etwas kaufen, an eine wohltätige Organisation spenden, Geld abheben oder Geld an andere PayPal-User schicken. Die günstigste Methode sei aber eine einmalige Anmeldung am PayPal-Konto. Dann wurde das Konto ja aktiv genutzt.
Im heise-Artikel wird auch der Hintergrund für PayPal Europe erläutert. Neben der Bereinigung von Karteileichen gibt es eine konkrete regularische Auflage. Da PayPal für euopäische Nutzer seinen Sitz in Luxemburg hat, fällt das Unternehmen unter ein am 30. März 2022 bekannt gegebene Gesetz über inaktive Konten, inaktive Schließfächer und nachrichtenlose Versicherungsverträge. Institute müssen Guthaben aus inaktiven Konten nach zehn Jahren der Hinterlegungskasse (Caisse de consignation) des Großherzogtums anbieten. Nickt die Hinterlegungskasse, muss das Guthaben übertragen und das Konto geschlossen werden. Berechtigte können dann Anspruch auf das Guthaben erheben und sich gegen eine saftige Gebühr erstatten lassen. Nach 30 Jahren verfällt der Anspruch auf das Guthaben und der Betrag geht an Luxemburgs Staatskasse und an eine Zukunftsstiftung (Fonds souverain intergénérationnel du Luxembourg).
Die vermeintliche Phishing Mail
Ich habe seit Jahren ein PayPal-Konto mit einem geringen Guthaben, welches ich dieses Jahr auch schon für Zahlungen verwendet habe. Daher habe ich obigen heise-Artikel beiläufig zur Kenntnis genommen – trifft mich ja nicht. Allerdings rufen solche Aktivitäten i.d.R. auch Trittbrettfahrer auf den Plan, die das für Phishing und Betrug ausnutzen möchten.
Anzeige
Paypal Guthaben-Benachrichtigung oder Phishing-Mail
Als die Woche obige Mail von "PayPal" eintrudelte, klingelte sofort die Phishing-Alarm-Glocke. Es hieß, ich hätte PayPal eine ganze Weile nicht mehr genutzt – nun ja, es wurden in den letzten Monaten Bestellungen über dieses Konto gezahlt. Könnte also eine "Werbemaßnahme" von PayPal sein, um Kontenbewegungen anzustoßen. Es könnte aber auch ein plumper Phishing-Versuch sein.
Komische Ziel-URL
Speziell die für Jetzt einloggen im E-Mail-Client eingeblendete Zieladresse epl.paypal-communication.com kam mir obskur vor. In einem solchen Fall kopiere ich standardmäßig die Ziel-URL in die Zwischenablage und lasse die Adresse auf virustotal.com prüfen. Das Ergebnis hat mich scheinbar bestätigt, denn ein Virenprüfer signalisierte die URL als schädlich.
Der Mail-Header
Ich habe mir dann den Mail-Header der Nachricht angesehen, in der Hoffnung, auf die Schnelle eine Erkenntnis zu erlangen. Hier die betreffenden Informationen.
From - Fri Nov 18 17:56:26 2022 X-Account-Key: account4 X-UIDL: 1N7A2U-1p1Rxs1MJI-017Y8F X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 X-Mozilla-Keys: Return-Path: <bounce@mail.paypal.de> Authentication-Results: kundenserver.de; dkim=pass header.i=@mail.paypal.de Received: from mta101b.pmx1.epsl1.com ([142.54.244.101]) by mx.kundenserver.de (mxeue112 [217.72.192.67]) with ESMTPS (Nemesis) id 1N6cbg-1p0u091lDa-01859Q for <gborn@******>; Fri, 18 Nov 2022 17:55:36 +0100 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.paypal.de; s=pp-epsilon1; t=1668790534; bh=B1jG8YAdX15Qonbez9dLY6AcmAX9Rdsxc0gHeqHDSaU=; h=MIME-Version:Subject:From:To:Date:Content-Type; b=kaQPhAboOC2XpPeVn1XLrCey/E8VTMQnGDa/u0GJnlUabpIg4MCJenZZoBXMKvTkB AcNJv1YULY2Ghaux1btlNBzlYxYmGGn1pnkUyqgKJrYJN/0o20ElGmRSapnQ5fmmkJ TIAh/b8E483sm2fbfkIcAh7HzgWdtR/ZXJ5Xd1oasn41flnZaAHPHATkgGMHqLu9dn B5yjcS7pMUgGd3X9fJFfLI6y7C9Uz6F/ukEbs18jZl8ouNrwmROBYoGHlgc/9wuymv jmN3HQP2f7oe0ACrLI2JDmy4OkPzZdHGSl4hbxP3MEHPABMlz2YTGxwcCZTapgllFm lno/f4Qu8S78A== Received: from [10.233.19.182] ([10.233.19.182:34480]) by pc1udsmtn1n13 (envelope-from <bounce@mail.paypal.de>) (ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM id AE/CC-26110-509B7736; Fri, 18 Nov 2022 16:55:34 +0000 List-Unsubscribe: <mailto:bounce-HP2v6000001848baab3a1ab05d26e96c660c0113@mail.paypal.de?subject=list-unsubscribe> Message-ID: <HP2v6000001848baab3a1ab05d26e96c660c0113@mail.paypal.de> MIME-Version: 1.0 Feedback-ID: be56865d-345e-4355-b332-0b04ab49483a:b4cad6e3-63d4-4776-bd51-33e0d8fe639a:email:epslh1 X-NSS: be56865d-345e-4355-b332-0b04ab49483a Reply-To: "noreply@mail.paypal.de" <noreply@mail.paypal.de> Subject: Wir haben Guthaben auf Ihrem Konto gesichtet, Guenter Born. From: PayPal <paypal@mail.paypal.de> To: gborn@***** Date: Fri, 18 Nov 2022 16:55:33 +0000
Die Mail wurde von einem paypal.de Mail-Server an den Server des Mail-Providers übergeben und per dkim sogar akzeptiert. Aber PayPal agiert doch eigentlich unter paypal.com – wer paypal.de im Browser eintippt, wird umgeleitet. Und dann gab es noch die obskurze Ziel-URL. Als ich im Internet nach mta101b.pmx1.epsl1.com gesucht habe, wurde ich beispielsweise hier fündig. Es ging dort um einen Virenverdacht.
