PayPal versendet unsichere E-Mails

Geändert am 09.02.2008
Kunden des eBay-eigenen Online-Bezahldienstes PayPal werden regelmäßig per E-Mail über Änderungen der Nutzungsbedingungen informiert. Anfang Februar erhielten PayPal-Mitglieder die folgende Mail:

Da die in der E-Mail enthaltenen Links unter Umständen Rückschlüsse auf deren Empfänger zulassen, wurden Teile davon anonymisiert.

Nutzer, die Sicherheitswarnungen im Umgang mit E-Mails beachten, müßten eine solche Nachricht eigentlich sofort löschen. Die (tatsächlich echte) E-Mail verstößt in eklatanter Weise gegen Grundsätze der Datensicherheit und weist typische Merkmale einer sogenannten Phishing-Mail auf.
Der Empfänger wird zum Einloggen in seinen PayPal-Account durch das Anklicken eines Links aufgefordert. Mit einer solchen Aufforderung versuchen auch Betrüger, unbedarfte Nutzer auf gefälschte Login-Seiten zu locken, um deren Nutzernamen und Passwort auszuspähen. Deshalb warnen alle sicherheitsbewußten Unternehmen ihre Kunden stets davor, sich über einen Link in einer E-Mail einzuloggen.
Auch PayPal selbst teilt diese Auffassung und informiert normalerweise in jeder E-Mail: »Sicherheitshinweis: Öffnen Sie zum Einloggen in Ihr PayPal-Konto immer ein neues Browserfenster [...], und geben Sie die PayPal-URL ein, um sicherzustellen, dass Sie sich wirklich auf der PayPal-Website befinden.«
Die Links, die in der Nachricht von PayPal enthalten sind, leiten den Nutzer zu anderslautenden Webadressen weiter. Auch dies ist charakteristisch für Phishing: Verknüpfungen in einer Phishing-Mail führen häufig zu einem anderen Ziel, als es das Aussehen des Links vermuten läßt.
Die von PayPal versendeten E-Mails tragen dazu bei, Nutzer an das Einloggen über ungewöhnlich erscheinende Verknüpfungen zu gewöhnen. PayPal wurde von einigen Kunden bereits öffentlich zu einer Stellungnahme aufgefordert. Eine Antwort blieb bisher aus.

ZUM SEITENANFANG