Eine etwas unübliche und tatsächlich recht gut gemachte Phishing-Mail erreichte mich gerade angeblich von Paypal. Was mich etwas verwirrte war, dass es sich angeblich um eine Zahlung an mich handelte. Rechnet man bei Phishing-Mails doch sonst eher mit Rechnungen oder Account-Verifikationen, so sollte ich dieses mal doch tatsächlich Geld erhalten...

Nach einem Augenblick des Nachdenkens verzog sich jedoch die Freude über den unvorhergesehenen Geldregen, denn zwei Dinge enttarnten die Mail auf den zweiten Blick schnell als Phishing-Mail. Punkt Nummer eins: Paypal spricht Deutsch zu mir. Normalerweise zumindest, denn diese Mail ist auf Englisch verfasst. Punkt zwei: Der gute, alte Link-Trick. Hält man nämlich die Maus über den Link mit den angeblichen Transaktionsinformationen, dann enttarnt sich der Link als mitnichten auf Paypal, sondern auf einen Server mit einer Länderkennung in der Republik Kongo zeigend. (Länder Top Level Domain (ccTLD) ".cd" – siehe Wikipedia.)

Recht gut gefälscht ist in diesem Fall dann noch die Serverkennung des Mailservers, von dem aus die Mail verschickt wurde. Wie man auf dem folgenden Bild sieht, hat sich der Mailserver meinem Mailserver gegenüber tatsächlich mit der Kennung "paypal.com" gemeldet. Eine Reverse-DNS Abfrage der genannten IP Adresse ergab jedoch schnell, dass für diese IP-Adresse gar kein Domainname registriert worden ist. Große Provider wie AOL & Co nehmen E-Mails von solchen IP-Adressen schon gar nicht mehr an, und genauso sollten sie anderen verdächtig sein. Denn von Paypal kommt diese Mail dann ganz bestimmt nicht.



Lustiges Detail am Rande: Man beachte einmal die Passwort-Sicherheitshinweise auf der rechten Seite der Mail. Sogar diese haben die Versender unverändert von einer originalen Paypal Mail übernommen. Man kann seine Opfer ja vorsichtshalber gleich noch einmal warnen, bevor sie den gefährlichen Link klicken.

-Daniel