Thema: PayPal ...

[SiLæncer]

Derzeit kursiert eine Massen-E-Mail nach folgendem Muster:

Guten Tag, Herr Mustermann



Wir haben festgestellt, dass Sie Ihr PayPal-Konto noch nicht verifiziert haben. Wussten Sie, dass Ihnen als verifiziertem PayPal-Mitglied mehr Schutz und Möglichkeiten bei der Nutzung von PayPal offen stehen?


...


Sie verifizieren sich ganz einfach: Sie müssen lediglich einmal Geld von Ihrem bei PayPal registrierten Bankkonto auf Ihr PayPal-Konto überweisen. Somit stellt PayPal sicher, dass Sie der rechtmäßige Inhaber dieses Kontos sind. Dafür reicht ein Betrag von z. B. 10 Cent schon aus.


Jetzt einloggen und verifizieren {Web-Adresse}


...

Jeder halbwegs Internet-Erfahrene und Phishing-Kundige wird beim flüchtigen Überlesen eine solche E-Mail in den Papierkorb befördern, denn mit derart aufgebauten Nachrichten arbeiten Datenphisher. Sie ahmen die E-Mails von Banken oder Gelddienstleistern wie Paypal nach, um unbedarfte Surfer mit darin eingebauten Links auf präparierte Websites zu locken und dort zum Beispiel Kreditkartennummern zu ergattern.

Paypal hat Phishern jetzt allerdings eine neue Designvorlage geliefert, denn die eingangs erwähnte E-Mail stammt von Paypal selbst. Offenbar hat das Unternehmen, dessen Kunden schon von diversen Phishing-Versuchen betroffen waren, nichts aus den vergangenen Attacken gelernt. Vielleicht wacht man bei Paypal auf, wenn sich viele Adressaten beschweren.

Zur Sicherheit sei an dieser Stelle wieder ausdrücklich darauf hingewiesen: Auch Paypal-Kunden sollten sich grundsätzlich nur direkt auf der Homepage einloggen, nachdem sie die URL per Hand im Browser eingegeben haben oder wenn sie einen zuvor abgespeicherten Favoriten oder Bookmark benutzen.

Quelle : www.heise.de

[SiLæncer]

Mit einem raffinierten Trick lockten Phisher am Wochenende Benutzer des Dienstes auf eine der Paypal-Seite nachempfundene Seite, wo sie Kreditkartennummern und andere persönliche Informationen eingeben sollten, berichtet Netcraft. Das Besondere an dieser Phishing-Aktion war, dass der Link in der E-Mail tatsächlich auf eine offizielle, https-gesicherte Paypal-Seite führte. Diese zeigte die Meldung

"Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to Resolution Center."

Daraufhin wurde das Opfer tatsächlich auf einen anderen Server weitergeleitet, wo er sich mit User-Name und Passwort anmelden sollte. Da dieses angebliche Resolution Center ein Server unter Kontrolle der Angreifer war, landeten diese Daten bei denen.

Offenbar war eine Paypal-Applikation anfällig für Cross-Site-Scripting (XSS). Denkbar ist beispielsweise, dass sie einen Ausgabetext aus einer Variable entnahm, deren Inhalt über die URL festgelegt werden konnte. Diese bauten die Phisher dann so zusammen, dass sie obige Meldung und möglicherweise auch gleich den Script-Code für die Weiterleitung enthielt. Amerikanischen Medien zufolge hat Paypal reagiert und die XSS-Lücke beseitigt.

Diese Entwicklung hin zu immer ausgefeilteren Phishing-Techniken kommt nicht überraschend. Cross-Site-Scripting wurde zwar lange Zeit als Sicherheitsproblem nicht ganz ernst genommen, weil es ja keinen direkten Schaden anrichten kann. Aber Experten warnen seit geraumer Zeit, dass es unter anderem raffinierte Täuschungsmanöver ermöglicht, die vom Opfer nur noch schwer als solche zu erkennen sind. Offenbar suchen Phisher nun aktiv nach solchen XSS-Lücken auf den Seiten von Banken und Bezahldiensten. Dass sie dabei auch weiterhin fündig werden, steht außer Frage, denn nach Erkenntnissen von heise Security finden sich auch auf Seiten von deutschen Banken immer wieder derartige Fehler.