Dann habe ich geschaut, wer hinter eps11.com steckt und mir wurde EPSILON-INTERACTIVE (Epsilon Data Management) in den USA genannt. Epsilon Interactive LLC bietet Direktmarketing-Dienstleistungen an. Deren Aktivitäten werden im Hinblick auf Betrug hier als niedrig eingestuft.
Doch eine Mail von PayPal
An dieser Stelle habe ich es dann doch gewagt, den Link aus der Mail im Inkognito-Modus des Browsers zu öffnen (auf Tor wurde die URL nicht aufgelöst). Normalerweise vermeide ich dies, da in der sehr langen URL ja Informationen stecken können, die einem Phisher zeigen, dass jemand auf seine Mail reagiert hat und welche E-Mail-Adresse dazu gehört. Im aktuellen Fall wurde ich wirklich auf die PayPal-Anmeldeseite geleitet.
Es wird im Adressfeld des Browsers die PayPal-Adresse angezeigt, wobei sich in der URL ein Verweis auf eine Kampagne von Epsilon als Dienstleister in Deutschland verbirgt. Die Überprüfung ergab, dass das Zertifikat der Seite auf PayPal.com ausgestellt war – es wurde also wirklich auf PayPal umgeleitet.
Fazit: Wachsam bleiben
Es ist nicht der erste Fall, bei dem ich von PayPal E-Mails bekam, die mich zur Anmeldung an meinem Konto aufforderten und gleich einen Anmelde-Link mitlieferten. Die agieren also wie die klassischen Phisher. Andererseits ist PayPal häufig im Fokus der Phishing-Mafia (siehe Links am Artikelende). Und es gab sogar Fälle, wo Angreifer Phishing-Mails über PayPal-Domänen versandt haben.
Wer ein PayPal-Konto besitzt und eine Mail mit PayPal im Wortlaut bekommt, tut einerseits gut daran, wachsam zu bleiben. Man sollte sich niemals über die in der Mail angegebene URL am PayPal-Konto anmelden, sondern im Adressfeld des Browsers die URL paypal.com angeben, um zur Anmeldung zu gelangen.
Leuten, die nicht dringend auf ein Konto bei PayPal angewiesen sind (und gemäß obiger Meldung demnächst Inaktivitätsgebühren bezahlen müssten), empfehle ich, dieses Konto aufzulösen. Dann kann man auch nicht Opfer eines solchen Betrugs werden.
Ähnliche Artikel:
Hacker versenden Phishing-Mails über PayPal-Domänen
Vorsicht: PayPal-Phishing-Mails im Umlauf (Dez. 2020)
Vorsicht: Paypal-Phishing Welle droht mit "eingeschränktem Konto" (25.8.2022)
PayPal: Google-Pay-Schwachstelle geschlossen?
Neues zu unberechtigten PayPal-/Google Pay-Abbuchungen
Die 'schmutzigen' Seiten des PayPal-Hacks
Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal
Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt
Massen-Newsletter-Spam und der Paypal-Konten-Hack
Vorsicht: Eine PayPal-Phishing-Welle rollt
Anzeige
Erstaunlich … Kann man überhaupt ein mindestens seit 12 Monaten inaktives PayPal-Kundenkonto haben? Wenn ich da so an den Alltag denke: Erweiterter Käuferschutz bei Bezahlung via PayPal … Einkaufen auf eBay mit Bezahlung via PayPal, im Online-Buchantiquariat, der Fahrschein für die Straßenbahn auf die Schnelle via Handy-App und PayPal, das Spotify-Abo und Office/Microsoft 365 monatlich via PayPal,… – Eigentlich ziemlich praktisch und ziemlich oft in Verwendung. Vom reinen Guthabenkonto bin ich schon lange entfernt, bei mir geht das gleich direkt mit Lastschriftverfahren/Einziehungsauftrag vom eigenen Bankkonto.
