PayPal aktualisiert die AGB. SPAM oder HAM

[vgwort line=“64″ server=“vg08″ openid=“e707fbcadd7e4d7c809e3e840af32421″]

Gute Frage. Der SPAM- Score liegt mit meinen persönlichen Regeln bei 4,3. Eine Prüfung ergab, dass de Begriffe harmlos waren und ich meine Regeln anpassen muss. Dies beantwortet aber nicht die Frage.

Die Mail wurde mit wurde mit folgenden Worten eingeleitet:

PayPal. Sicherererer.

PayPal informiert: Neue Nutzungsbedingungen und neue Datenschutzgrundsätze ab 19. Dezember 2012

Hallo Thomas Arend!

Wir arbeiten für Sie ständig daran, PayPal sicherer zu machen. Das bringt auch von Zeit zu Zeit Änderungen an den AGB mit sich: Zum 19. Dezember 2012 werden wir unsere Nutzungsbedingungen und unsere Datenschutzgrundsätze aktualisieren.

Hier stimmten zumindest die Mailadresse mit der PayPal bekannten Adresse und mein Name überein. Eine Suche in alten Mails ergab, dass am 4. Mai 2012 schon eine ähnliche Mail verschickt wurde. Auch damals wurde PayPal Sicherererer = Sich(er)4. Abgesehen von dieser Kleinigkeit ist die Mail sprachlich perfekt. Kein Hinweis, dass sie nicht von einem Muttersprachler verfasst und keiner Qualitätssicherung unterzogen wurde.
Also schaue ich mir die Mail genauer an.

Die Mail besteht aus einem Text und einem HTML-Teil, die unterschiedlichen Inhalt haben. Der Grund liegt angeblich darin, dass die Allgemeinen Geschäftsbedingungen (AGB) nicht als reiner Text zu formatieren sind. Nun, wenn innerhalb einer Mail Links benötigt werden, deren Ziel verschleiern werden soll, und die Überschriften fett anzeigen werden sollen, dann stimmt die Aussage. Aber nötig sind diese Verzierungen für den Inhalt der AGB nicht.

Der Textteil

Die Verweise im Textteil sind naturgemäß unverschleiert zu erkennen. Alle Verweise zeigen mittels HTTPS auf den Server email-edg.paypal.com. Grundsätzlich nicht schlecht, aber warum sind die AGB unter www.paypal.com/agb und unter https://email-edg.paypal.com/r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/FXY63Y/Y6/t oder warum wird über den Server email-edg.paypal.com umgeleitet. Diese Konstruktion der Links schafft in Zeiten des Spam kein Vertrauen.

Ein Vergleich mit der alten Mail zeigt, damals waren die Adressen auch so aufgebaut. Der Pfad lautete nur r/06OEXBS/NQPFN/SKS6NU/YLZKC/FT92D/1C/t.

Zitat aus dem Text-Teil:

Ab 19. Dezember 2012 finden Sie die neuen Nutzungsbedingungen und Datenschutzgrundsätze unter www.PayPal.de/agb.
https://email-edg.paypal.com/r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/KES2TJ/Y6/t

Die Domain paypal.com ist in Ordnung, allerdings finde ich den Namen des Servers unglücklich. Was haben die AGB auf einem E-Mail-Server zu suchen? Warum ein Verweis über diesen Umweg?

Die Links im Textteil

Ich lese Mail am liebsten im Klartext. Da gibt es wenig Möglichkeiten Links zu verschleiern und ein gutes Mail Programm erkennt sie trotzdem und öffnet bei Mausklick den Browser.

Der Aufbau der Links im Textteil gefällt mir auf den ersten Blick nicht. Ich kenne schwach-sinnige Links aus Lotus Notes, aber dieser Aufbau verschleiert bewusst wohin die Reise gehen soll. In der Mail vom Mai lauteten die Pfade /r/06OEXBS/NQPFN/SKS6NU/YLZKC/FT92D/1C/t. Nur der drittletzte durch „/“ begrenzte Teil (fett markierte Teil) unterscheidet sich in einzelnen Verweisen. Grundsätzlich wäre es möglich in den Links den Adressaten – unerkennbar – zu kodieren und in jeder Mail andere Links zu setzen. Über die Kodierung des Nutzers im Link ließe sich bestimmen, wer welchen Link angeklickt hat. Diese Technik kennen wir von Adresssammlern, den Registrierungscodes zu Webseiten, An- oder Abmeldehinweisen zu Newslettern etc. Mehr dazu weiter unten. Wenn jemand meine E-Mail Adresse als Parameter im Klartext übergibt, weiß ich wenigstens woran ich bin. Notfalls lösche ich die Adresse oder ersetze sie durch eine andere. Kryptische Links mag ich nicht. Da diese Links auch im HTML-Teil auftreten dazu weiter unten mehr.

Der HTML-Teil

Der HTML-Teil ist – Entschuldigung – unverschämt. Über einen link-Tag im Header wird ein Favicon http://www.PayPalobjects.com/WEBSCR-580-20090723-1/en_US/i/icon/pp_favicon_x.ico eingebunden. Hätte es der Favicon auf paypal.com nicht auch getan? Dies ist der einzige Verweis, der nicht über HTTPS läuft.

Was mich stört? Der verwendete Server! Wer die Artikel über Pishing von PayPal-Konten noch nicht gelesen hat, der lese „PayPal: Fortsetzung blockiert ! Oder lieber ?“ sowie „PayPal: Fortsetzung blockiert (continued)“ und er er wird wissen, warum ich mich darüber aufrege.

Woher soll ich wissen, ob diese Seite zu PayPal gehört oder ein Betrüger diese Seite angemeldet hat? PayPalObjects ist mit genauso suspekt wie paypal-deutschland.de.http01.com. Also prüfe ich mit WHOIS wer die Domain PayPalobjects.com registriert hat.

