Sie kommt scheinbar “Von: PayPal <service@paypal.de>” und hat den “Betreff: Konto Status”.

Anders, als bei den bisherig beschriebenen Phishing-Angriffen, wird hier den Nutzer nicht auf eine gefälschte PayPal-Seite mittels Link gelenkt, sondern die Phishing-Seite liegt der Mail bereits bei: Denn im Anhang befindet sich eine Datei mit dem Namen “Persönliches Profil – PayPal.htm”, die beim “Öffnen” ein WebFormular zum Vorschein bringt. Nur 3 von 42 getesten Virenscanner erkennen die Datei als Phishing-Seite: VirusTotal-Ergebnis.
Doch wie funktioniert das?
Schaut man in den Quelltext des Attachments (z.B. mit einem Text-Editor), findet man eine Passage, die wie folgt aussieht:

Entschlüsselt man diesen “verkrypteten” Code, kommt neben einigen Formular-Feldern auch folgende E-Mail-Adresse zum Vorschein: “$send="save.modul3@gmail.com". Diese E-Mail-Adresse dient den Cyberkriminellen als Dropbox. Als Dropbox bezeichnet man E-Mail-Adressen, an welche die im Formular eingegebenen Daten per Mail versendet und so dem Angreifer zugänglich gemacht werden sollen.
Was soll ich machen, wenn ich auf diesen Nepp reingefallen bin?