![\"\"](\"https:\/\/i.imgur.com\/DNxhm89.jpg\")
Der US-Zahlungsdienstleister PayPal hat damit begonnen, bereits in 2022 eine Geb\u00fchr f\u00fcr inaktive Benutzerkonten zu berechnen. Die Woche ist nun bei mir eine h\u00f6chst obskure Mail von PayPal eingeschlagen, die mich zur Anmeldung am PaypPal-Konto aufforderte. Ich hie\u00dft die Mail f\u00fcr Phishing – was sie aber wohl nicht ist – und habe den Fall mal etwas genauer aufbereitet.<\/p>\n
<\/p>\n
Die Kunden sollten zwei Monate Zeit haben, ihr Konto zu nutzen, bevor die Strafgeb\u00fchr f\u00e4llig wird, schreibt heise. Laut heise k\u00f6nnen die Kunden mit PayPal etwas kaufen, an eine wohlt\u00e4tige Organisation spenden, Geld abheben oder Geld an andere PayPal-User schicken. Die g\u00fcnstigste Methode sei aber eine einmalige Anmeldung am PayPal-Konto. Dann wurde das Konto ja aktiv genutzt.<\/p>\n Im heise-Artikel wird auch der Hintergrund f\u00fcr PayPal Europe erl\u00e4utert. Neben der Bereinigung von Karteileichen gibt es eine konkrete regularische Auflage. Da PayPal f\u00fcr euop\u00e4ische Nutzer seinen Sitz in Luxemburg hat, f\u00e4llt das Unternehmen unter ein am 30. M\u00e4rz 2022 bekannt gegebene Gesetz<\/a> \u00fcber inaktive Konten, inaktive Schlie\u00dff\u00e4cher und nachrichtenlose Versicherungsvertr\u00e4ge. Institute m\u00fcssen Guthaben aus inaktiven Konten nach zehn Jahren der Hinterlegungskasse (Caisse de consignation) des Gro\u00dfherzogtums anbieten. Nickt die Hinterlegungskasse, muss das Guthaben \u00fcbertragen und das Konto geschlossen werden. Berechtigte k\u00f6nnen dann Anspruch auf das Guthaben erheben und sich gegen eine saftige Geb\u00fchr erstatten lassen. Nach 30 Jahren verf\u00e4llt der Anspruch auf das Guthaben und der Betrag geht an Luxemburgs Staatskasse und an eine Zukunftsstiftung (Fonds souverain interg\u00e9n\u00e9rationnel du Luxembourg).<\/p>\n Ich habe seit Jahren ein PayPal-Konto mit einem geringen Guthaben, welches ich dieses Jahr auch schon f\u00fcr Zahlungen verwendet habe. Daher habe ich obigen heise-Artikel beil\u00e4ufig zur Kenntnis genommen – trifft mich ja nicht. Allerdings rufen solche Aktivit\u00e4ten i.d.R. auch Trittbrettfahrer auf den Plan, die das f\u00fcr Phishing und Betrug ausnutzen m\u00f6chten.<\/p>\n Als die Woche obige Mail von \"PayPal\" eintrudelte, klingelte sofort die Phishing-Alarm-Glocke. Es hie\u00df, ich h\u00e4tte PayPal eine ganze Weile nicht mehr genutzt – nun ja, es wurden in den letzten Monaten Bestellungen \u00fcber dieses Konto gezahlt. K\u00f6nnte also eine \"Werbema\u00dfnahme\" von PayPal sein, um Kontenbewegungen anzusto\u00dfen. Es k\u00f6nnte aber auch ein plumper Phishing-Versuch sein.<\/p>\n Speziell die f\u00fcr Jetzt einloggen<\/em> im E-Mail-Client eingeblendete Zieladresse epl.paypal-communication.com<\/em> kam mir obskur vor. In einem solchen Fall kopiere ich standardm\u00e4\u00dfig die Ziel-URL in die Zwischenablage und lasse die Adresse auf virustotal.com pr\u00fcfen. Das Ergebnis<\/a> hat mich scheinbar best\u00e4tigt, denn ein Virenpr\u00fcfer signalisierte die URL als sch\u00e4dlich.<\/p>\n Ich habe mir dann den Mail-Header der Nachricht angesehen, in der Hoffnung, auf die Schnelle eine Erkenntnis zu erlangen. Hier die betreffenden Informationen.