Phishing-Masche 3: Geschenk von Payback

Es muss nicht immer das eigene Bankkonto sein. Auch andere Dinge können für Kriminelle reizvoll sein, wie beispielsweise der Zugang zu einem Payback-Konto. Wer bei Payback & Co. fleißig Punkte sammelt, kann diese gegen Sachprämien oder sogar Bargeld einlösen - somit eine durchaus lukrative Beute für Betrüger.
So werden von Payback immer wieder Aktions-Mails verschickt, so dass die hier gezeigte Mail auf den ersten Blick absolut plausibel wirkt:
pdw3 payback1
Eine Verdopplung der Punktzahl kann im Einzelfall ein sehr gutes Argument sein, bei dieser Payback-Aktion mitzumachen. Die gesamte Mail sieht auch absolut authentisch aus: Der Mailabsender stimmt, die Grafiken werden wie von Payback gewohnt verwendet, der Anlass der Mail ist durchaus passend und die Texte passen zum üblicherweise von Payback verwendetem Stil (nur beim einleitenden Satz ist eine Panne passiert).
Sogar alle weiteren Coupons, die wie bei Payback üblich unten angehängt sind, sehen aus wie gewohnt und sind mit aktuellen Payback-Aktionen verlinkt.
Zu guter letzt findet sich bei der Payback-Kontoinformation sogar die eigene E-Mailadresse. Alles bestens, oder?


Wie erkennt man nun, dass die Mail bösartig ist?


Wem eine Verdopplung etwas zu großzügig und somit verdächtig vorkommt, wird bei einer Linküberprüfung wie im "Vorsicht Phishing 2" beschrieben nicht unbedingt verdächtige Links entdecken, wenn er z.B. die angehängten Coupons oder andere Links überprüft. Daher ist es unbedingt notwendig, genau den Link zu checken, der bei der Aktion hinterlegt ist:
Selbst hier muss man genaus hinschauen und jeden Buchstaben berücksichtigen. In diesem Fall führt der Link ncht zu "payback.de" sondern "paidback.pw".
Abgesehen vom Link gibt es noch ein weiteres Indiz dafür, dass die Mail gefälscht ist. Dies dürfte aber nur den wenigsten auffallen und ist ein Beispiel dafür, wie leicht man Nutzer täuschen kann: Die vermeintliche Sicherheit "richtiges Kontoangabe" dank der korrekten E-Mail-Adresse ist gar keine. Die Mailadresse ist natürlich schlicht die Adresse, an die diese Mail ging und stimmt somit nur zufällig mit der bei Payback angegebenen Mailadresse überein. Bei echten Payback-Mails taucht an dieser Stelle in Wirklichkeit die Kartennummer auf!

Wie gefährlich ist diese Phishing-Mail?

Wer den Fake-Link anklickt, landet auf einer Login-Seite, die dem Original 1:1 entspricht:
Auch bei diesem Beispiele eine anderen Phishing-Attacke ist wieder nur die Webadresse in der Adresszeile des Browsers die einzige Chance, den Schwindel zu entlarven: statt "payback.de" diesmal "paybaeck.site". Wer dagegen den Rest der Webseite kontrolliert, hat keine Möglichkeit den Betrug zu erkennen, denn die verwendeten Werkzeuge kopieren alle anderen Verlinkungen zu Original-Webseite von Payback:
Wenn man nun den Fehler macht und sich mit seinen Kontodaten einloggt, landet man wie gewohnt auf der Webseite von Payback im eigenen Kundenkonto. Dort stellt man dann fest, dass es die versprochene Aktion gar nicht gibt. Spätestens jetzt muss man stutzig werden und sollte SOFORT das Passwort ändern, denn dieses wurde soeben dem Betrüger beim gefälschten Einlog-Vorgang weitergeleitet. Wer sich damit zu lange Zeit lässt wird wenig später ein leergeräumtes Konto vorfinden. Im schlimmsten Fall ändert der Betrüger sogar die Kontodaten und kann dann je nach "geentertem" Dienst sogar weitere Betrügereien mit der erbeuteten Identität vornehmen.

Fragen, Anmerkungen oder eigenes Beispiel?

Haben Sie zum gezeigten Beispiel Fragen oder Anmerkungen? Was halten Sie von der Reihe "Vorsicht Phishing"? Haben Sie Verbesserungsvorschläge? Dann schreiben Sie doch eine Mail an dolny@hagen.ihk.de
Sollte auch bei Ihnen eine Phishing-Mail im Postfach landen, würden wir uns über einen Screenshot sehr freuen, um auch andere auf die Gefahr hinweisen zu können.

Zurück zur Übersicht