Gefährliche Fälschung gibt sich als “Saturn” aus! “Sie haben eine Zahlung über €849,76 EUR an [email protected] gesendet”

Die folgende gefälschte Rechnung gibt vor, von Saturn zu stammen. Man habe angeblich ein iPad Air 2 gekauft und gezahlt.

Als Lieferadresse ist natürlich eine fremde Person eingetragen. Es handelt sich jedoch bei diesen Rechnungen um eine dieser unheimlich gut aufgebauten Betrügermails, wie sie schon seit Wochen zu beobachten sind. Diese Mail greift ebenso das gefährliche Muster als Rechnungsmail auf, welches bereits viele andere Mails auch nutzten. Die Mail täuscht vor, eine Rechnung zu sein und informiert über eine stattgefundene Transaktion. Dabei bedient sie sich realer Elemente, wie z.B. echt existierenden Verkäufern, Artikeln und auch Summen. Man kann davon ausgehen, dass dieses Muster auch erfolgreich greift, da uns bereits mehrere Nutzer mitgeteilt haben, dass von ihren PayPalkonten zwischendurch kleine Summen versendet wurden, die sie nicht veranlasst haben.

Der Inhalt dieser Mail im Klartext:

Guten Tag, Riana […]!

Sie haben eine Zahlung über €849,76 EUR an [email protected] gesendet.
Wir haben den Verkäufer benachrichtigt, dass der Artikel verschickt werden kann.
Alle Details zu dieser Zahlung finden Sie in Ihrer PayPal-Kontoübersicht.

---

Haben Sie diese Zahlung nicht durchgeführt?
Wenn Sie diese Zahlung nicht persönlich ausgeführt haben, können Sie die Zahlung bis zu 30 Minuten nach Öffnen dieser E-Mail stornieren.

---

Verkäufer
[email protected]
Mitteilung für Verkäufer
Sie haben keine Mitteilung eingegeben.

Lieferadresse
Christoph Markmann
Liesborner Str. 12
59556 Lippstadt
Deutschland
Versanddetails
Der Verkäufer hat noch keine Versanddetails angegeben.

Probleme mit Ihrer Zahlung?
Wenn diese Zahlung nicht von Ihnen ausgeführt worden ist, klicken Sie bitte auf den unten angezeigten Link, um die Bestellung zu stornieren.
Stornierung durchführen

---

---

Die Mail ist einer echten Rechnungsmail sauber nachempfunden und deckt sich mit den dort auftauchenden Elementen. Hier wird der Charakter einer “fehlerhaften Transaktion” unterstrichen, um somit den (erfundenen) Fehler plausibler zu machen. Der angeblich erstandene Artikel wird in dieser Mail als iPad Air 2 Wi-Fi + Cellular 128 GB – Gold Artikelnr. 3704408168 angegeben. Der Betrag von 849,76 € scheint in allen Mails identisch zu sein.

An dieser Stelle aufgrund dieser vielen Elemente die Wiederholung: diese Mail ist eine Fälschung! Und zwar müssen wir deutlich sagen, dass diese Art von Fälschungen, welche seit ca. 2 Monaten mit vielen verschiedenen Firmennamen versendet wird, die bisher gefährlichste PayPal-Phishing Methode ist, die wir je beobachten konnten.

Daher  nicht auf den eingefügten Link klicken, sondern im Zweifel per Hand PayPal aufrufen!

Phishing

Wer nun dem Link in der Mail folgt, wird auf eine Seite mit der konstruierten Adresse “paypal.authorize-de.in” geleitet.

Während unserer Analyse haben wir an dieser Stelle die betrügerischen Formularfelder erwartet, jedoch zeigte sich, dass zum Zeitpunkt 17.02.2016 um 08:29 Uhr die entsprechende Seite nicht erreichbar ist.

Das ist jedoch kein Grund zu Entwarnung! Dies haben wir bereits öfter beobachten können und es zeigte sich, dass die gefälschten Seiten zu einem späteren Zeitpunkt wieder verfügbar waren.

Aus unseren Erfahrungswerten zu dieser Art von Mails und deren Abläufe gehen wir davon aus, das sich hier Abläufe analog abspielen würden – sofern vorhanden. Am Beispiel der Mail betreffend “Peek & Cloppenburg” kann man diesen Ablauf sehen.

Allgemeine Phishingwarnung:

• Phishing E-Mails versuchen grundsätzlich so auszusehen, als stammen sie von dem entsprechenden Unternehmen. Mit diesen versuchen Betrüger, an persönliche Daten zu kommen, vorzugsweise Bank- Kreditkarten oder sonstige Zahldaten.
• Die eigentliche “Kunst” dieser Mails ist die Geschichte, mit welcher der Empfänger dazu verleitet werden soll, der E-Mail zu trauen und den eingefügten Link zu öffnen. Hier spielen Ausdruck, Grammatik und Rechtschreibung, sowie Plausibilität und auch Individualität eine sehr große Rolle. Speziell in der jüngeren Vergangenheit gab es zunehmend Mails, welche mit Individualität glänzten: die konnten den Empfänger mit korrektem Namen ansprechen und gaben auch tatsächliche Adress- und Personaldaten an.
• Man kann jedoch generell beachten: Banken, Zahl- und Kaufportale fordern niemals mit Hilfe eines eingebauten Links zum Einloggen in das Konto auf! Zudem ist eine generische Anrede zwar immer ein Indiz für Phishing, eine vorhandene korrekte Anrede jedoch nicht der Beweis für die Echtheit einer Mail.
• Niemals über einen Link einloggen, der per Mail gesendet wird, sondern immer die betreffende Seite per Hand in die Adresszeile des Browsers eintippen und dort einloggen. Sollten tatsächlich Ankündigungen des entsprechenden Dienstes vorhanden sein, werden diese dort angezeigt.Zusätzlich ist es nach Möglichkeit ebenso zu unterlassen, über öffentliche/fremde WLAN-Netze Bankgeschäfte zu tätigen, da man nie genau weiß, ob (und im Ernstfall von wem) diese Netze protokolliert werden.
• Niemals reale Daten in die Formularfelder eintragen! Unter Umständen können die Daten sogar bereits während des Tippens an die Betrügerdatenbank weitergeleitet werden, ohne dass man mit “weiter” bestätigt.