{"id":387,"date":"2025-02-23T07:25:21","date_gmt":"2025-02-23T06:25:21","guid":{"rendered":"https:\/\/reindersweb.de\/?p=387"},"modified":"2025-02-25T19:55:11","modified_gmt":"2025-02-25T18:55:11","slug":"paypal-phishing-neue-adresse","status":"publish","type":"post","link":"https:\/\/www.reindersweb.de\/?p=387","title":{"rendered":"Paypal Phishing „Neue Adresse“"},"content":{"rendered":"

Dies ist eine \u00dcbersetzung eines Artikels von Bleeping Computer<\/a><\/p>\n

Ein aktueller PayPal-E-Mail-Betrug nutzt die Adresseinstellungen der Plattform aus, um gef\u00e4lschte Kaufbenachrichtigungen zu versenden und die Nutzer dazu zu bringen, Betr\u00fcgern Fernzugriff zu gew\u00e4hren
\nIn den letzten Monaten haben BleepingComputer und andere [1, 2] E-Mails von PayPal erhalten, in denen es hei\u00dft: \u201eSie haben eine neue Adresse hinzugef\u00fcgt. Dies ist nur eine kurze Best\u00e4tigung, dass Sie eine Adresse in Ihrem PayPal-Konto hinzugef\u00fcgt haben\u201c.
\nDie E-Mail enth\u00e4lt die neue Adresse, die angeblich zu Ihrem PayPal-Konto hinzugef\u00fcgt wurde, sowie eine Nachricht, die behauptet, eine Kaufbest\u00e4tigung f\u00fcr ein MacBook M4 zu sein, und Sie auffordert, die beigef\u00fcgte PayPal-Nummer anzurufen, falls Sie den Kauf nicht autorisiert haben.
\n\u201eBest\u00e4tigung: Ihre Lieferadresse f\u00fcr das MacBook M4 Max 1 TB ($1098,95) wurde ge\u00e4ndert. Wenn Sie diese Aktualisierung nicht autorisiert haben, wenden Sie sich bitte an PayPal unter +1-888-668-2508\u201c, hei\u00dft es in der betr\u00fcgerischen E-Mail.
\n\"\"
\nDie E-Mails werden direkt von PayPal von der Adresse \u201eservice@paypal.com\u201c verschickt, was die Bef\u00fcrchtung weckt, dass ihr Konto gehackt wurde. Diejenigen, die diese E-Mail erhalten haben, best\u00e4tigten jedoch, dass ihren Konten tats\u00e4chlich keine neuen Adressen hinzugef\u00fcgt wurden. In unserem Fall wurde die betr\u00fcgerische E-Mail an eine E-Mail-Adresse gesendet, die kein PayPal-Konto hat. Da es sich bei den E-Mails au\u00dferdem um legitime PayPal-E-Mails handelt, umgehen sie Sicherheits- und Spam-Filter. Im n\u00e4chsten Abschnitt wird erl\u00e4utert, wie die Betr\u00fcger diese E-Mails versenden.
\nDas Ziel dieser E-Mails ist es, den Empf\u00e4ngern vorzugaukeln, dass ihr Konto gehackt wurde, um ein MacBook zu kaufen, und sie dazu zu bringen, die \u201ePayPal-Support\u201c-Telefonnummer des Betr\u00fcgers anzurufen.
\nWenn Sie die Nummer anrufen, wird automatisch eine Aufnahme abgespielt, die besagt, dass Sie den PayPal-Kundendienst erreicht haben und warten sollen, bis ein Mitarbeiter des Kundendienstes verf\u00fcgbar ist. Der Anrufer wird dann versuchen, Sie mit einem \u201eKundensupport\u201c-Mitarbeiter zu verbinden.
\nDer Betr\u00fcger wird versuchen, Ihnen Angst einzujagen, damit Sie glauben, dass Ihr Konto gehackt wurde, und Sie davon \u00fcberzeugen, die Software herunterzuladen und auszuf\u00fchren, damit er Ihnen \u201ehelfen\u201c kann, wieder Zugang zu Ihrem Konto zu erhalten und die angebliche Transaktion zu blockieren.
\nDer Betr\u00fcger leitet Sie an, eine Website wie pplassist[.]com zu besuchen und einen Servicecode einzugeben, den der falsche PayPal-Mitarbeiter Ihnen gibt. Durch die Eingabe dieses Codes wird ein ConnectWise ScreenConnect-Client [VirusTotal] von lokermy.numaduliton[.]icu oder anderen Websites heruntergeladen, den der Betr\u00fcger Sie auffordert, auszuf\u00fchren.
\n\"\"
\nAn diesem Punkt legten wir auf und f\u00fchrten das Programm nicht auf unseren Ger\u00e4ten aus.
\nBei fr\u00fcheren Betrugsversuchen dieser Art haben die Angreifer, sobald sie Zugriff auf den Computer erlangt haben, versucht, Geld von Bankkonten zu stehlen, Malware zu installieren oder Daten vom Computer zu stehlen.
\nWenn Sie also eine legitime E-Mail von PayPal erhalten, in der Sie angeben, dass Sie Ihre Adresse aktualisiert haben, und die eine gef\u00e4lschte Kaufbest\u00e4tigung enth\u00e4lt, ignorieren Sie die E-Mail einfach und kontaktieren Sie nicht die angegebene Telefonnummer, da sie dem Betr\u00fcger geh\u00f6rt.
\nLoggen Sie sich stattdessen sicherheitshalber in Ihr PayPal-Konto ein und best\u00e4tigen Sie, dass keine weiteren Adressen hinzugef\u00fcgt wurden, und wenn nicht, werfen Sie die E-Mail in den Papierkorb.<\/p>\n

