Erkennen von PayPal-Mails mit Betrugsabsicht

Lothar Spam und Malware
PayPal-Betrugsmail
PayPal-Betrugsmail

Heute kam schon wieder eine Mail von PayPal zur Kontenaktivierung / Kontenbestätigung.

Der Absender ist dieses mal: mail@pay-pal-dortmund.org.
Wieder eine der vielen Versuche ahnungslose und leichtgläubige Menschen um irgendetwas (meist Geld) zu erleichtern. Meist lassen sich viele Einschüchtern, weil die Folgen einer Nichtbeachtung mit “Kosten” verbunden sind und klicken dann doch auf den Link (oder das Bild).

Mit etwas Detektivarbeit bekommt man ganz schön viel über die Echtheit der Email heraus.

  1. Die Firma wurde in der Signatur und im Absender mit “Pay:Pal Dortmund” angegeben.
  2. Es fehlt jegliche Rechtsform (GmhB, KG, …), was nur auf eine Personengesellschaft hindeuten kann.
    Die Firma PayPal, die ich kenne gehört zu ebay und ist KEINE Personengesellschaft.
    Dieses weist auf a) eine andere Firma hin und  würde b) PayPal nie passieren, große Unternehmen steuern Ihre Signaturen meist zentral.
  3. PayPal hat seinen Europasitz in Luxemburg und nicht in Deutschland. (Siehe Impressum von www.paypal.de)
  4. PayPal ist nicht im deutschen Telefonbuch verzeichnet. (Nachschauen unter www.dastelefonbuch.de)
  5. PayPal ist ein Unternehmen und keine gemeinnützige Organisation.
    Die Absenderadresse hat aber eine .org Domain, was für gemeinnützige Organisation stehen soll, hier aber eher für “kriminelle Organisation” steht, denn PayPal ist keine Organisation, sondern ein Unternehmen mit europäischer Banklizenz.
  6. Wie in vielen dieser Betrugsmails, verweist der Link auf eine Adresse, die nichts mit der Firma oder dem Absender gemein hat.
    Den Link sieht man, wenn man mit dem Mauszeiger über den Link fährt und dann ganz unten links auf dem Bildschirm die Linkadresse eingeblendet wird.
    Man kann  auch mit der rechten Maustaste auf den Link Klicken (passiert noch nichts) und dann im Kontextmenü auf “Link-Adresse kopieren” klicken und den Link dann in Word, Excel o.ä. zum lesen einfügen.
    Hier wird also nicht auf pay-pal-dortmund.org, sondern auf http://tristatebuilderssupply.com/…./…. verwiesen, das ist eine andere Domain und sollte stutzig machen. Hier ist dieses ist ein Hinweis auf einen Betrugsversuch.
    Korrekt würde PayPal den Link natürlich auf http://www.paypal-deutschland.de/.….. oder http://www.paypal.com/de/….. setzen.
  7. Die Absenderdomain ist nach einem Check unter www.domainabfrage.net/abfrage gar nicht registriert, also kann man auch keine Mails unter dem Namen senden. Der Absender ist definitiv gefälscht.
  8. Die Zieladresse “tristatebuilderssupply.com” ist nach Abfrage bei der 1&1 in Amerkia seit 09.01.2010 registriert und auf 1&1 Amerika zu Händen “tristatebuilderssupply.com”  geändert am 10.01.2013. Also ein fragwürdiger Besitzer in diesem Falle.
    Es scheint, dass 1&1 Amerika die Domain zu sich geholt hat, weil der Kunde die Domain freigegeben / nicht bezahlt hat und ein Mensch die Zugangsdaten zum Missbrauch noch kennt.
  9. Es wurde kein PayPal-Logo in der Email verwendet (Kann man auch fälschen)
  10. Ein Personenname und eine Telefonnummer sind nicht immer indiz für Vertrauenswürdigkeit! Man kennt die Mitarbeiter der Unternehmen doch eh nicht mit Namen.
  11. Mit der Rückwärtssuche über die Adresse kann man unter www.dastelefonbuch.de oder www.dasoertliche.de (erweiterte Suche / PLZ-Suche) schnell herausfinden, dass
    a) Es keine Ringstraße unter der PLZ gibt.
    b) Es die PLZ 44681 gar nicht gibt und
    c) Die Ringstraße in Dortmund in der PLZ 44357 liegt.
  12. Die angegebene 0180 Nummer lässt sich unter www.0180.info abfragen, auch hier unbekannt. Wenn man dort nach PayPal sucht, bekommt man nur 01805-Nummern (14cent/Min aus dem Festnetz, bis 42cent/Min mobil) angezeigt, keine 01806-Nummer (20cent/Anruf aus dem Festnetz, bis 60cent/Anruf mobil). 01806-Nummern gibt es in Deutschland erst seit Januar 2013 und diese angegebene Nummer ist nicht vorhanden.
    Die Ansage “Kein Anschluss unter dieser Nummer” kommt bereits bei 01806, es gibt also noch gar keine 01806-Nummer.
  13. Ein Verweis auf eine ID ist meist sinnlos wenn kein Zweck damit verknüpft ist. Bei einer Kundennummer könnte man die Angabe überprüfen.
  14. Ich habe auf einer gesicherten Umgebung den Link angeklickt und siehe da es erscheint eine PayPal-Look-a-Like Seite auf, dies bedeutet, das der Betrüger die PayPal-Seite kopiert hat und die Seite wie bei PayPal aussieht. Es werden sogar die Original PayPal-Buttons und Bilder angezeigt. Weiter ist hier noch nichts passiert.Wenn man nun die PayPal-Seite betrachtet und sich oben die Adressleiste anschaut, dann sieht man, dass man sich noch immer auf der “schädlichen” Domain befindet.

    Falsche Seite für Dateneingabe (PayPal-Fake)
    Falsche Seite für Dateneingabe (PayPal-Fake)
  15. Wer nun seine Anmeldedaten eingibt und auf den “Einloggen”-Button klickt, kommt auf eine weitere Seite, wo er seine Daten (die PayPal ja schon kennt) eingeben soll. Tut man dieses, hat der Betrüger alles was er benötigt. Er meldet sich mit den soeben “abgegriffenen” Daten an, ändert das Passwort, die Adressdaten und den Geburtstag und schon bekomme ich nie wieder die Gewalt über meinen PayPal-Account.

Also bitte nicht blind vertrauen und anklicken, sondern immer erst mal schauen was dahinter steckt. Manchmal ist das sogar amüsant und interessant.
PS: Da PayPal wirklich per Email mit den Endkunden kommuniziert, können natürlich auch echte Emails von PayPal gesendet werden.
Erkennen von PayPal-Mails mit Betrugsabsicht
Markiert in: