Kürzlich bekam ich eine „Paypal“-Mail auf eine ungenutzte Mailadresse. Klar, da sollte jeder skeptisch werden.
<unbekannter Name> hat Ihnen €250,00 EUR gesendet.
war der Betreff – nee, das stinkt, und zwar nach Phish(ing).
Ich war dann doch neugierig genug, mir die Mail genauer anzuschauen – und alle Links sahen gut aus und zeigten auf paypal.com. Seltsam, hat Paypal ein XSS-Problem? Bei der einen URL waren auch etliche Parameter im Link gesetzt, mit Mailadresse und diversen IDs. Zahlte der Laden nicht für das Melden von Sicherheitslücken? Und gilt das Programm auch für nur weitergeleitete Bugs aus Spammails?
Alle meine Träume zerschlugen sich dann aber doch recht schnell. Die nächste ungelesene Mail kam wieder von „Paypal“. Und war eine Storno-Mitteilung. Da hat sich doch einfach jemand beim Empfänger vertippt gehabt, und die „Paypal“-Mails waren von Paypal ganz ohne Anführungszeichen.
Und so schnell wurde aus dem Phishing eine ganz ordinäre Transaktion mit Vertipper beim Sender :)