Im Juli 2022 berichteten Sicherheitsforscher von Avanan, einem Unternehmen von Check Point, über eine neue Kampagne, bei der Hacker ihre Phishing-E-Mails und bösartige Rechnungen direkt über PayPal verschickten. Nun haben die Experten eine neue Angriffstaktik aufdecken können. Diese unterscheidet sich von bisherigen Betrugsversuchen, die lediglich vortäuschten, von PayPal zu stammen. 

Denn bei der neuen Methode handelt es sich um fingierte Rechnungen, die tatsächlich direkt von PayPal versendet werden. Dadurch sind sie nicht nur für herkömmliche E-Mail-Sicherheitsdienste kaum zu stoppen, sondern auch für Endbenutzer weitaus schwerer zu erkennen.

Im Folgenden erklären die Forscher rund um Jeremy Fuchs, Cybersecurity Researcher/Analyst bei Avanan, wie Hacker derzeit PayPal ausnutzen, um bösartige Rechnungen direkt an Nutzer zu senden.

Der Angriff
Die E-Mail kommt direkt von PayPal – zu sehen daran, dass die Absenderadresse oben links „service(at)paypal.com“ lautet. Aufmerksame Benutzer könnten anhand des Inhalts der E-Mail jedoch bemerken, dass etwas nicht stimmt. Zum einen ist die Grammatik und Rechtschreibung fehlerhaft. Zum anderen steht die angegebene Telefonnummer in keinem Zusammenhang mit PayPal.

Sie bietet jedoch eine weitere Möglichkeit für Hacker, an Daten und Geld ihrer Opfer zu gelangen. Ruft man die Nummer an, haben die Täter zudem die Handynummern ihrer Ziele und können sie für weitere Angriffe und Betrugsversuche verwenden.

Warum ist PayPal-Phishing so einfach und wie funktioniert es?
Für die zunehmende Ausbreitung von PayPal-Scams gibt es diverse Gründe. Zum einen kann jeder ein PayPal-Konto einrichten. Das ist kostenlos und dauert nur ein paar Sekunden. Es ist zudem sehr einfach, eine Rechnung zu erstellen, denn dafür braucht es lediglich zwei Klicks.

PayPal bietet außerdem die Möglichkeit, bis zu 20 Rechnungen gleichzeitig zu versenden. Das potenziert die Zahl der Angriffe. Es werden sogar Tools angeboten, mit denen man professionellere Rechnungen erstellen kann.

Diese Benutzerfreundlichkeit ist für Hacker sehr attraktiv. Darüber hinaus kommt die E-Mail direkt von PayPal. Daher ist die Mail selbst nicht bösartig – immerhin werden jeden Tag unzählige legitime Rechnungen über PayPal verschickt.

Eine E-Mail, die von „service(at)paypal.com“ kommt, wird alle SPF-, DKIM- und DMARC-Prüfungen bestehen, somit in den Postfächern landen, nicht blockiert werden oder im Spam-Ordner liegen.

Zudem wird sie wahrscheinlich auch viele andere Prüfungen unangetastet durchlaufen, denn es ist vermutlich nicht das erste Mal, dass das jeweilige Postfach des Nutzers eine Mail von PayPal empfängt. Daher die Annahme, dass die URL wohl sauber sein wird.

All das sind Indikatoren, auf die sowohl herkömmliche E-Mail-Sicherheitslösungen als auch Lösungen der nächsten Generation achten. Um jedoch herauszufinden, dass es sich um eine schadhafte E-Mail handelt, müssen fortschrittliche KI und Maschinelles Lernen eingesetzt werden, die mit Informationen aus einer großen Datenbank trainiert wurden, um herauszufinden, dass es sich tatsächlich um einen Angriff handelt.

Wenn der E-Mail-Dienst dies nicht herausfinden kann, muss der Benutzer selbst nach verdächtigen Anzeichen suchen. Teil der Taktik aber ist es zum Beispiel, dass die E-Mail-Adresse des Absenders in vielen Postfächern, wegen der Übersicht, nicht angezeigt wird – stattdessen erscheint ein Spitzname.

Es heißt dann lediglich „Eine kleine Erinnerung von der Rechnungsabteilung“ statt wie herkömmlich „Eine kleine Erinnerung von rechnungsabteilung(at)xy.com“. Weil dort nur noch „Rechnungsabteilung“ steht, kann der Benutzer also nicht nachschauen, ob es Unstimmigkeiten in der Absenderadresse gibt. Das macht es für den Hacker einfach, sich als Familienmitglied oder Chef auszugeben.

Kurz gesagt: Angriffe dieser Art sind sehr leicht durchzuführen und äußerst schwer zu stoppen.

Weitere Beiträge....