Siehe dazu auch:

    * Cross-Site-Scripting: Datenklau über Bande, Artikel auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/74369

[SiLæncer]

Phishing-Versuche gehören heutzutage zu den am häufigsten verwendeten Methoden, an die persönlichen Informationen und Kreditkartendaten von unbedarften Internet-Nutzern zu gelangen. Vor allem die Webseiten von Banken und dem Online-Bezahlsystem PayPal werden häufig von Phishern nachgebaut.

PayPal will gegen diesen Trend nun vorgehen und plant, einen Passwortgenerator in Form eines Schlüsselanhängers zu vertreiben. Das Gerät generiert alle 30 Sekunden ein neues Zahlenpasswort. Will sich ein PayPal-Nutzer, der das System nutzt, nun einloggen, muss er neben seinem normalen Passwort auch den Zahlencode eingeben.

Durch die sich ständig änderden Zahlencodes können selbst Phisher, die erfolgreich an die Zugangsdaten eines PayPal-Mitglieds gelangt sind, nichts mit dem normalen Passwort anfangen. PayPal testet das Konzept derzeit mit seinen Mitarbeitern intern und will in kürze eine "Betaphase" starten.

Auch in Deutschland soll das System angeboten werden. Gegen Ende des Jahres will man dann mit der weltweiten Einführung beginnen. PayPal gibt die Schlüsselgeneratoren nicht kostenlos ab, sondern will eine Gebühr von rund vier Euro berechnen. Bei Business-Konten soll die Gebühr entfallen.

Die von PayPal geplanten Schlüsselgeneratoren sind nicht neu. RSA bietet mit seinen SecurID Tokens schon seit Jahren ein ähnliches System an. Viele Unternehmen verwenden das System, um ihren Mitarbeitern auch von Zuhause einen Zugriff auf das Firmennetzwerk zu ermöglichen.

[SiLæncer]

Die Verwirrung mancher Anwender um iTAN, mTAN und andere Verfahren zur Verbesserung der Online-Sicherheit nutzen derzeit Betrüger, um ihren angeblichen E-TAN-Generator für Paypal unters Volk zu bringen. Selbstverständlich handelt es sich bei der Datei im angehängten ZIP-Archiv der Mail nicht um einen TAN-Generator, der zeitbegrenzte Zugangskennungen ausspuckt, sondern um ein trojanisches Pferd, das heimlich im Hintergrund weitere Schadsoftware auf den Rechner holt.



Dabei geht der Trojaner raffiniert genug zu Werke, sich nach dem Start erst einmal tot zu stellen, um einer vorzeitigen Entdeckung zu umgehen. Erst nach circa 10 Minuten verewigt er sich im System und lädt den eigentlichen Unrat aus dem Netz nach. Die Erkennunsgrate bei Antiviren-Software sieht derzeit noch sehr schlecht aus. Wittern bei E-TAN-Software_2.68.scr noch ein paar wenige Heuristiken einen (Nurech-)Downloader, warnt beispielsweise bei der nachgeladenen Datei 22.exe nur noch Antivir recht unspezifisch mit HEUR/Malware.

Vor recht genau einem Monat rollte bereits eine ähnliche Welle durchs Netz. Und Paypal bietet tatsächlich Einmal-TANs mit Zeitbeschränkung. Diese liefert aber nicht eine dubiose Software sondern ein spezielles Token, das man für 4,95 Euro bei Paypal bestellen kann.

