Es gibt so Sachen, die verstehe ich einfach nicht. So zum Beispiel das Geschäftsgebaren des Zahlungsdienstleisters PayPal. Die können's einfach nicht!
Anzeige
PayPal kann sich ja nicht wirklich beklagen, dass die Phisher sie links liegen lassen – vielmehr trudeln häufig PaPal Phishing-Mails in den Postfächern der Anwender ein. Erst vor ein paar Tagen hatte ich den Beitrag Vorsicht: Neue PayPal-Phishing-Welle im anrollen … im Blog, der einige Wellen schlug.
Als normal denkender Mensch würde ich jetzt mutmaßen, dass PayPal alles daran setzt, seine Nutzer nicht durch ähnliche Mails zu verunsichern. Beim Schreiben des obigen Beitrags hatte ich zwar "da war doch was" im Hinterkopf – aber ich hab's nicht mehr zusammen gekriegt. Und nun wird mir diese PayPal-Nachricht ins Postfach gespült:
Die URL der Schaltfläche Zur PayPal Seite zeigt, dass es sich um eine gültige PayPal-Adresse handelt, an der sich der Nutzer anmelden kann. Nur mal zum Vergleich – hier die Phishing-Mail der vergangenen Tage.
Anzeige
Da kann man als gewiefter Nutzer erkennen, dass eine Umleitung auf eine Seite erfolgt, die mit PayPal nichts am Hut hat. Aber ich sag's mal so: Dümmer geht's (n)immer. Wenn PayPal bekannt ist, dass die Nutzer durch Phishing-Mails attackiert werden – ist das Herumsenden einer Mail mit dem Angebot, die Kontenbewegungen per Klick auf einen Link einzusehen, ein Mega-Fail. Oder wie seht ihr das?
Ähnliche Artikel:
Vorsicht: Neue PayPal-Phishing-Welle im anrollen …
Schwachstelle "Authentifizierung" bei PayPal und Co.
Sicherheitswarnung: PayPal-Trojaner im Umlauf
Die PayPal-Mafia …
Anzeige
Was war zuerst? Das Huhn oder das Ei? Ich bekomm diese Kontoübersichtsmail schon lange und denke die Phisher passen ihre Mails eben daraufhin an. Soll PayPal jetzt laufend das "Design" etc. der Mails umstellen? Ich denke das würde die Nutzer nur noch mehr verwirren, oder? Zumal es nicht lange dauern würde und die Phisher würde sich auch dem wieder annehmen.
Nun, es gäbe einfache Lösungen:
a) Man unterlässt die Mails – ein Nutzer, der seine PayPal-Kontenübersicht einsehen will, schaut sicher selbst vorbei.
b) Man informiert per E-Mail als Erinnerung, lässt aber die Links weg und schreibt das auch so.
c) Man wählt den Ansatz, den diverse Anbieter von Online-Leistungen nutzen und schickt dem Nutzer (nach einem Opt-in) die Übersicht als PDF.
Die jetzt genutzte Lösung ist die bei weitem schlechteste – oder ich bin nicht mehr von dieser Welt.
Sehe ich genauso. Ich denke, diese Mail ist ein Überbleibsel aus alten Zeiten, als man tatsächlich die Kontoübersicht per Mail geschickt hat. Das hat man irgendwann in die jetzige Form gebracht, der Sinn ist mir völlig schleierhaft. Ich bekomme sowieso über jede Zahlung, die tatsächlich getätigt wird, eine separate Mail und das ist gut so.
Das sehe ich nicht ganz so:
a) Viele Nutzer schätzen den Weg der Push-Benachrichtigung, um sich die Infos nicht selbst ziehen zu müssen. Wenn mich nicht alles täuscht kann man die Benachrichtigung, wenn man sie nicht will, aber auch deaktivieren?
b) Wäre ein Weg, ist aber nicht sehr usabilityfreundlich – viele Kunden würden sich sicherlich beschweren, dass sie nicht mehr wie gewohnt per Klick zu Ihrem Login kommen.
c) Das könnte zum einen datenschutzrechtlich ein Problem werden, viel schlimmer aber, würden die Phisher dann auf einmal auch vermehrt PDFs oder andere schadhafte Anhänge mit ihren Mails mitschicken und die PayPal-Kunden würden diese noch eher öffnen (da sie ja dann von PayPal wissen, dass sie offiziell auch Anhänge verschicken).
Ich glaube die einzige wirksame Maßnahme gegen diese Phishing-Mails ist, jede PayPal-Mail mit Vorsicht zu behandeln und nicht ungeprüft auf irgendwelche Links zu klicken. Mit ein bisschen Aufmerksamkeit erkennt man die Fälschungen auch immer noch recht schnell. Meistens enthalten sie dann doch auffällige Rechtschreib- oder Satzbaufehler oder man sieht es eben zu guter Letzt mit wenig Aufwand an der URL, die hinter dem Button verlinkt ist (bevor man darauf klickt).
Nützliche Gedanken – jedes Argument hat Gegenargumente.
Ich nutzte Paypal nicht und habe Paypal auch noch nie genutzt und die Tatsachen die hier geschildert werden untermauern meine Argumente Paypal auch in Zukunft nicht zu nutzen. Paypal ist Deutschlands unsicherste Bank und bietet RC4 als primäre Verschlüsselung an.