<\/p>\n Die Mail wurde von einem paypal.de Mail-Server an den Server des Mail-Providers \u00fcbergeben und per dkim sogar akzeptiert. Aber PayPal agiert doch eigentlich unter paypal.com – wer paypal.de im Browser eintippt, wird umgeleitet. Und dann gab es noch die obskurze Ziel-URL. Als ich im Internet nach mta101b.pmx1.epsl1.com <\/em>gesucht habe, wurde ich beispielsweise hier f\u00fcndig<\/a>. Es ging dort um einen Virenverdacht.<\/p>\n Dann habe ich geschaut, wer hinter eps11.com<\/em> steckt und mir wurde EPSILON-INTERACTIVE (Epsilon Data Management) in den USA genannt. Epsilon Interactive LLC bietet Direktmarketing-Dienstleistungen an. Deren Aktivit\u00e4ten werden im Hinblick auf Betrug hier<\/a> als niedrig eingestuft.<\/p>\n An dieser Stelle habe ich es dann doch gewagt, den Link aus der Mail im Inkognito-Modus des Browsers zu \u00f6ffnen (auf Tor wurde die URL nicht aufgel\u00f6st). Normalerweise vermeide ich dies, da in der sehr langen URL ja Informationen stecken k\u00f6nnen, die einem Phisher zeigen, dass jemand auf seine Mail reagiert hat und welche E-Mail-Adresse dazu geh\u00f6rt. Im aktuellen Fall wurde ich wirklich auf die PayPal-Anmeldeseite geleitet.<\/p>\n Es wird im Adressfeld des Browsers die PayPal-Adresse angezeigt, wobei sich in der URL ein Verweis auf eine Kampagne von Epsilon als Dienstleister in Deutschland verbirgt. Die \u00dcberpr\u00fcfung ergab, dass das Zertifikat der Seite auf PayPal.com ausgestellt war – es wurde also wirklich auf PayPal umgeleitet.<\/p>\n Es ist nicht der erste Fall, bei dem ich von PayPal E-Mails bekam, die mich zur Anmeldung an meinem Konto aufforderten und gleich einen Anmelde-Link mitlieferten. Die agieren also wie die klassischen Phisher. Andererseits ist PayPal h\u00e4ufig im Fokus der Phishing-Mafia (siehe Links am Artikelende). Und es gab sogar F\u00e4lle, wo Angreifer Phishing-Mails \u00fcber PayPal-Dom\u00e4nen versandt haben.<\/p>\n Wer ein PayPal-Konto besitzt und eine Mail mit PayPal im Wortlaut bekommt, tut einerseits gut daran, wachsam zu bleiben. Man sollte sich niemals \u00fcber die in der Mail angegebene URL am PayPal-Konto anmelden, sondern im Adressfeld des Browsers die URL paypal.com <\/em>angeben, um zur Anmeldung zu gelangen.<\/p>\n Leuten, die nicht dringend auf ein Konto bei PayPal angewiesen sind (und gem\u00e4\u00df obiger Meldung demn\u00e4chst Inaktivit\u00e4tsgeb\u00fchren bezahlen m\u00fcssten), empfehle ich, dieses Konto aufzul\u00f6sen. Dann kann man auch nicht Opfer eines solchen Betrugs werden.<\/p>\n \u00c4hnliche Artikel:<\/strong> Der US-Zahlungsdienstleister PayPal hat damit begonnen, bereits in 2022 eine Geb\u00fchr f\u00fcr inaktive Benutzerkonten zu berechnen. Die Woche ist nun bei mir eine h\u00f6chst obskure Mail von PayPal eingeschlagen, die mich zur Anmeldung am PaypPal-Konto aufforderte. Ich hie\u00dft die Mail … Weiterlesen Es war ein diese Woche auf heise erschienener Artikel<\/a>, den ich auf die Schnelle \u00fcberflogen hatte, der den Boden f\u00fcr den Blog-Beitrag bereitete. Inhaber von Konten bei PayPal sollen eine Inaktivit\u00e4tsgeb\u00fchr zahlen, wenn sie den Dienst f\u00fcr 12 Monate nicht genutzt haben. Laut heise wird das durch PayPal Europe und PayPal Canada ab sofort f\u00fcr private Konten als auch f\u00fcr Gesch\u00e4ftskonten umgesetzt.<\/p>\n