Quelle : www.heise.de

[SiLæncer]

Ein auf der Sicherheitsmailing-Liste Full Disclosure veröffentlichtes SSL-Trickzertifikat für paypal.com und der dazugehörige private Schlüssel dürften Microsoft, Google und Apple in Zugzwang bringen, nun endlich Updates zum Beseitigen der NULL-Prefix-Schwachstelle zu veröffentlichen. Phisher können das Zertifikat etwa für Phishing-Angriffe ausnutzen und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde. Aber auch Man-in-the-Middle-Angriffe im LAN funktionieren damit problemlos.

Durch Einfügen eines Nullzeichens in den Common Name des Zertifikats lesen verwundbare Browser die Zeichenkette nur bis zum Erreichen dieses Zeichens, obwohl das Zertifikat eigentlich für eine andere Domain ausgestellt ist. Der Browser glaubt im vorliegenden Fall, ein gültiges Zertifikat für paypal.com zu erkennen. Die Lücke ist seit mehreren Wochen in diversen Browsern bekannt. Bislang fällt von den populären Browsern nur Firefox nicht auf den Trick herein.

Zwar ist der Internet Explorer grundsätzlich verwundbar für die manipulierten Zertifikate, in den Versionen 7 und 8 warnt der Browser dennoch, weil das Zertifikat mittlerweile vom ausstellenden Trustcenter IPS CA zurückgezogen wurde. Da der Microsoft-Browser die Revocation-Liste dieses Trustcenter prüft, verweigert er den Aufbau der Seite. Ist die standardmäßig aktivierte Prüfung aus irgendeinem Grund jedoch deaktiviert, akzeptiert der Browser das Zertifikat. Auf die Prüfung sollte man sich aber nicht blind verlassen, insbesondere bei Angriffen auf SSL im Intranet: Moxie Marlinspikes hat im Juli einen Weg beschrieben, wie man die Online-Prüfung der Revocation-Liste aushebeln (PDF-Dokument) kann.

Erst wenn in Google Chrome die Gültigkeitsprüfung der Serverzertifikate aktiviert ist, warnt der Browser.

Die aktuellen Versionen von Chrome 3.x und Safari 4.x akzeptieren das Zertifikat indes ohne Murren und ohne Fehlermeldung, da die Abfrage der Revocation-Liste standardmäßig deaktiviert ist. Bei Chrome lässt sich die Prüfung unter "Optionen/Details/Sicherheit/Sperrung des Serverzertifikats" anschalten.

Bereits vergangene Woche hatte der Hacker Jacob Appelbaum ein Zertifikat veröffentlicht, das für beliebige Domains funktioniert und in verwundbaren Browsern keine Fehlermeldung produziert. Der Internet Explorer warnte aber auch vor diesem Zertifikat, weil er die Wildcard-Angabe * im Zertifikat nicht unterstützt.

Quelle : www.heise.de

[Yessir]

Bislang fällt von den populären Browsern nur Firefox nicht auf den Trick herein.

Die aktuellen Versionen von Chrome 3.x und Safari 4.x akzeptieren das Zertifikat indes ohne Murren und ohne Fehlermeldung, da die Abfrage der Revocation-Liste standardmäßig deaktiviert ist. Bei Chrome lässt sich die Prüfung unter "Optionen/Details/Sicherheit/Sperrung des Serverzertifikats" anschalten.

Womit wieder mal bewiesen wäre, dass Firefox doch der bessere Browser ist...

[SiLæncer]

Meine Rede

[SiLæncer]

Der Payment-Dienstleister PayPal hat den Account eines Sicherheitsexperten gekündigt, der Informationen über die Möglichkeit zur Fälschung von Zertifikaten veröffentlicht hatte.

Der Betroffene, Moxie Marlinspike, hatte bereits vor einiger Zeit über das Problem mit den SSL-Zertifikaten bei PayPal informiert. Die Ergebnisse seiner Arbeit wurden nun aber genutzt, um ein gefälschtes Zertifikat zu erstellen. Er selbst war daran nach eigenen Angaben nicht beteiligt.

Trotzdem fror PayPal nun sein Konto mit einem Guthaben von rund 500 Dollar ein. Der Betrag werde erst wieder freigegeben, wenn er die PayPal-Buttons, über die Nutzer der von ihm als Freeware bereitgestellten Anwendungen Spenden können, von seiner Webseite entfernt hat, berichtete das 'eCommerce Journal'.

Die von ihm angebotenen Tools ermöglichen die Analyse von SSL-Zertifikaten und können theoretisch auf für Angriffe eingesetzt werden. Dies nimmt PayPal nun zum Vorwand für die Sperrung des Kontos. Man beruft sich dabei auf die Geschäftsbedingungen, die eine Verwendung des Dienstes für den Verkauf von Werkzeugen, die für illegale Aktivitäten genutzt werden können, untersagen.

Angesichts dessen, dass die Entwicklung zahlreicher Open Source-Anwendungen im Security-Bereich wie etwa des Packet Sniffers Wireshark über PayPal-Spenden finanziert wird, wirkt dies recht unglaubwürdig.

Quelle : http://winfuture.de

[SiLæncer]

Das Computermagazin c‘t macht in seiner aktuellen Ausgabe vom 27. September auf eine gravierende Sicherheitslücke im System des Bezahldienstes PayPal aufmerksam. Online-Betrügern wäre es möglich, mit gestohlenen Kreditkarteninformationen durch den Service problemlos bis zu 1500 Euro von fremden Konten abzuheben.

Wie aus den Recherchen des Computermagazins „c't“ hervorgeht, klafft im System des Online-Bezahldienstes PayPal eine schwere Sicherheitslücke. In der aktuellen Ausgabe der Zeitschrift behauptet man, dass Betrüger mit gestohlenen Kreditkarteninformationen durch den Service problemlos bis zu 1500 Euro von fremden Konten abheben können. Denn genau diesen Betrag kann ein Nutzer maximal mit einer Kreditkarte ausgeben, deren Besitz er PayPal noch nicht nachgewiesen hat. Eine deutlich zu hoch angesetzte Grenze, „zumal doch deutsche Kreditinstitute durch das Geldwäschegesetz gezwungen sind, bei einer Kontoeröffnung die Identität des Kunden anhand eines Lichtbildausweises oder einer qualifizierten elektronischen Signatur zu überprüfen“ erklärt man im c’t Bericht.

Bei der Kontrolle, ob man tatsächlich der Besitzer der Karte ist, deren Daten man angegeben hat, überweist PayPal einen Geldbetrag an das entsprechende Konto. Diese Summe ist zufallsgeneriert und beläuft sich nur auf wenige Cents. Der ehrliche Inhaber der Karte kann auf seinem Kontoauszug den genauen Betrag einsehen, diesen in einem Onlineformular auf der PayPal-Seite eingeben und sich so verifizieren.
Ein Online-Betrüger, der lediglich über die Daten der Kreditkarte verfügt, kann diese Kontrolle selbstverständlich nicht passieren, aber bis zur 1500 Euro Grenze über das Geld des geprellten Besitzers verfügen. 

Aufmerksam wurde man auf das Problem durch den Fall einer Frau, die im vergangenen Jahr Online-Betrügern zum Opfer fiel. 195 Euro wurden von ihrem Kreditkartenkonto wegen einer angeblichen PayPal Rechnung abgehoben und auf ein Konto in Rumänien überwiesen. Und das obwohl sie nie etwas mit dem Tochterunternehmen eBays zu tun hatte. Nach monatelangem Streiten mit den zuständigen Institutionen erstattete man ihr den entstandenen Schaden allerdings zurück. Sogar inklusive der Gebühr für die Beantragung einer neuen Kreditkarte.

PayPal reagierte bislang nicht auf die Veröffentlichung der Sicherheitslücke. Auch zu einem Statement gegenüber dem SPIEGEL erklärte man sich auf Nachfrage nicht bereit.

