Phishing-Angriffe werden mit jedem Tag gefährlicher und überzeugender. Manche sagen, das liegt am Aufstieg von KI-Tools wie ChatGPT, andere meinen, das Bewusstsein der Nutzer nimmt zu – und daher müssen sich die Angriffe weiterentwickeln, um erfolgreich zu bleiben.

In den letzten Wochen haben mich mehrere Freunde und Kunden – selbst IT-Profis – gefragt: „Ist dieser Link echt? Ich bin mir unsicher. Die E-Mail sieht korrekt aus, und der Link führt scheinbar zur richtigen Adresse. Warum sollte das nicht sicher sein?“

Ich habe versucht, zu erklären, wie und warum Phishing funktioniert, und worauf man achten sollte – bis ich selbst eine E-Mail bekam, die wie eine echte PayPal-Transaktions-Benachrichtigung aussah. Ich habe sie genau analysiert und dachte: Diese ist wirklich gut gemacht. Alles schien stimmig – das Branding, das Layout, sogar der Link-Aufbau.

Aber bei genauerem Hinsehen kam die Wahrheit ans Licht: Es war ein raffiniert getarnter Betrug. In diesem Artikel analysieren wir den Täuschungsversuch und zeigen, wie Angreifer Vertrauen ausnutzen, um Zugangsdaten zu stehlen.

Es gibt vier Hauptmethoden, wie dieser Angriff funktioniert:

1. Cloaking / Redirects / Offene Weiterleitungen
   Angreifer nutzen legitime Domains wie paypal.com aus, indem sie offene Weiterleitungen (Open Redirects) missbrauchen. Der Link beginnt scheinbar korrekt mit paypal.com, enthält aber eine Weiterleitung zu einer bösartigen Domain – oft verschleiert oder in Base64 kodiert.
   
   Beispiel: "https://www.paypal.com"/redirect?url=https://malicious-site.com
   Der Nutzer sieht „paypal.com“, klickt – und wird sofort umgeleitet.
    
2. URL-Verschleierung in E-Mails

   In HTML-Mails kann der sichtbare Link-Text etwa so aussehen: https://www.paypal.com.
   Aber der tatsächliche Link im HTML dahinter zeigt z. B. auf: https://scamdomain.com/fake/paypal/login.
   Das ist nur im Quelltext der E-Mail oder beim Überfahren des Links mit der Maus sichtbar.

3. Homograph-Angriffe / Unicode-Spoofing
   Manche Phishing-Mails verwenden täuschend ähnliche Domains mit Unicode-Zeichen: https://www.pаypаl.com ← (die „а“ sind kyrillische Buchstaben, keine lateinischen). Sieht für das menschliche Auge wie „paypal.com“ aus – ist aber eine gefälschte Domain.

4. Kompromittierte echte URLs als Einstiegspunkt
   Manchmal führen Angreifer auf eine echte PayPal-Seite mit gültigen Parametern, laden dort aber schädlichen Inhalt nach – etwa über Skripte von externen Quellen:

• Ein iframe wird eingebettet
• Ein Download wird ausgelöst
• Ein Log-in-Fenster zur Dateneingabe erscheint
• Oder es erfolgt eine automatische Weiterleitung per JavaScript oder Meta-Refresh

Betreff: PayPal e-Gifts: ₱525.00 PHP
Absender: service@paypal.com
Link: "https://www.paypal.com / mobile-app/package-tracking/list ?source=receipt_email_orders&txn_id=3NE98259KD591341B"

Das sah absolut legitim aus. Die URL wirkt wie eine echte PayPal-Tracking-Seite, inklusive vieler Tracking-Parameter (utm_source, utm_medium usw.). Aber:

• Diese URL kann im HTML der E-Mail gefälscht sein
• Möglich ist auch eine Weiterleitung oder ein Script-Injection über kompromittierte Drittanbieter

Hinter dem HTML-Link verbarg sich in Wahrheit:
"https://trackingshipmentpaypalservices.com/3NE98259KD591341B"

Diese Domain gehört nicht zu PayPal. Es ist eine Phishing-Seite, die das PayPal-Design nachahmt, um Log-in-Daten zu stehlen. Die Methode ist simpel, aber wirkungsvoll:

• Der sichtbare Text sieht wie ein PayPal-Link aus
• Das tatsächliche href im HTML zeigt auf eine andere Domain

Lektion: Vertrau nie dem sichtbaren Linktext – prüfe immer das tatsächliche Ziel!

Obwohl die Mail professionell aussah, zeigte die technische Analyse klare Phishing-Warnzeichen:

• Von: service@paypal.com (gespooft)
• Reply-To: richardkrpata[][][][]@yahoo.com ❌
• SPF: SoftFail ❌
• DKIM/DMARC: Pass ✅ (aber wahrscheinlich über Outlook gespooft)
• Link führt zu Phishing-Seite ❌

Vermutlich wurde hier ein kompromittierter Microsoft-Tenant oder Yahoo-Account genutzt, um Filter zu umgehen.

• Markenimitation: hochwertiges PayPal-Branding (Logo, Fonts, Layout)
• Bekannte URL-Struktur: Imitiert echte PayPal-Transaktionen
• Technische Täuschung: DMARC und DKIM bestanden – das erzeugt falsches Vertrauen

Diese Kombination senkt die Wachsamkeit der Empfänger erheblich.

• Klicke niemals auf Links aus unerwarteten E-Mails
• Fahre mit der Maus über Links, um die echte Adresse zu sehen
• Prüfe Reply-To und Return-Path – weichen sie vom Absender ab, ist Vorsicht geboten
• Melde Phishing an spoof@paypal.com
• Aktiviere Zwei-Faktor-Authentifizierung bei deinem PayPal-Konto

Möchten Sie Ihr Unternehmen gezielt absichern? Kontaktieren Sie mich gerne, ich unterstütze Sie bei der Analyse, Prävention und Abwehr moderner Phishing-Bedrohungen.