Sie kommt scheinbar “Von: PayPal <service@paypal.de>” und hat den “Betreff: Konto Status”.
Anders, als bei den bisherig beschriebenen Phishing-Angriffen, wird hier den Nutzer nicht auf eine gefälschte PayPal-Seite mittels Link gelenkt, sondern die Phishing-Seite liegt der Mail bereits bei: Denn im Anhang befindet sich eine Datei mit dem Namen “Persönliches Profil – PayPal.htm”, die beim “Öffnen” ein WebFormular zum Vorschein bringt. Nur 3 von 42 getesten Virenscanner erkennen die Datei als Phishing-Seite: VirusTotal-Ergebnis.
Doch wie funktioniert das?
Schaut man in den Quelltext des Attachments (z.B. mit einem Text-Editor), findet man eine Passage, die wie folgt aussieht:
Entschlüsselt man diesen “verkrypteten” Code, kommt neben einigen Formular-Feldern auch folgende E-Mail-Adresse zum Vorschein: “$send="save.modul3@gmail.com"
. Diese E-Mail-Adresse dient den Cyberkriminellen als Dropbox. Als Dropbox bezeichnet man E-Mail-Adressen, an welche die im Formular eingegebenen Daten per Mail versendet und so dem Angreifer zugänglich gemacht werden sollen.
Was soll ich machen, wenn ich auf diesen Nepp reingefallen bin?
- Loggen Sie sich in Ihren Paypal-Account ein und ändern Sie umgehend Ihre Passwörter.
- Können Sie sich nicht mehr einloggen? Dann treten Sie mit PayPal in Kontakt.
- Prüfen Sie Ihren PayPal-Account auf Manipulationen (z.B. geänderte E-Mail-Adresse sowie alle weiteren Kontaktdaten, Auszahlungskonto)
- Prüfen Sie Ihr Paypal-Konto auf ungewöhnliche Transaktionen.