{"id":278203,"date":"2023-02-24T05:40:00","date_gmt":"2023-02-24T04:40:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278203"},"modified":"2023-02-24T05:40:16","modified_gmt":"2023-02-24T04:40:16","slug":"phishpal-wie-paypal-zu-einem-hackerparadies-wurde","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/24\/phishpal-wie-paypal-zu-einem-hackerparadies-wurde\/","title":{"rendered":"PhishPal: Wie PayPal zu einem Hackerparadies wurde"},"content":{"rendered":"

\"Sicherheit[English]Phishing-Kampagnen, die auf PayPal-Nutzer abzielen, hatte ich ja bereits h\u00e4ufiger im Blog angesprochen. Sicherheitsforscher haben herausgefunden, dass Cyberkriminelle, im gro\u00dfen Stil Rechnungen als Phishing-Mail direkt per PayPal schicken und dadurch Spamfilter und Sicherheitsma\u00dfnahmen der meisten herk\u00f6mmlichen E-Mail-Provider umgehen. \u00dcber diesen Ansatz hatte ich k\u00fcrzlich im Blog berichtet. Nun hat mir CheckPoint ein paar Hintergrundinformationen geliefert.<\/p>\n

<\/p>\n

Rechnungen \u00fcber PayPal<\/h2>\n

\"\"Im Juli 2022 berichteten Sicherheitsforscher von Avanan<\/a> (geh\u00f6rt zu Check Point Software), \u00fcber eine neue Kampagne, bei der Hacker ihre Phishing-E-Mails und b\u00f6sartige Rechnungen direkt \u00fcber PayPal verschickten<\/a>. Ich hatte Anfang Februar 2023 im Blog Beitrag Neue PayPal-Betrugsmasche \u2013 mit echten Push-Benachrichtigungen (Feb. 2023)<\/a> \u00fcber einen \u00e4hnlichen Ansatz berichtet.<\/p>\n

\"PayPal-Betrugsmasche<\/p>\n

Nun haben die Experten eine neue Angriffstaktik der Drahtzieher aufdecken k\u00f6nnen. Diese unterscheidet sich von bisherigen Betrugsversuchen, die lediglich vort\u00e4uschten, von PayPal zu stammen<\/a>. Denn bei der neuen Methode handelt es sich um fingierte Rechnungen, die tats\u00e4chlich direkt von PayPal versendet werden. Dadurch sind sie nicht nur f\u00fcr herk\u00f6mmliche E-Mail-Sicherheitsdienste kaum zu stoppen, sondern auch f\u00fcr Endbenutzer weitaus schwerer zu erkennen.<\/p>\n

Phishing von PayPal-Konten<\/h2>\n

Das Opfer erh\u00e4lt eine E-Mail, die direkt von PayPal\u00a0 kommt \u2013 zu erkennen an der Absenderadresse service[@]paypal.com oben links. Aufmerksame Benutzer k\u00f6nnten anhand des Inhalts der E-Mail jedoch bemerken, dass etwas nicht stimmt.<\/p>\n

\"PayPal-Betrugsmasche\"<\/p>\n

Zum einen ist die Grammatik und Rechtschreibung fehlerhaft. Zum anderen steht die angegebene Telefonnummer in keinem Zusammenhang mit PayPal. Sie bietet jedoch eine weitere M\u00f6glichkeit f\u00fcr Hacker, an Daten und Geld ihrer Opfer zu gelangen. Ruft das Opfer die Nummer an, haben die T\u00e4ter zudem die Handynummern ihrer Ziele und k\u00f6nnen sie f\u00fcr weitere Angriffe und Betrugsversuche verwenden.<\/p>\n

PayPal-Phishing ganz einfach<\/h2>\n

F\u00fcr die zunehmende Ausbreitung von PayPal-Scams gibt es diverse Gr\u00fcnde. Zum einen kann jeder ein PayPal-Konto einrichten. Das ist kostenlos und dauert nur ein paar Sekunden. Es ist zudem sehr einfach, eine Rechnung zu erstellen, denn daf\u00fcr braucht es lediglich zwei Klicks. PayPal bietet au\u00dferdem die M\u00f6glichkeit, bis zu 20 Rechnungen gleichzeitig zu versenden. Das potenziert die Zahl der Angriffe. Es werden sogar Tools angeboten, mit denen man professionellere Rechnungen erstellen kann.<\/p>\n

Diese Benutzerfreundlichkeit ist f\u00fcr Hacker sehr attraktiv. Dar\u00fcber hinaus kommt die E-Mail direkt von PayPal. Daher ist die Mail selbst nicht b\u00f6sartig \u2013 immerhin werden jeden Tag unz\u00e4hlige legitime Rechnungen \u00fcber PayPal verschickt. Eine E-Mail, die von service[@]paypal.com kommt, wird alle SPF-, DKIM- und DMARC-Pr\u00fcfungen bestehen, somit in den Postf\u00e4chern landen, nicht blockiert werden oder im Spam-Ordner liegen. Zudem wird sie wahrscheinlich auch viele andere Pr\u00fcfungen unangetastet durchlaufen, denn es ist vermutlich nicht das erste Mal, dass das jeweilige Postfach des Nutzers eine Mail von PayPal empf\u00e4ngt. Daher die Annahme, dass die URL wohl sauber sein wird.<\/p>\n

All das sind Indikatoren, auf die sowohl herk\u00f6mmliche E-Mail-Sicherheitsl\u00f6sungen als auch L\u00f6sungen der n\u00e4chsten Generation achten. Um jedoch herauszufinden, dass es sich um eine schadhafte E-Mail handelt, m\u00fcssen fortschrittliche KI und Maschinelles Lernen eingesetzt werden, die mit Informationen aus einer gro\u00dfen Datenbank trainiert wurden, um herauszufinden, dass es sich tats\u00e4chlich um einen Angriff handelt.<\/p>\n

Wenn der E-Mail-Dienst dies nicht herausfinden kann, muss der Benutzer selbst nach verd\u00e4chtigen Anzeichen suchen. Teil der Taktik aber ist es zum Beispiel, dass die E-Mail-Adresse des Absenders in vielen Postf\u00e4chern, wegen der \u00dcbersicht, nicht angezeigt wird \u2013 stattdessen erscheint ein Spitzname. Es hei\u00dft dann lediglich \u201eEine kleine Erinnerung von der Rechnungsabteilung<\/i>\" statt wie herk\u00f6mmlich \u201eEine kleine Erinnerung von rechnungsabteilung[@]<\/i><\/i>xy.com\". Weil dort nur noch \u201eRechnungsabteilung\" steht, kann der Benutzer also nicht nachschauen, ob es Unstimmigkeiten in der Absenderadresse gibt. Das macht es f\u00fcr den Hacker einfach, sich als Familienmitglied oder Chef auszugeben.<\/p>\n

Kurz gesagt: Angriffe dieser Art sind sehr leicht durchzuf\u00fchren und \u00e4u\u00dferst schwer zu stoppen. Daher empfiehlt Check Point diese Tipps:<\/p>\n