Ist mir auch ein Rätsel, bei mir gibt es keine Woche ohne Paypal.
@Günni
Du täuschst dich:
1x Treffer im Scanner beweist noch lange nicht Malware. Das war ein false-positive. Die Domain gehört Paypal. Das lässt sich leicht am Zertifikat erkennen, dass für die Domain ausgestellt ist.
Man kann sogar ganz ohne Paypal Konto leben. Wer hätte das gedacht!
> An dieser Stelle habe ich es dann doch gewagt, den Link aus der Mail im Inkognito-Modus des Browsers zu öffnen ..
Keinesfalls nachmachen. Nur direkt unter anderweitig bekannter URL anmelden. Links in Phishing können jederzeit das Weitereitung Ziel ändern.
Solange alles läuft und du keinen Support benötigst ist alles Toll. Aber wehe es läuft etwas nicht ganz rund. Dann bist du verloren. Den Support zu kontaktieren ist so als ob er nicht vorhanden wäre. Sogar als KMU mit Geschäftskonto erreicht man niemanden. Ich würde lieber heute als morgen eine einheimische oder EU Lösung bevorzugen. Leider scheitert es da an Verbreitung und Features..
naja, sorry aber da gibt es die einzig wahre Regel: selbst wenn die Mail tatsächlich von Paypal kommt… loggt man sich niemals niemals niemals direkt aus einem Maillink ein, sondern wählt die Seite direkt an und loggt sich da ein! Wenn da irgendwas wichtiges ist bekommst du das immer auch in deinem Account angezeigt! (gilt auch für alles andere und verhindert Phishing zu 100% )
Zur Thematik mit der Inaktivitätsgebühr: vollkommen OK, sie könnten auch einfach alle inaktiven Accounts löschen.
@Gero kann ich so nicht bestätigen, als ich den Support mal benötigte, war der erreichbar und reagierte schnell und freundlich zu meiner Zufriedenheit.
Klar wenn man im Verdacht der Korruption Geldwäsche oder Sonstiger illegalen Aktivitäten kommt…
Moin,
bei meinen Anbietern haben einige Giropay mit aufgenommen im laufe des Jahres. Bin da dann von PayPal weg 😅👍🏻
Hatte früher Mal Phishing-E-Mails von PayPal weitergeleiteten an die Funktionsadresse dafür. wurde dann gesperrt, wegen Phishing-Mails für die Adresse 😂
MfG,
Blackii
Ich hab zwar ein PayPal-Konto, dass benutz ich aber schon seit Jahren nicht mehr. Die Handynummer dazu gibts fast genauso lange nicht mehr. Ich hab aber nicht vor, denen meine aktuelle Handynummer zu geben, also sollens doch mein Konto einfach löschen.
Geht mir so ähnlich. Ich glaubte zwar, das Konto gelöscht zu haben, aber irgendwie scheint es am Ufer des Styx hängengeblieben zu sein. Einloggen geht nicht mehr, aber ich bekomme immer noch (vermutlich echte) Mails von Paypal zu diesem Konto.
Vielleicht werde ich es dank der neuen Aktion dann doch endlich endgültig los.
Also gerade wenn eine Mail so Phising-artig gestaltet ist und man einiges an Recherche braucht, um festzustellen, dass sie doch seriös ist, dann sollte man mal den Support des Anbieters bemühen. Am besten ganz dumm stellen und anfragen „Ich habe da eine höchst dubiose Mail erhalten, schaut euch die mal an – die ist doch sicher nicht von euch, oder?"
Wenn das genug Leute machen, dann lernen die Verantwortlichen in ihrer Blase vielleicht, wie missverständlich ihre Aussendungen rüberkommen.
die Herkunft einer eMail sagt noch lange nicht ob sie save ist …
Ich hab hier eMails direkt von Amazon mit Pishing Inhalt.
Da hat jemand die Kunden API von Amazon so geschickt genutzt, das Amazon offiziell Pishing eMails selber versendet …
Amazon hat da nur dahingehend mitgeholfen, das sie es zuließen , das sich ein Kunde mit "Amazon Marketplace" als Kundenname anmelden kann …
des weiteren sehe ich immer wieder eBay Pishing via sendgrid … sendgrid ist im spf Record von ebay enthalten … sendgrid macht scheinbar keine Kunden – herkunftsprüfung – es kann scheinbar jeder sendgrid kunde @ebay.com mails versenden …
siehe das:
****************
oggt man sich niemals niemals niemals direkt aus einem Maillink ein, sondern wählt die Seite direkt an und loggt sich da ein! Wenn da irgendwas wichtiges ist bekommst du das immer auch in deinem Account angezeigt! (gilt auch für alles andere und verhindert Phishing zu 100% )
****************
Phishing ist Dumme melken, mehr nicht!
Ich habe den Dreck gekündigt….
Siehe: https://reitschuster.de/post/paypal-drohte-bis-zu-2500-dollar-strafe-fuer-falsche-meinung-an/