Seit Monaten werden die Postfächer mit Spam-E-Mails überflutet, die angeblich von PayPal stammen. Phishing-E-Mails sind meist schon an zwei Merkmalen zu erkennen. Fast immer fehlt die persönliche Anrede und die Nachrichten enthaltenen Links auf dubiose Seiten, die persönliche Daten ausspionieren oder Schadsoftware verbreiten wollen. Um den Erfolg der Spam-Kampagnen zu erhöhen, Nutzen die Versender allerdings inzwischen oft auch die direkte Ansprache der Opfer. Namen und E-Mail-Adressen stammen wahrscheinlich aus Datenbanken, die nach Hackerangriffen kopiert werden konnten. Für die Links in den Nachrichten wurden auch bisher schon Abwandlungen der erwarteten Internet-Adressen verwendet, etwa www.paypalsecurity.xy.to oder ähnlich. Wer hier nicht ganz genau hinsieht, landet nicht bei PayPal, sondern bei einer Subdomain von xy.to.
heise.de berichtet jetzt von einer neuen Spam-Kampagne, bei der der Absender als "PayPal Konflikt" mit der Adresse paypal-deutschland.de/sicherheit/ angezeigt wird. Allerdings wird der Empfänger darin bereits in der Betreffzeile mit seinem richtigen Namen angesprochen. Weiter heißt es "Ihr Konto wurde eingeschränkt!". In der Nachricht wird der Empfänger darauf hingewiesen, dass sein PayPal-Konto wegen ungewöhnlicher Kreditkartenzahlungen gesperrt worden sei. Schließlich wird er aufgefordert, seine Daten wegen der vermeintlichen Kontofreigabe auf einer angeblichen PayPal-Seite zu verifizieren. Ziel der Betrüger ist es, an die PayPal-Zugangsdaten und Passwörter der Nutzer zu gelangen, um deren Konten zu plündern. Wer mit der Maus über den in der E-Mail enthaltenen Link fährt, sieht in der Statusleiste den eigentlichen Pfad. Einige Empfänger stellten erstaunt fest, dass das Linkziel auf jobboerse.arbeitsagentur.de verwies.
Inzwischen ist der Fehler bei der Bundesagentur für Arbeit behoben. Allerdings gibt es bei vielen Websites
offene Weiterleitungen, über die Nutzer auf andere Sites umgeleitet werden können. Bekannt ist der Fehler beispielsweise beim Content Management System TYPO3, der auch typo3.org betraf. Auch hier wurde das Problem inzwischen beseitigt. Entwickler und Administratoren sollten ihr System umgehend auf ähnliche Konfigurationsfehler hin überprüfen.