Unter der Website http://www.sslsecurity-pays-secure-cgi-bin.de werden Kreditkartendaten, Kundendaten sowie die Logindaten für den Account abgefragt. Hinter der Adresse verbirgt sich eine Website eines vermeintlichen Kunden von EUserv, die eine fast 1:1 Kopie der Login- und Anmeldeseite des PayPal-Dienstes darstellt. Beim Ausfüllen der Formulardaten werden diese aber nicht an PayPal übermittelt sondern an die Emailadresse [email protected] weitergeleitet.

Es werden die Nutzer des Bezahldienstes, die auf eine solche Mail reagiert und zwischen dem 22.08.2005 und 29.08.2005 Accountdaten, Kreditkartendaten oder andere Kundendaten unter der falschen URL aktualisiert haben, angehalten, Ihr Loginpasswort im richtigen Loginbereich von PayPal dringend zu ändern. Weiterhin sollten Kreditkarten ggf. gesperrt werden um unzulässigen Verfügungen vorzubeugen.

Die Website wurde zwischenzeitlich abgeschaltet. Der Provider, der zwischenzeitlich PayPal und die Behörden informiert hat, konnte den Ursprung der Aktionen anhand der Logfiles und IP-Adressen über die USA und anderen Staaten weitgehend zurückverfolgen. EUserv hat den Inhalt der Phishing-Mail sowie weitere Informationen auf seiner Security-Website http://www.euserv.de/security zur Ansicht bereitgestellt.

Nach Informationen des Webhosters versuchten die Betrüger durch weitere Bestellungen mehrere Websites gleichzeitig zu betreiben. Die Domains ssl128-securepays-server.de, secure-ssl128-paysserver.de und ssl128-secure-pays.de wurden am Montag Morgen von den auftragsbearbeitenden Systemen des Providers abgefangen und nicht registriert. Das Security Team von EUserv geht davon aus, dass diese Domains in den nächsten Tagen über andere Provider online gehen.

Pressemitteilung Banktip.de vom 30.08.2005