Boris Stumpf

Phishing. Neuer Betrugsversuch

Eingeordnet in:

Dies ist nicht das erste Mal, dass ich über Versuche von Betrügern berichte, mittels Phishing per E-Mail an Zugangsdaten zu diversen Diensten wie z.B. Zahlungsdienstleistern wie Paypal zu gelangen.

Ich hatte schon über einen Phishing-Versuch berichtet sowie ausführlich anhand eines konkreten Beispiels dargelegt, wie man sich recht einfach davor schützen kann, von solchen Betrugsversuchen überrumpelt zu werden.

Heute stelle ich einen neuerlichen Fall dar, der mir gerade eben im E-Mailprogramm aufgeploppt ist.

Ich denke, es schadet nicht, dieses Thema immer wieder aktuell zu publizieren, in der Hoffnung, dass möglichst viele Menschen die Chance bekommen, auf die Gefahr aufmerksam zu werden.

Heute also wieder Paypal

Folgende Alarm-Mail erreichte mich heute:

Screenshot einer Phishing-E-Mail in Plaintext-Ansicht

Dies ist die Plain-Text-Ansicht, das Standardformat für E-Mails. In diesem Format werden grundsätzlich alle E-Mails in meinem Mailprogramm angezeigt. Die HTML-Ansicht ist ausgeschaltet.

Der Verdacht entstand schon in der Von:-Zeile. Eine vorgebliche Paypal-Adresse des Absenders, die gar nicht von Paypal stammt.

Die An:-Zeile schließlich offenbarte schon den Betrugsversuch:

Diese meiner E-Mailadressen kennt Paypal überhaupt nicht! Der Dienstleister korrespondiert mit mir ausschließlich über eine ganz andere Adresse.

Damit war die Mail schon zuverlässig als Betrugsversuch entlarvt. Thema erledigt, aber schauen wir mal weiter:

Zusätzlich führt der Link im zweiten Abschnitt »Konto schützen« < …. > zu einer gänzlich fremden Web-Adresse, die ganz sicher nichts mit dem Dienstleister zu tun hat.

Ich habe nun interessehalber die HTML-Ansicht eingeschaltet:

Screenshot einer Phishing-E-Mail in HTML-Ansicht

Wie gesagt, der Betrugsversuch entlarvte sich schon in den Adressfeldern, aber die Mail in HTML-Ansicht sieht ziemlich überzeugend nach Paypal aus.

Man sieht eben nur den Link-Text »Konto schützen», nicht den hinterlegten Link. Viele fallen nun darauf herein, klicken den Link an und landen auf einer vorgeblichen Paypal-Loginseite:

Ziel-Seite des Phishing-Versuchs zum Paypal-Login.

Die Webadresse dieser betrügerischen Seite ist

Phishing-Versuch Paypal: Ziel-URL

Die echte Loginseite hat dagegen eine echte Paypal-URL: https://www.paypal.com/signin

Fazit

Schaut bei Mails, die auf ein Sicherheitsproblem aufmerksam machen wollen und euch einen Link zum Anklicken zwecks Problemlösung anbieten, nach

  • Von: – Von wem kommt die Mail?
  • An: – An welche eigene Adresse ist sie adressiert? Kann euch der Dienstleister über diese Adresse überhaupt erreichen?
  • Plaintext anstatt HTML: Wie sieht der angebotene Link tatsächlich aus, wo führt er hin?

So entgeht ihr zuverlässig solchen Phishing-Versuchen.

Kommentare

3 Antworten zu „Phishing. Neuer Betrugsversuch“

  1. mthie

    Ich muss unbedingt mal rausfinden, wie ich meinem SPF-Checker beibringe, dass er automatisch ~all als -all interpretiert und entsprechend die Mails abweist. Wenn die Leute unbedingt ~all brauchen und es anscheinend nicht schaffen, ihre Einträge zu pflegen, brauch ich von denen auch keine Mail.

    Antworten
  2. ClaudiaBerlin

    Besonders perfide war kürzlich eine Phishing-Mail, die ich erst als solche erkannte, als ich schon auf der Zielseite war: Der Absender war (angeblich) Elster und ich wurde aufgefordert, mein Konto für eine Steuerrückzahlung zu bestätigen. Passt vom Timing her perfekt, denn ich hatte tatsächlich den Bescheid, dass es eine (eher marginale) Rückzahlung geben werde. Zum Glück hatte ich mein Kto erst kürzlich auf eine echte Elster-Aufforderung (im dortigen Mailfach!) bestätigt: für den Fall, dass der Staat im Krisenfall mal direkt Geld verteilen will. (Bei Corona war aufgefallen, dass das garnicht so einfach ist).

    Die Zielseite sah zwar aus wie das Elster-Login, aber ich war ausreichend misstrauisch und stellte fest, dass die üblichen sonstigen Links auf der Elster-Seite gar keine Links waren – ein typisches Zeichen für Fake-Seiten, deren Verfasser sich keine Mühe machen, den Eindruck des „Echten“ bis auf Unterseiten fortzusetzen. Alles nur Bilder!

    Antworten
  3. Wolfgang v. Sulecki

    Momentan scheint es wieder *Konjunktur* für dergleichen Versuche zu geben, ich habe mal zwei aus jüngster Zeit herausgesucht.

    Der angeblich von Com-Direkt war leicht zu entlarven – ich habe dort kein Konto [→ https://www.re-actio.com/wordpress/wp-content/uploads/Bildschirmfoto-PHISHING-COM-DIREKT-vom-2025-06-03-00-24-45.png]
    Der zweite Versuch war schon raffinierter – es ging darum an meine Webadresse & Mail-Daten zu kommen. Da ich aber mit dem Hoster direkt Infos über dessen Webseite austausche …
    [→ https://www.re-actio.com/wordpress/wp-content/uploads/Bildschirmfoto-PHISHING-VERSUCH-vom-2025-06-02-14-14-07.png]

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge