Die Verbraucherzentrale Sachsen warnt aktuell vor einer zirkulierenden PayPal Phishing Mail, die den Empfängern suggeriert, sie hätten eine Zahlung in Höhe von 243,35 € an einen Händler namens I Max International Srl (marketing@imaxinternational.com) autorisiert.
Der Absender (service@paypal.us) forderte dazu auf, sich mit Emailadresse und Passwort in das PayPal-Konto einzuloggen, um die Transaktion gegebenenfalls zu verhindern. Dabei wird damit gerechnet, dass viele Angeschriebene der Aufforderung folgen, da ihnen die erstgenannte Firma überhaupt nicht bekannt ist.
Als offizielle Signatur des E-Mail-Absenders wurde die PayPal (Europe) S.à r.l. & Cie, S.C.A. mit Sitz in Luxemburg angegeben.
Die Rechnungsnummer des Händlers sowie der Transaktionscode waren bei den angeschriebenen Verbrauchern immer identisch. Außerdem enthielten die E-Mails keine Angaben über den Lieferungsgegenstand.

"Wir gehen daher davon aus, dass es sich um einen kriminellen Angriff auf persönliche Kontodaten von PayPal-Kunden handelt", glaubt Kay Görner von der Verbraucherzentrale Sachsen. Der Empfänger wird per E-Mail auf eine präparierte Internetseite gelockt, die der offiziellen sehr ähnelt, und aufgefordert, sich mit Emailadresse und Passwort einzuloggen - was im Vergleich zum PIN- und TAN-Verfahren beim Online-Banking deutlich weniger Sicherheit bietet. PayPal-Zugänge sind daher bei Kriminellen beliebt. "Wer dem Link folgt, muss in der Folgezeit mit missbräuchlichen Abbuchungen rechnen", vermutet Görner.


Update
Auch PayPal hat gerade eine Pressemeldung zum Thema veröffentlicht:

Berlin/Dreilinden, 20. Oktober 2010 – Der Online-Zahlungsdienstanbieter PayPal warnt vor einer aktuellen Phishing-Welle und gefälschten PayPal-Seiten im Internet. In E-Mails geben sich Betrüger als PayPal-Mitarbeiter aus und fordern Kunden auf, ihr PayPal-Konto zu bestätigen. Dabei wird der Nutzer via Hyperlink auf gefälschte PayPal-Webseiten gelenkt und nach seinen Kreditkartendaten oder dem Passwort gefragt. Wer seine Daten an dieser Stelle eingibt, übermittelt sie nicht an PayPal sondern direkt an die Täter.

Das Unternehmen rät daher zu besonderer Vorsicht bei E-Mails, die

· den Kunden auffordern, sich über einen Link in ihr Kunden-Konto einzuloggen. PayPal verwendet Links in E-Mails nur in absoluten Ausnahmefällen. Und selbst in diesen Ausnahmefällen landet der Kunde niemals direkt auf der Login-Seite. Um auf Nummer sicher zu gehen, sollten Kunden sich immer direkt über http://www.paypal.de/ oder http://www.paypal.com/ in ihr Konto einloggen.

· eine Datei im Anhang enthalten. PayPal versendet grundsätzlich keine E-Mails mit Anhängen.

· den Kunden nicht mit vollem Vor- und Zunamen ansprechen.

· den Kunden auffordern, seinen vollen Namen, die Bankverbindung, Kreditkartennummer oder Passwort einzugeben. PayPal fragt in E-Mails niemals nach diesen Daten.

Um solche Angriffe abzuwehren, kann sich jeder Kunde einen Sicherheits-Zahlencode, der nur für kurze Zeit gültig ist, kostenlos auf sein Handy schicken lassen. Gestohlene Daten werden für den Angreifer damit wertlos:

https://www.paypal-deutschland.de/sicherheit/kontoschutz/sicherheitsschluessel.html

PayPal ruft seine Kunden dazu auf, Betrugs-E-Mails an den Kundenservice weiterzuleiten.