Handelsübliche Phishing-Mails bergen einerseits ein hohes Risiko, lassen sich andererseits jedoch relativ schnell und unkompliziert als solche enttarnen. Ein einziger Blick auf den Absender reicht in den allermeisten Fällen aus, um den Betrug aufzudecken. Alternativ kann man sich natürlich direkt im thematisierten Dienst – beispielsweise Amazon – anmelden und seine Benachrichtigung nach einer entsprechenden Mitteilung durchforsten. Beide Methoden bringen derzeit allerdings nicht viel – durchkreuzt von offiziellen PayPal-Mechanismen, welcher sich Cyberkriminelle nach Informationen von Watchlist Internet bedienen.
Wenn PayPal zum Cybercrime-Mittäter wird
Die Täter gehen wie folgt vor: In einem ersten Schritt kaufen sie eine Liste mit E-Mail-Adressen. Diese lassen sich beispielsweise im Darknet kaufen und stammen meistens aus diversen vorangegangenen Sicherheitslecks. Falls du prüfen möchtest, ob auch deine E-Mail-Adresse betroffen ist, erfährst du in unserem Ratgeber, wie das geht.
Daraufhin nutzen die Betrüger PayPals Rechnungs- respektive Zahlungserinnerungs-Funktion, um dem potenziellen Opfer eine entsprechende Benachrichtigung zukommen zu lassen. Diese wird einerseits per E-Mail und andererseits direkt im PayPal-Kundenkonto zugestellt. Als Absender erscheint PayPal, daher wirkt die Phishing-Mail seriös. Meldet man sich anschließend in der PayPal-App an, um auf Nummer sicher zu gehen, wird ihre Echtheit durch eine entsprechende Benachrichtigung bestätigt.
Mit der Nachricht verfolgen die Kriminellen zwei Ziele. Einerseits könnten unachtsame Leser die gestellte Rechnung tatsächlich begleichen. Andererseits umfasst die PayPal-Benachrichtigung eine „Mitteilung des Verkäufers an den Kunden“. Darin heißt es seitens der Betrüger, man solle eine beigefügte Telefonnummer wählen, um Missverständnisse aufzuklären oder die Rechnung zu stornieren. Per Telefon können die Opfer dann nach ihren Daten (etwa Zugangsdaten oder Banking-Daten) ausgefragt werden. Ferner könnte der Anruf kostenpflichtig sein. Daher sollte man die hinterlegte Nummer nicht wählen. Und auch die Zusatzinformation, die eine Stornierung nach 24 Stunden ab Empfang der Benachrichtigung thematisiert, kann getrost ignoriert werden. Denn hierzulande gilt bei Online-Käufen eine gesetzliche 14-tägige Widerrufsfrist.
So schützt du dich
Zunächst einmal solltest du verdächtige Rechnungen niemals direkt begleichen. Stattdessen empfiehlt es sich, den PayPal-Kundendienst zu kontaktieren. Auch Händler-Anweisungen, wie dem Wählen einer Telefonnummer oder der Betätigung einer hinterlegten Verlinkung, sollte man nicht nachkommen.
Ist es bereits zu spät, und die Cyberkriminellen im Besitz deiner Daten, solltest du deine Passwörter ändern und eine sogenannte Zwei-Faktor-Authentifizierung einrichten. Solltest du darüber hinaus deine Bankdaten preisgegeben haben, ist die Kontaktaufnahme mit deiner Bank ebenfalls zu empfehlen.