Die vermeintliche Phishing Mail<\/h2>\n
![\"Paypal](\"https:\/\/i.imgur.com\/llghwZ1.png\" "\\"Paypal")
\nPaypal Guthaben-Benachrichtigung oder Phishing-Mail<\/p>\nKomische Ziel-URL<\/h3>\n
![\"Virustotal-Warnung\"](\"https:\/\/i.imgur.com\/PCacwlv.png\" "\\"Virustotal-Warnung\\"")
<\/p>\nDer Mail-Header<\/h3>\n
\n
From - Fri Nov 18 17:56:26 2022\r\nX-Account-Key: account4\r\nX-UIDL: 1N7A2U-1p1Rxs1MJI-017Y8F\r\nX-Mozilla-Status: 0001\r\nX-Mozilla-Status2: 00000000\r\nX-Mozilla-Keys: \r\nReturn-Path: <bounce@mail.paypal.de>\r\nAuthentication-Results: kundenserver.de; dkim=pass header.i=@mail.paypal.de\r\nReceived: from mta101b.pmx1.epsl1.com ([142.54.244.101]) by mx.kundenserver.de\r\n (mxeue112 [217.72.192.67]) with ESMTPS (Nemesis) id 1N6cbg-1p0u091lDa-01859Q\r\n for <gborn@******>; Fri, 18 Nov 2022 17:55:36 +0100\r\nDKIM-Signature: v=1; a=rsa-sha256; c=relaxed\/relaxed; d=mail.paypal.de;\r\n\ts=pp-epsilon1; t=1668790534;\r\n\tbh=B1jG8YAdX15Qonbez9dLY6AcmAX9Rdsxc0gHeqHDSaU=;\r\n\th=MIME-Version:Subject:From:To:Date:Content-Type;\r\n\tb=kaQPhAboOC2XpPeVn1XLrCey\/E8VTMQnGDa\/u0GJnlUabpIg4MCJenZZoBXMKvTkB\r\n\t AcNJv1YULY2Ghaux1btlNBzlYxYmGGn1pnkUyqgKJrYJN\/0o20ElGmRSapnQ5fmmkJ\r\n\t TIAh\/b8E483sm2fbfkIcAh7HzgWdtR\/ZXJ5Xd1oasn41flnZaAHPHATkgGMHqLu9dn\r\n\t B5yjcS7pMUgGd3X9fJFfLI6y7C9Uz6F\/ukEbs18jZl8ouNrwmROBYoGHlgc\/9wuymv\r\n\t jmN3HQP2f7oe0ACrLI2JDmy4OkPzZdHGSl4hbxP3MEHPABMlz2YTGxwcCZTapgllFm\r\n\t lno\/f4Qu8S78A==\r\nReceived: from [10.233.19.182] ([10.233.19.182:34480])\r\n\tby pc1udsmtn1n13 (envelope-from <bounce@mail.paypal.de>)\r\n\t(ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM\r\n\tid AE\/CC-26110-509B7736; Fri, 18 Nov 2022 16:55:34 +0000\r\nList-Unsubscribe: <mailto:bounce-HP2v6000001848baab3a1ab05d26e96c660c0113@mail.paypal.de?subject=list-unsubscribe>\r\nMessage-ID: <HP2v6000001848baab3a1ab05d26e96c660c0113@mail.paypal.de>\r\nMIME-Version: 1.0\r\nFeedback-ID: be56865d-345e-4355-b332-0b04ab49483a:b4cad6e3-63d4-4776-bd51-33e0d8fe639a:email:epslh1\r\nX-NSS: be56865d-345e-4355-b332-0b04ab49483a\r\nReply-To: \"noreply@mail.paypal.de\" <noreply@mail.paypal.de>\r\nSubject: Wir haben Guthaben auf Ihrem Konto gesichtet, Guenter Born.\r\nFrom: PayPal <paypal@mail.paypal.de>\r\nTo: gborn@*****\r\nDate: Fri, 18 Nov 2022 16:55:33 +0000<\/pre>\n<\/blockquote>\n
Doch eine Mail von PayPal<\/h3>\n
![\"PayPal-Anmeldeseite\"](\"https:\/\/i.imgur.com\/HVoozJf.png\" "\\"PayPal-Anmeldeseite\\"")
<\/p>\nFazit: Wachsam bleiben<\/h2>\n
\nHacker versenden Phishing-Mails \u00fcber PayPal-Dom\u00e4nen<\/a>
\nVorsicht: PayPal-Phishing-Mails im Umlauf (Dez. 2020)<\/a>
\nVorsicht: Paypal-Phishing Welle droht mit \"eingeschr\u00e4nktem Konto\" (25.8.2022)<\/a>
\nPayPal: Google-Pay-Schwachstelle geschlossen?<\/a>
\nNeues zu unberechtigten PayPal-\/Google Pay-Abbuchungen<\/a>
\nDie 'schmutzigen' Seiten des PayPal-Hacks<\/a>
\nBetrug: Unberechtigte Google Pay Abbuchungen bei Paypal<\/a>
\nPatzt PayPal bei der Sicherheit? Schwachstellen ungefixt<\/a>
\nMassen-Newsletter-Spam und der Paypal-Konten-Hack<\/a>
\nVorsicht: Eine PayPal-Phishing-Welle rollt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"