Quelle: www.gulli.com

[SiLæncer]

Internet-Betrüger versuchen derzeit verstärkt mit Phishing-Attacken an die Kreditkartendaten und die Passwörter von PayPal-Kunden zu gelangen. Der Online-Bezahldienst, eine Tochter des US-Internetkonzerns eBay, warnt eindringlich vor gefälschten PayPal-Seiten im Internet und E-Mails, in denen sich Betrüger als Mitarbeiter des Unternehmens ausgeben.
   
Betrüger wollen PayPal-Kundendaten abfischen

Kunden würden per E-Mail dazu aufgerufen ihr PayPal-Konto über den Aufruf eines Links zu bestätigen. Dabei leiten die Cyberkriminellen die ahnungslosen Internetnutzer aber auf gefälschte PayPal-Webseiten weiter. Wer dort seine persönlichen Daten wie das PayPal-Passwort angebe oder seine Kreditkarte mitteile, sende diese nicht an den Zahlungsdienst, sondern direkt an die Internetbetrüger weiter. PayPal selbst würde Links in E-Mails nur in absoluten Ausnahmefällen verwenden und Kunden nicht direkt auf die Login-Seite weiterleiten. Daher sei besondere Vorsicht angebracht, wenn Kunden E-Mails mit Links zu angeblichen PayPal-Seiten erhalten und aufgefordert werden sich dort mit ihrem Passwort einzuloggen.

Der einzig sichere Zugang zum eigenen PayPal-Konto erfolge durch direkte Eingabe der URLs http://www.paypal.de/ oder http://www.paypal.com/. Eindeutig als gefälschte E-Mail zu identifizieren seien auch angebliche PayPal-Nachrichten mit angehängten Dateien. Der Online-Zahlungsdienst versende nach eigenen Angaben grundsätzlich keine E-Mails mit Anhängen. Zudem sollten Kunden stutzig werden, wenn sie in elektronischen Nachrichten nicht mit vollen Vor- und Nachnamen angesprochen würden. Niemals frage PayPal in E-Mails nach dem vollen Namen, der Bankverbindung, der Kreditkartennummer oder dem Passwort.

PayPal-Sicherheitsschlüssel bietet Kunden zusätzlichen Schutz

Die eBay-Tochter, bietet ihren Kunden zum besseren Schutz vor solchen Internetbetrügereien einen PayPal Sicherheitsschlüssel an. Das ist ein nur kurzzeitig gültiger Sicherheits-Zahlencode, den Kunden sich bei Bedarf kostenlos auf ihr Handy schicken lassen können. Alternativ bietet PayPal für 4,95 Euro auch eine kleine Karte an, die den temporären Sicherheitsschlüssel erzeugt.

Das US-Unternehmen ist auf das Vertrauen seiner Kunden in die Sicherheit des Online-Zahlungsdienstes angewiesen, denn PayPal entwickelt sich zur Zugmaschine für eBay. Während der Online-Marktplatz selbst schwächelt, gewinnt PayPal weltweit stetig Marktanteile hinzu.

Quelle: onlinekosten.de

[SiLæncer]

Sicherheitsexperte Brian Krebs hat im Internet ein Angebot gefunden, das den Wert von entwendeten Paypal-Zugängen beziffert. Es handelt sich dabei offensichtlich um Massenware, da die Preise sehr gering sind.

Einen Paypal-Zugang gibt es im Sonderangebot für nur 50 US-Cent (etwa 37 Eurocent). Als Voraussetzung müssen aber mindestens 100 Zugänge erworben werden, die zudem nicht verifiziert sind, wie der Sicherheitsexperte Brian Krebs herausgefunden hat. Nicht verifiziert bedeutet in diesem Falle, dass beispielsweise kein Bankkonto oder keine Kreditkarte an das Paypal-Konto angebunden ist.