Wie der Paypal Scam funktioniert<\/h2>\n

Als BleepingComputer diese E-Mail zum ersten Mal erhielt, waren wir verwirrt, da die E-Mail von \u201eservice@paypal.com\u201c an eine E-Mail-Adresse gesendet wurde, mit der kein PayPal-Konto verbunden ist.
\nDar\u00fcber hinaus zeigen die E-Mail-Header, dass die E-Mails legitim sind, DKIM-E-Mail-Sicherheitspr\u00fcfungen bestehen und direkt vom E-Mail-Server von PayPal stammen, wie unten gezeigt.<\/p>\n

\r\nReceived: from mx1.phx.paypal.com (mx1.phx.paypal.com. [66.211.170.87])\r\n        by mx.google.com with ESMTPS id 41be03b00d2f7-addf237d3e1si10521113a12.387.2025.02.18.07.30.09\r\n        for \r\n<\/code><\/pre>\n
Es war zun\u00e4chst unklar, wie diese legitimen E-Mails von PayPal gesendet wurden, bis wir diesen Text am Ende der E-Mail bemerkten.
\n\u201eWenn Sie Ihre Kreditkarte mit dieser Adresse verkn\u00fcpfen oder sie zu Ihrer Hauptadresse machen m\u00f6chten, melden Sie sich in Ihrem PayPal-Konto an und gehen Sie zu Ihrem Profil\u201c, hei\u00dft es in der E-Mail-Benachrichtigung von PayPal.
\n\u201eDa es sich bei dieser Adresse um eine Geschenkadresse handelt, k\u00f6nnen Sie mit nur einem Klick Pakete an diese Adresse senden. Weitere Nachforschungen ergaben, dass \u201eGeschenkadressen\u201c lediglich zus\u00e4tzliche Adressen sind, die Sie Ihrem PayPal-Profil hinzuf\u00fcgen k\u00f6nnen. In einem Test f\u00fcgte BleepingComputer eine neue Adresse zu einem unserer Konten hinzu und f\u00fcgte die gef\u00e4lschte MacBook-Kaufbest\u00e4tigung des Betr\u00fcgers in das Feld Adresse 2 ein.
\nNachdem wir die Adresse gespeichert hatten, schickte uns PayPal dieselbe Best\u00e4tigungs-E-Mail, in der wir \u00fcber die neu hinzugef\u00fcgte Adresse informiert wurden und die auch die gef\u00e4lschte Kaufnachricht enthielt.
\nJetzt, da wir wissen, wie sie die E-Mail von PayPal generieren, wissen wir immer noch nicht, wie sie PayPal dazu bringen, sie an alle Zielpersonen zu senden. Eine weitere Analyse der E-Mail-Header zeigt, dass die E-Mail tats\u00e4chlich an die Adresse \u201enoreply_@usaea.institute\u201c gesendet wird, die mit der PayPal-Adresse des Betr\u00fcgers verbunden ist.
\nDie Kopfzeilen zeigen au\u00dferdem, dass diese E-Mail-Adresse die empfangenen E-Mails automatisch an \u201ebill_complete1@zodu.onmicrosoft.com\u201c weiterleitet, ein Konto, das mit einem Microsoft 365-Mieter verbunden ist.
\nBei diesem Konto handelt es sich wahrscheinlich um eine Mailingliste, die automatisch alle E-Mails, die sie erh\u00e4lt, an alle anderen Gruppenmitglieder weiterleitet. In diesem Fall sind die Mitglieder Sie und ich, die Zielpersonen des Betr\u00fcgers.
\nWenn sie die Betrugsadresse zu PayPal hinzuf\u00fcgen, sendet die Zahlungsplattform eine Best\u00e4tigung per E-Mail an die E-Mail-Adresse des Bedrohungsakteurs, die diese dann an das Microsoft 365-Konto weiterleitet, das sie dann an alle Mitglieder der Mailingliste weiterleitet, wie im folgenden Flussdiagramm dargestellt.
