Google Mail ist mein bevorzugter E-Mail-Client – sowohl mobil als auch am klassischen Rechner. Und Google Mail hat einen Spam-Schutz, der zwar nicht hundertprozentig arbeitet, aber viele Spam- und Phishing-Attacken erfolgreich erkennt.

So wie eine E-Mail, die kürzlich mit dem Betreff  Marc Höttemann, Schutz Ihrer Identität erforderlich in meinem Spam-Ordner gelandet ist.

Der Text liest sich auf den ersten Blick vertrauenserweckend und erweckt  keinen Anschein von fieser Phishing-Attacke:

Hallo Marc Höttemann, am Freitag, den 12. Juli wurde in unserem System ein Konto mit folgenden Daten eröffnet: Marc Höttemann Antoniusstr. 19 41352 Korschenbroich Unser Team geht davon aus, dass diese Daten widerrechtlich erlangt wurden. Was ist vorgefallen? Durch eine verdächtige Zahlung wurde unser Sicherheitsteam auf das erstellte Konto aufmerksam. Was passiert als nächstes? 1. Besuchen Sie unsere Verifizierungs-Webseite 2. Loggen Sie sich mit Ihren Konto-Daten ein 3. Füllen Sie sorgfältig das Verifizierungsformular aus Bei einer Übereinstimmung der von Ihnen angegebenen Daten mit unserem System, wird das erstellte Konto umgehend gesperrt.

Ihr PayPal-Sicherheitsteam

	Sie möchten mit uns Kontakt aufnehmen? Unsere Kundenhotline erreichen Sie unter 0180 500 66 27 (Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Die URL in der E-Mail führt auf die Seite http://paypal-identification.com/welcome/lang/customers/ und wurde von meinem Firefox-Browser umgehend als Phishing-Seite enttarnt.

Dennoch ist es spannend, woher der Verfasser und Spammer meine persönliche Adresse hat bzw. aus welcher Adressdatenbank meine persönlichen Daten stiebitzt worden sind.

Auch ansonsten macht es die Wortwahl und der Satzbau schwierig, diese E-Mail als Phishing-Attacke zu enttarnen.

Auch Heise hat über den Betrugsversuch berichtet: Besonders tückisches PayPal-Phishing. PayPal selbst nimmt zwar keine konkrete Stellung zu den Attacken, gibt aber allgemeine Hinweise zum Phishing: So erkennen Sie Phishing.

Tipps gegen Phishing

Zum Abschluss noch die wichtigsten Tipps, um sich gegen Phishing (ein Kunstwort, das sich aus Password und fishing, also “Passwort angeln” zusammensetzt) zu schützen:

• Vertrauen Sie nie blind den Inhalten einer E-Mail, deren Absender Ihnen unbekannt ist.
• Klicken Sie niemals auf Links in E-Mails, die zu sicherheitskritischen Webseiten wie Banken oder Kreditkartenunternehmen führen.
• Benutzen Sie grundsätzlich keine Links auf Webseiten, die zu sicherheitskritischen Diensten führen. Besser: erfassen Sie die URL in Ihrem Browser manuell.
• Sensible Account- und Kundendaten werden niemals per Formular von Banken oder Kreditkartenunternehmen abgefragt.
• Nutzen Sie in Ihrem E-Mail-Client nicht die HTML-Ansicht, sondern die Ansichtsart »Reiner Text«
• Erlauben Sie bereits in Ihrem E-Mail-Client kein Javascript, da über die Skriptsprache bereits Angriffe auf Ihre Konten durchgeführt werden können.