Wer etwas mehr Geld ausgibt, bekommt verifizierte Paypal-Konten mit angebundener Kreditkarte. Mitunter gibt es für die Zugänge auch gleich das passende E-Mail-Konto, das für Paypal benötigt wird, mit Nutzername und dazugehörigem Passwort. Ein verifizierter Zugang kostet mindestens 2,50 US-Dollar. Das Guthaben auf diesen Konten liegt bei bis zu 10 US-Dollar. Abhängig von dem Guthaben werden für höherwertige Paypal-Konten zwischen 8 und 12 Prozent des Wertes verlangt.

Gehackte Paypal-Zugänge sind in kriminellen Kreisen Massenware. Die Zugänge dürften insbesondere über Phishing-E-Mails erschlichen worden sein. In solchen E-Mails wird der Nutzer meist aufgefordert, seine Zugangsdaten wegen eines vorgeblichen Problems preiszugeben. Mitunter passiert das auf gut gemachten Webseiten, die aussehen wie Paypal-Webseiten, aber eigentlich unter der Kontrolle von Kriminellen sind.

Leichtgläubige Nutzer fallen auf diese E-Mails herein und werden so Opfer eines Betruges. Dabei benutzen die Phisher nicht unbedingt selbst die erbeuteten Zugangsdaten, sondern verkaufen sie an Interessierte weiter. Geklaute Kreditkarteninformationen werden auf ähnliche Art und Weise verkauft.

Quelle : www.golem.de

[ritschibie]

Achtung Paypal-Nutzer, das ist die neueste Phishing Variante, die ich gestern im mailfach gefunden habe:

Sehr geehrter Kunde,
aufgrund eines automatisierten Abgleiches Ihrer Kundendaten mit Vergleichsstatistiken wurde das Risiko eines Zahlungsausfalls für Ihr Konto als überdurchschnittlich hoch eingestuft.
Um weiterhin problemlos die Zahlungsmethode Bankeinzug nutzen zu können, bitten wir Sie eine Kreditkarte - als Sicherheit bei Zahlungsausfällen - bei uns zu registrieren.
Diese wird Ihrem Account nicht als Zahlungsmethode hinzugefügt, sondern dient lediglich als Absicherung bei einem nicht ausreichend gedeckten Bankkonto.

Sollten sie keine Kreditkarte bei uns hinterlegen, wird die Zahlungsmethode Bankeinzug für Ihr Konto deaktiviert.

Ihre Kreditkartendaten können Sie mithilfe des beigefügten Formulars hinterlegen.

Es ist dabei irrelevant ob Sie bereits eine Kreditkarte bei uns registriert haben, aus vertragsrechtlichen Gründen dürfen wir diese Kartendaten nicht als zusätzliche Sicherheit heranziehen.
Sie können also eine Karte, welche bereits bei uns registriert ist, auch als Sicherheit hinterlegen.

Wir bitten die Unannehmlichkeiten zu Entschuldigen, dieses Vorgehen ist allerdings aufgrund vermehrter Betrugsversuche durch ungedeckte Bankkonten erforderlich.

Mit freundlichen Grüßen,
Ihr PayPal Kundenservice

Man erkennt den Phishing-Angriff, wenn man die Absender-Adresse genauer unter die Lupe nimmt: "service@paypall.com". Also: aufgepaßt!

[dada]

Na ja, die Argumentation ist doch schon obskur genug, sodass man nicht darauf hereinfallen sollte. Schon gar nicht, wenn es eine Email ist.

[SiLæncer]

Hab das Teil vor kurzem auch bekommen ...

Interessant ist auch die Senderadresse -> service@paypall.com (man beachte das zweite l )

[ritschibie]

@dada: Habe von Paypal schon einige "obskure" Argumentationen bekommen vom Credit Card Check bis zur micropayment-Absicherung. Habe mich dann jeweils telef. mit denen in Verbindung gesetzt und alles verifiziert. Hier fiel mir (genau wie SiL) der Absender auf (das Doppel-L). Das "...zu Entschuldigen" fand ich allerdings als allererstes suspekt. Trotzdem, Leute in Eile könnten da durchaus reinsausen. Das anliegende Formular sieht wirklich gut gefaked aus!!