Der Webhoster EUserv Internet warnt die Nutzer des Onlinedienstes PayPal vor Spam-Emails, die zum Update eines PayPal-Accounts auf einer speziell präparierten Website auffordern. Unter der Website www.sslsecurity-pays-secure-cgi-bin.de werden Kreditkartendaten, Kundendaten sowie die Logindaten für den Account abgefragt. Hinter der Adresse verbirgt sich eine Website
eines vermeintlichen Kunden von EUserv, die eine fast 1:1 Kopie der
Login- und Anmeldeseite des PayPal-Dienstes darstellt. Beim Ausfüllen
der Formulardaten werden diese aber nicht an PayPal übermittelt
sondern an die Emailadresse sontax_976431@yahoo.com weitergeleitet.
Es werden die Nutzer des Bezahldienstes, die auf eine solche Mail reagiert und zwischen dem 22.08.2005 und 29.08.2005 Accountdaten,
Kreditkartendaten oder andere Kundendaten unter der falschen URL
aktualisiert haben, angehalten, Ihr Loginpasswort im richtigen
Loginbereich von PayPal dringend zu ändern. Weiterhin sollten
Kreditkarten ggf. gesperrt werden um unzulässigen Verfügungen
vorzubeugen.
Die Website wurde zwischenzeitlich abgeschaltet. Der Provider, der zwischenzeitlich PayPal und die Behörden informiert hat, konnte den Ursprung der Aktionen anhand der Logfiles und IP-Adressen über die USA und anderen Staaten weitgehend zurückverfolgen. EUserv hat den Inhalt der Phishing-Mail sowie weitere Informationen auf seiner Security-Website www.euserv.de zur Ansicht bereitgestellt.
Nach Informationen des Webhosters versuchten die Betrüger durch weitere Bestellungen mehrere Websites gleichzeitig zu betreiben. Die Domains ssl128-securepays-server.de, secure-ssl128-paysserver.de und ssl128-secure-pays.de wurden am Montag Morgen von den auftragsbearbeitenden Systemen des Providers abgefangen und nicht registriert. Das Security Team von EUserv geht davon aus, dass diese Domains in den nächsten Tagen über andere Provider online gehen.
