Woche 6: Betrugs-E-Mails von Paypal via Microsoft

Service navigation

Suche

Navigation

Woche 6: Betrugs-E-Mails von Paypal via Microsoft

11.02.2025 - Um ahnungslose Bürgerinnen und Bürger in die Falle zu locken und dazu zu bringen, auf eine angebliche Rufnummer von Paypal anzurufen, verwenden die Betrüger ein spannendes Vorgehen. Sie benötigen dazu einen Paypal-Account und ein kostenloses Angebot von Microsoft.

Mit etwas Erfahrung sind betrügerische Nachrichten oft relativ einfach zu erkennen. Die Absenderadresse muss gefälscht werden, was gewisse Auffälligkeiten in den E-Mail-Kopfzeilen mit sich bringt. Alternativ muss eine eigene Domain registriert werden, die ähnlich aussieht wie die Domain, in deren Namen man schreiben möchte. Auch das ist durchschaubar.

Betrug oder nicht?

Eine Eigenschaft von Paypal-Konten ermöglicht es aber, genau dieses Merkmal zu verschleiern. Um die Nachricht breit zu streuen, kommen Microsoft-Versandlisten für den Versand der Phishing-E-Mails zum Einsatz. Das potenzielle Opfer erhält in diesen Fällen eine E-Mail, welche tatsächlich von Paypal stammt. Auch der in der Nachricht enthaltene Link verweist auf den Paypal-Server. Trotzdem handelt es sich hier aber um eine betrügerische Nachricht. Wie ist das möglich?

Nachricht von Paypal mit betrügerischem Hintergrund
Nachricht von Paypal mit betrügerischem Hintergrund

Verteilerlisten

Microsoft ermöglicht die Registrierung von so genannten Subdomains. Diese sind für kurze Zeit gebührenfrei, was den Betrügern natürlich entgegenkommt. Dann wird auf dieser Subdomain eine Verteilerliste angelegt, und zwar mit allen Adressen, an welche die betrügerische Nachricht weitergeleitet werden soll.

Beispiel Listenadresse: 
«mylist@example.onmicrosoft.com»

Inhalt der Empfängerliste: 
«user1@example.com» und «user2@example.com»

Sendet jemand eine Nachricht an die Listenadresse «mylist@example.onmicrosoft.com», wird die Nachricht von Microsoft automatisch an die Adressen «user1@example.com» und «user2@example.com» weitergeleitet. Microsoft passt die Sicherheitsmerkmale dabei so an, dass die Nachricht beim Empfänger keine Filteraktionen auslöst - alles scheint somit in bester Ordnung.

Die Paypal-Transaktion

Als zweites erstellen die Betrüger mit einem eigens angelegten Paypal-Konto eine Geldanforderung oder eine Überweisung. Entscheidend ist, dass die Geldanforderung oder Überweisung mit einem frei wählbaren Text ergänzt werden kann. Die Betrüger geben an, man solle bei Unklarheiten die im Text enthaltene Telefonnummer anrufen. Diese Nummer verbindet potenzielle Opfer mit den Betrügern.

Paypal ermöglicht eine Überweisung oder Anforderung pro Transaktion natürlich nur an eine Person. Die Anforderung mit dem zusätzlichen Kurztext wird deshalb an die vorgängig erstellte Microsoft-Adresse geschickt. Dort wird diese Nachricht nun aber an alle in der Verteilerliste gespeicherten Einträge weitergeleitet.

Die Betrugsmasche

Alle in der Verteilerliste gespeicherten Adressen haben damit eine identische Nachricht von Paypal erhalten, mit der Information, dass eine Transaktion (Anforderung oder Überweisung) hängig sei, und es damit möglicherweise ein Problem gebe. Die Betrüger wollen damit erreichen, dass man über die angegebene Rufnummer den angeblichen Support anruft. Dieses Vorgehen ist unter dem englischen Ausdruck «Call-back Scam» (Rückrufbetrug) bekannt.

Typischerweise wird den Opfern am Telefon in der Folge erklärt, dass man entweder in einen Betrugsversuch verwickelt sei oder dass eine Transaktion nicht korrekt abgewickelt werden könne, und dass man deshalb helfen wolle. Die Absichten der Betrüger lassen sich in diesen Fällen in mehrere Möglichkeiten unterteilen:

  • Die Betrüger gaukeln zum Beispiel vor, die fehlerhafte Überweisung (die es gar nicht gibt) müsse zurückerstattet werden;
  • In anderen Fällen wollen Sie mithilfe eines Fernwartungswerkzeuges direkt auf das Gerät des Opfers zugreifen. Gewährt das Opfer den Zugriff, kann Schadsoftware installiert werden oder mit weiteren Tricks Zugriff auf das E-Banking erlangt werden;
  • Eine weitere Möglichkeit ist das «Voice Phishing»: die Betrüger überzeugen das Opfer, zum Beispiel Passwörter oder Kreditkartendaten preiszugeben.

Empfehlungen

  • Überprüfen Sie die Plausibilität einer solchen Geldanforderung oder Überweisung. Kennen Sie den Urheber oder erwarten Sie eine solche Transaktion?
  • Die Empfängeradresse ist hier ein guter Indikator: Sind Sie nicht der direkte Empfänger oder die direkte Empfängerin der Nachricht, ist höchste Vorsicht geboten. Eine plausible Geldanforderung oder Überweisung wäre direkt an Sie gerichtet, nicht an eine unbekannte Microsoft-Adresse;
  • Falls Sie Paypal-Kunde oder -Kundin sind und Zweifel haben, können Sie sich direkt bei Paypal einloggen (nicht über den enthaltenen Link). Allfällige offene Transaktionen werden Ihnen dann angezeigt;
  • Rufen Sie Paypal nur über die offizielle, auf der Homepage publizierte Rufnummer an;
  • Geben Sie keine persönlichen Daten, Passwörter oder Kreditkartendaten über das Telefon weiter;
  • Installieren Sie keine Software auf Anweisung von angeblichen Supportmitarbeitern.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 11.02.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_6.html