PayPal versendet unsichere E-Mails
Geändert am 09.02.2008
Kunden des eBay-eigenen Online-Bezahldienstes PayPal werden regelmäßig per E-Mail über Änderungen der Nutzungsbedingungen informiert. Anfang Februar erhielten PayPal-Mitglieder die folgende Mail:
Da die in der E-Mail enthaltenen Links unter Umständen Rückschlüsse auf deren Empfänger zulassen, wurden Teile davon anonymisiert.
Nutzer, die Sicherheitswarnungen im Umgang mit E-Mails beachten, müßten eine solche Nachricht eigentlich sofort löschen. Die (tatsächlich echte) E-Mail verstößt in eklatanter Weise gegen Grundsätze der Datensicherheit und weist typische Merkmale einer sogenannten Phishing-Mail auf.
Der Empfänger wird zum Einloggen in seinen PayPal-Account durch das Anklicken eines Links aufgefordert. Mit einer solchen Aufforderung versuchen auch Betrüger, unbedarfte Nutzer auf gefälschte Login-Seiten zu locken, um deren Nutzernamen und Passwort auszuspähen. Deshalb warnen alle sicherheitsbewußten Unternehmen ihre Kunden stets davor, sich über einen Link in einer E-Mail einzuloggen.
Auch PayPal selbst teilt diese Auffassung und informiert normalerweise in jeder E-Mail: »Sicherheitshinweis: Öffnen Sie zum Einloggen in Ihr PayPal-Konto immer ein neues Browserfenster [...], und geben Sie die PayPal-URL ein, um sicherzustellen, dass Sie sich wirklich auf der PayPal-Website befinden.«
Die Links, die in der Nachricht von PayPal enthalten sind, leiten den Nutzer zu anderslautenden Webadressen weiter. Auch dies ist charakteristisch für Phishing: Verknüpfungen in einer Phishing-Mail führen häufig zu einem anderen Ziel, als es das Aussehen des Links vermuten läßt.
Die von PayPal versendeten E-Mails tragen dazu bei, Nutzer an das Einloggen über ungewöhnlich erscheinende Verknüpfungen zu gewöhnen. PayPal wurde von einigen Kunden bereits öffentlich zu einer Stellungnahme aufgefordert. Eine Antwort blieb bisher aus.