Achtung! Brandphishing am Beispiel PayPal

Zur Praxis von Hackern gehört mittlerweile auch der Missbrauch großer Markennamen. Um ihre Opfer in Phishing-Mails auf eine sichere Fährte zu locken, geben sie vor, Rechnungen oder Zahlungsaufforderungen von bekannten Konzernen zu stellen. Diese Methode wird als Brandphishing bezeichnet. Nun zeigt sich, dass der Zahlungsdienstleister PayPal nicht von dieser Taktik verschont blieb. Die Sicherheitsforscher von Avanan, die im letzten Jahr von Check Point übernommen wurden, haben beobachtet, dass Hacker den Treuhänder nutzen, um bösartige Rechnungen zu versenden und Zahlungen anzufordern.

Die Kriminellen senden die E-Mail sogar von der PayPal-Domäne aus und verwenden dafür ein kostenloses PayPal-Konto. Der E-Mail-Text täuscht dabei bekannte Markennamen, im untenstehenden Beispiel den von Norton AntiVirus, vor. Technisch funktioniert der Trick, da PayPal in den meisten E-Mail-Prüfsystemen als legitime Website aufgeführt ist und die E-Mail ungefiltert weitergeleitet wird.

Phishing als Vorstufe zu einem gefährlichen Identitätsmissbrauch

Diese Angriffsweise ist doppelt gefährlich, weil der Nutzer erstens die angegebene Telefonnummer anrufen soll, um ihn im zweiten Schritt zu verleiten, die Rechnung zu bezahlen. Die Täter haben dann Kontaktdaten ihrer Opfer herausgefunden, die für einen zukünftigen Identitätsmissbrauch verwendet werden können. Das kann jeden Endbenutzer treffen. Avanan hat PayPal nach dieser Entdeckung umgehend über den Angriff informiert.

Um sich vor diesen Angriffen zu schützen, raten die Sicherheitsforscher den Nutzern:

+ Bevor man einen unbekannten Dienst anruft, sollte man nach der Nummer im Internet suchen, denn diese wird dort vielleicht als betrügerisch geführt.

+ Prüfung aller Konten, um festzustellen, ob tatsächlich Gebühren angefallen sind.

+ Es lohnt sich, erweiterte Sicherheitsmaßnahmen zu implementieren, wie Multi-Faktor-Authentifizierung, um den Zugang zu Konten zu erschweren.

+ Bei Zweifeln an der Legitimität einer E-Mail sollte stets die IT-Abteilung informiert werden.

Fazit: Der beste Schutz gegen Phishing-Versuche ist ein aufmerksamer Nutzer mit einem kritischen Blick. Daneben zeigen diese Entwicklungen wie sinnvoll es ist, in den Megatrend der Cybersecurity zu investieren, über Cybersecurity-Aktien.

Achtung vor den Krypto-Betrügern!

Neben meinen fundierten Empfehlungen befasse ich mich auch fortlaufend sehr intensiv mit schwarzen Schafen und unseriösen Krypto-, Mining- oder Trading-Anbietern. Diese missbrauchen den Krypto-Boom, um ihre – meist in betrügerischer Absicht konzipierten – Shitcoins oder angeblichen Krypto-Investment- (SCAM) bzw. Schneeball-Systeme (PONZI) gezielt und bewusst an unbedarfte Anleger zu verkaufen. Ich warne Sie regelmäßig vor dubiosen Anbietern und aktuellen Betrugsmaschen. Weiterführende Infos

Beste Grüße

Markus Miller

Gründer und Chefanalyst KRYPTO-X.BIZ und GEOPOLITICAL.BIZ

NEWSLETTER: Der Anfang ist die Hälfte des Ganzen!

Abonnieren Sie jetzt – kostenlos – unseren freien Newsletter und erhalten Sie in regelmäßigen Abständen weiterführende Informationen rund um KRYPTO-X!

 

Schreibe einen Kommentar