Thema: PayPal ...

[Jürgen]

Es lässt sich nichts auf der Seite anklicksen, nicht mal die AGB's  

Du bist ja mutig...
Solche Links führen nicht selten direkt zu aktuellen Schädlingen.
Und dann häufig unter Ausnutzung von Zero-Day-Exploits, gegen die kaum ein Kraut gewachsen ist.
Der Vermischung von Phishing und Infektion gehört wohl die Zukunft...

Ich rate grundsätzlich davon ab, solchen Links von Spammern zu folgen, auch nicht im trügerischen Selbstbewusstsein als alter Hase.
Selbst mit einem gut abgesicherten Linux bringt das nix, weil sich die Seite dem gegenüber durchaus als ungefährlich darstellen könnte, während der nächste Windows-Nutzer dort die volle Packung bekäme.

Aus diesem Grunde möchte ich hier auch keine derartigen Seiten als anklickbare Links haben.

Jürgen

[SiLæncer]

Wie der 17-Jährige deutsche Schüler Robert Kugler auf der Mailingliste Full Disclosure beschreibt, ist der Bezahldienst PayPal mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Kugler wollte dem Unternehmen den Fehler im Zusammenhang mit dessen offiziellem Bug-Bounty-Programm melden – es belohnt jedoch nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Verärgerung darüber publizierte er den Bug nun.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Zahlungsabwickler PayPal hat am Mittwochabend die seit fünf Tagen öffentlich bekannte Sicherheitslücke in seinem Portal geschlossen. Insgesamt wusste das Unternehmen rund zwei Wochen davon. Die Lücke hatte es durchaus in sich: Sie erlaubte das Einschleusen beliebigen JavaScript-Codes in die PayPal-Site. Angreifer hätten so etwa Zugangsdaten abgreifen können.

Unverständlich ist, warum sich das Unternehmen so viel Zeit gelassen hat. Schließlich kursieren sämtliche zur Ausnutzung der Lücke nötigen Informationen bereits seit vergangener Woche im Netz; es bestand akuter Handlungsbedarf. In ähnlichen Fällen reagieren die betroffenen Unternehmen meist innerhalb von 24 Stunden.

Irritierend ist auch, dass eine PayPal-Sprecherin noch am gestrigen Dienstag gegenüber heise Security erklärte, dass "zu diesem Zeitpunkt keine Hinweise darauf deuten" würden, dass die Daten der PayPal-Kunden gefährdet sind. Ungeachtet dessen, dass wir bereits einige Tage zuvor das Gegenteil bewiesen haben, indem wir unser eigenes Login-Formular in die HTTPS-geschützte PayPal-Seite einbetteten. Mit etwas krimineller Energie hätte man eine Phishing-Seite aufsetzen können, die auf den ersten Blick nicht vom Original zu unterscheiden ist.

Entdeckt hat die Schwachstelle ein 17-jähriger Schüler, der sie ursprünglich über das vor einem Jahr gestartete Belohungsprogramm (Bug Bounty Program) an das Unternehmen melden wollte. Da ihm PayPal die Teilnahme jedoch verweigerte, da er das achtzehnte Lebensjahr noch nicht erreicht hat, veröffentlichte er die Details zu seinem Fund auf der öffentlich zugänglichen Security-Mailingliste Full Disclosure – zuvor räumte er PayPal allerdings noch eine Schonfrist von einer Woche ein, die das Unternehmen verstreichen ließ.

Quelle : www.heise.de

[Jürgen]

Entdeckt hat die Schwachstelle ein 17-jähriger Schüler....
-/-
 Da ihm PayPal die Teilnahme jedoch verweigerte, da er das achtzehnte Lebensjahr noch nicht erreicht hat, ...

Was denn nun?
Wer das achtzehte Lebensjahr noch nicht erreicht hat, der ist nicht siebzehn Jahre alt, sondern jedenfalls jünger.
Es hätte also heißen müssen: "da er das achtzehnte Lebensjahr noch nicht vollendet hat,"

Auch und gerade bei Heise, einem Verlag, der sich ausgesprochen intensiv mit der oft fehlenden Präzision im digitalen Zeitalter auseinander setzt, wäre wohl doch noch ein gut funktionierendes Lektorat vonnöten, das insbesondere inhaltlich entstellende Fehler aufzudecken imstande sein sollte. 
Und damit keine Mißverständnisse aufkommen, mich zieht nichts an die Leine...

Jürgen

[SiLæncer]

Wer derzeit eine Mail von PayPal erhält, muss genau hinschauen: Cyber-Kriminelle versenden professionell gestaltete Phishing-Mails, die man auf den ersten Blick nicht erkennt. Die Betrüger verwenden persönliche Anreden und registrierten sogar eigens eine .de-Domain, um ihrer Abzockaktion einen seriösen Anstrich zu verleihen.

heise Security liegen zwei Varianten von Phishing-Mails vor, deren Absender sich offenbar mehr Mühe als üblich gegeben haben, um deutsche PayPal-Kunden in die Falle zu locken. Eine davon hat den Betreff "[Vorname] [Nachname], PayPal benötigt Ihre Mithilfe!" und stammt vermeintlich von pp_k9_4n@paypal.com. Die persönliche Anrede findet sich nicht nur in der Mail wieder, sonder auch auf der Phishing-Seite, die der Mailempfänger besuchen soll, um sein angeblich missbrauchtes Konto zu verifizieren.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Online-Banking-Daten sollten und dürfen eigentlich überhaupt nur eingegeben werden, wenn man sich selbst direkt auf die entsprechende Seite begeben hat, und niemals über einen Link aus einer Mail.

Sollte tatsächlich solch eine Nachricht von der Bank stammen, dann wird man die genau auf der normalen Banking-Seite nochmals finden.

Nur eine einzige Ausnahme davon wäre denkbar, nämlich für den Fall eines hoffnungslos vergessenen Passworts.
Aber dann ist ohnehin eine direkte Kontaktaufnahme angebracht, über einen genau auf der originalen Seite UND in den eigenen Unterlagen zu findenden vorgesehenen Weg.
Man wäre ja nicht der Erste auf der Welt, dem sowas passieren könnte.

Jürgen