\n\"\"
\nPayPal erm\u00f6glicht diesen Betrug, indem es die Anzahl der Zeichen in den Adressfeldern nicht begrenzt, so dass die Bedrohungsakteure ihre betr\u00fcgerische Nachricht einf\u00fcgen k\u00f6nnen.
\nUm dieses Problem zu beheben, muss PayPal die Anzahl der Zeichen im Adressfeld auf eine vern\u00fcnftige Anzahl von Zeichen beschr\u00e4nken, z. B. 50 Zeichen, wenn nicht weniger. BleepingComputer hat PayPal wegen dieses Betrugs kontaktiert und wartet auf eine Antwort auf diese E-Mail.<\/p>\n","protected":false},"excerpt":{"rendered":"
Dies ist eine \u00dcbersetzung eines Artikels von Bleeping Computer Ein aktueller PayPal-E-Mail-Betrug nutzt die Adresseinstellungen der Plattform aus, um gef\u00e4lschte Kaufbenachrichtigungen zu versenden und die Nutzer dazu zu bringen, Betr\u00fcgern Fernzugriff zu gew\u00e4hren In den letzten Monaten haben BleepingComputer und andere [1, 2] E-Mails von PayPal erhalten, in denen es hei\u00dft: \u201eSie haben eine neue Adresse hinzugef\u00fcgt. Dies ist nur eine kurze Best\u00e4tigung, dass Sie eine Adresse in Ihrem PayPal-Konto hinzugef\u00fcgt haben\u201c. Die E-Mail enth\u00e4lt die neue Adresse, die angeblich zu Ihrem PayPal-Konto hinzugef\u00fcgt wurde, sowie eine Nachricht, die behauptet, eine Kaufbest\u00e4tigung f\u00fcr ein MacBook M4 zu sein, und Sie auffordert, die beigef\u00fcgte PayPal-Nummer anzurufen, falls Sie den Kauf nicht autorisiert haben. \u201eBest\u00e4tigung: Ihre Lieferadresse f\u00fcr das MacBook M4 Max 1 TB ($1098,95) wurde ge\u00e4ndert. Wenn Sie diese Aktualisierung nicht autorisiert haben, wenden Sie sich bitte an PayPal unter +1-888-668-2508\u201c, hei\u00dft es in der betr\u00fcgerischen E-Mail. Die E-Mails werden direkt von PayPal von der Adresse \u201eservice@paypal.com\u201c verschickt, was die Bef\u00fcrchtung weckt, dass ihr Konto gehackt wurde. Diejenigen, die diese E-Mail erhalten haben, best\u00e4tigten jedoch, dass ihren Konten tats\u00e4chlich keine neuen Adressen hinzugef\u00fcgt wurden. In unserem Fall wurde die betr\u00fcgerische E-Mail an eine E-Mail-Adresse gesendet, die kein PayPal-Konto hat. Da es […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pgc_sgb_lightbox_settings":"","footnotes":""},"categories":[18,27,22],"tags":[],"class_list":["post-387","post","type-post","status-publish","format-standard","hentry","category-cybersecurity","category-paypal","category-phishing"],"_links":{"self":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/posts\/387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=387"}],"version-history":[{"count":0,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/posts\/387\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}