Dito.
Aber der Laden ist ja nicht mal eine richtige Bank. Hat auch keine deutsche Zulassung, sondern eine in Luxemburg, da es dort einfacher ist.
Und wer dann mal die AGB liest und dann trotzdem dort Geldgeschäfte tätigt, dem ist dann wirklich nicht mehr zu helfen und mein Mitleid hält sich sehr in Grenzen.
Allein schon der Passus, dass PP auf allen elektronischen Wegen mit dem Kunden in Verbindung treten kann, aber der Kunde nur schriftlich direkt nach Luxemburg. Nicht mal eine deutsche Anschrift!!
Oder der bedinunglose Zugriff auf das eigene Konto bei der eigenene Bank von PP, oder die Guthabenregelung. Und so weiter und so fort…
Früher hat man immer vor Neppern und Schleppern gewarnt – heute werden sie hofiert!
Ich habe diese Mail auch regelmäßig, man sollte einfach den Link weglassen und nur die Webadresse schreiben!
Ich gehe nie über diesen Link auf die Seite (nur direkte Eingabe), dann hofft man das nichts passiert, so wie bei anderen Banken.
Und Du hast Recht hab ich grade gesehen!
Es soll für den Benutzer bequem sein. Nur der Benutzer weiß auch nicht das in diesen Fällen "bequem" auch immer sehr gefährlich ist. Ich lösche diese Mails auch und gehe direkt zu PP wenn ich die Übersicht brauche. Fehlt nur noch das die Übersicht als Anhang gleich mitgeschickt wird, aber das haben sie noch nicht gebracht.
Diese Mail finde ich auch jedesmal zumindest "eigenartig".
Die Letzte habe ich dann einfach mal
"zur Überprüfung" hierhin geschickt:
spoof@paypal.com
ROFL
Da können sie sich mal über ihren eigenen Quark Gedanken machen.
Hab diese Mail auch einmal im Monat, lösche jedoch schon länger sämtliche PayPal-Mails automatisiert.
In diesem Punkt könnte Paypal sich ein bissl was von meiner Versicherung abgucken. Da hat man ein Postfach/Nachrichtenbereich auf dem Server der Versicherung, zugegriffen wird nur über den Browser. Es kommt dann nur eine Mail ohne Links das man eine Nachricht im Postfach hat. Dann schaut man halt nach, sein Login hat man ja.
Bis jetzt funktioniert das wunderbar, hab noch keinen ulkigen Mails von der "Versicherung" bekommen. Könnte PayPal ja auch machen und sagen bei uns gibts grundsätzlich keine Links in den Mails, man hätte damit ein sicheres Erkennungsmerkmal.
Ich sehe das ähnlich wie der Autor. Die jetzige Form der Benachrichtigungsmail ist die perfekte Vorlage zur Erstellung einer Phishing-Mail.
Grüße
Mein Reden! Schade, dass die es nicht einsehen…
Interessant ist doch auch die Tatsache, dass man die Phishing-Mails in ein Postfach bekommt, über das man häufig seine "Geschäfte" abwickelt.
Ich habe für Geschäftspost und Foren, Privatpost, und sensible Konten jeweils unterschiedliche E-Mail-Konten. In den beiden letzten Konten sind NIE Spam- und Fishing-Mails.
Ansonsten kann ich Blupp nur zustimmen, diese Erfahrung habe ich auch schon gemacht.
Sehe ich ganz genauso! Das habe ich denen die Tage auch gesagt, aber die nehmen sich leider nichts davon an. Reicht es denn nicht, dass man seinen Kontostand einfach übers Einloggen einsehen kann? Ich halte von diesen monatlichen Mails auch nichts, da sie einen bloß irritieren. Ganz davon abgesehen scheint einigen Mitarbeitern gar nicht klar zu sein, dass über Paypal Betrugsmails versandt werden. Und falls doch etwas passiert, ist in deren Augen der User selbst schuld. Echt nicht nachzuvollziehen…
Stimmt schon, immer wieder hört oder liest man das der User selbst schuld sei. Das stimmt soweit, weil man diesen Dienst ja nutzt. Darüber hinaus ist es immer und überall die selbe Aussage die da lautet: "… der Kunde hat selbst Schuld" Da haut Paypal in die selbe Kerbe wie die Kreditwirtschaft, die ja auch heute noch behauptet das Pin/TAN oder M-TAN-Verfahren wär sicher und so Haftungsfragen negiert. Unterm Strich sind da alle gleich und der Kunde ist immer der Dumme.
Traurig, aber wahr…
Ich finde nur schlimm, dass man bei ebay (die ja mit Paypal nix mehr zu tun haben) nur noch via OneClick bezahlen kann seit einigen Monaten. Früher war das sicher dank SMSTan. Das wurde aber vor ein paar Monaten bei der Trennung von ebay einfach deaktiviert. Wirklich aktivieren lässt es sich auch nicht mehr, dann muss man sich immer mehrfach einloggen (2x Passwort + SMSCode). Das ist wirklich sauumständlich.
Danke für das Berichten!
Zum Thema: Ich bekomme die Mails erst seit kurzem (ca. 6 Monate) und finde sie auch total nutzlos, da das was einen interessieren würde nicht drin steht und den Links vertraue ich eh nicht.