Das Ergebnis der WHOIS-Abfrage ist jedoch erfreulich. Die Domain ist auf PayPal Inc über Markmonitor.com registriert. Gleiches gilt für paypal.com. Mein Versuch das Favicon mit wget herunter zu laden endet mit dem Fehler 404 – nicht gefunden. Gut, da kann ich mir den Vergleich mit dem Favicon von paypal.com sparen.

Die eingebetteten Bilder werden über HTTPS von einem Server image.paypal-communication.com eingebunden. Noch eine Domain. Auch diese Domain ist die vorherigen für PayPal Inc registriert. Auch hier gilt das obige. Ergebnis WHOIS: OK. Aber auch in SPAM werden Original_Quellen eingebunden. Der Versender schont seine Ressourcen. Hilf also nicht sonderlich weiter.

Die Links im HTML-Teil

Nun folgen Links der Form <a href=“https://email-edg.paypal.com/r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/9Z5L9J/Y6/h“ target=“_blank“ style=“color:#0079c1″ >www.PayPal.de</a>. Diese Links finde ich sehr unglücklich. Hier wird nicht zu www.paypal.com verzweigt, sondern auf einen ganz anderen Server. Diese Technik nutzen Betrüger um den Leser über das wahre Ziel eines Links zu täuschen. Eine SPAM Erkennung sollte auf solche Links anschlagen. Es ist aber sehr schwer eine Spam-Erkennung zu programmieren, die hier sagt: Oh, PayPal. Die machen das auch. Vielleicht doch kein Spam, kein Fraud.

Umleitung zu den Inhalten Dritter über eigene Server

Das geht nun gar nicht!

Mit den Augen des Datenschutzes betrachtet richtig schlecht sind die Links zu den Ombudsmännern, Aufsichts- und Beschwerdestellen. Dies hilft zwar nicht bei der Unterscheidung SPAM / HAM, aber da ich gerade dabei bin, die Vertrauenswürdigkeit einer Mail zu untersuchen, schauen ich es mir näher an.

<a href=“https://email-edg.paypal.com/r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/5CA3Y1/Y6/h“ target=“_blank“ style=color:#0079c1″ >http://www.ecc-net.info/ECCnet/adr-eccnet_germany.html</a>.

Hier wird ein Link zu einem fremden Server in einer Weise gesetzt, wie er für betrügerische Mails – gerade in Bezug auf PayPal – üblich ist. Eine solches Verfahren sollte eine Mail eines Finanzdienstleister nicht verwenden, denn es ist sehr schwer dieses Verhalten durch ein Programm in Gut oder Böse einzuteilen. Wenn ich solche Links sehe, fürchte ich die Mail wie der Teufel das Weihwasser. Hier geht es zwar nicht zum angeblichen PayPal Login, doch wie soll eine Scan-Software dies erkennen?

Die Hinweise zu den Kontaktdaten der Ombudsmänner und Beschwerdestellen über die eigene Seite zu leiten, halte ich für ungeschickt. Wenn diese Links nicht ausschließen, dass ich die Umleitung einem bestimmten Nutzer zuordnen kann, ist die noch eine Nummer ungeschickte. Wenn PayPal mich anhand der Links identifizieren und verfolgen kann, ob mich die Kontaktdaten des Ombudsmannes oder einer Beschwerdestellen interessieren, ist dies meines Erachtens nicht im Sinne eines Datenschutzes. Die Umlenkung des Aufrufs über eigene Server und der kryptische Pfade der Form /r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/ZB695F/Y6/h lassen dies nicht unmöglich erscheinen. Eine vertrauensbildende Maßnahme sind diese Links nicht. Diese Links sollten daher geändert werden. Selbst wenn ein Nutzer nicht identifiziert werden kann, dann wäre es, wenn er gleichzeitig bei PayPal angemeldet ist, über die IP-Adresse möglich, diese Umleitungen zuzuordnen.

Hier der Auszug aus den AGB, wie er in der E-Mail steht:

14.2 ECC-Net, Ombudsmann für Finanzfragen und CSSF. Wenn Sie sich mit Ihrer Beschwerde an eine Schlichtungsstelle oder die Bankaufsicht wenden möchten, stehen Ihnen die folgenden Institutionen zur Verfügung:

  1. ECC-Net (Netzwerk der Europäischen Verbraucherzentren)

    Weitere Informationen und Kontaktdaten erhalten Sie unter <a
    href=“https://email-edg.paypal.com/r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/5CA3Y1/Y6/h“ target=“_blank“ style=“color:#0079c1″>http://www.ecc-net.info/ECCnet/adr-eccnet_germany.html</a>
    .

  2. Ombudsmann für Finanzfragen (UK Financial Ombudsman Service)

    Sie können den Service des deutschsprachigen Ombudsmannes für Finanzfragen in Großbritannien anrufen, um eine Beschwerde gegen uns=
    vorzubringen und entscheiden zu lassen. Weitere Informationen und Kontaktdaten erhalten Sie unter: <a href=“https://email-edg.paypal.com/r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/ZB695F/Y6/h“ target=“_blank“ style=“color:#0079c1″
    >http://www.financial-ombudsman.org.uk/accessibility/german/Ihre_Beschwerde_und_der_Ombudsmann.htm</a>;
    .

  3. CSSF (Commission de Surveillance du Secteur Financier)

    Die CSSF ist die für die Bank- und Finanzdienstleistungen zuständige Aufsichtsbehörde in Luxemburg. Sie können Ihre Beschwerde an die folgende Adresse senden: 110 Route d’Arlon, L-2991 Luxemburg. Weitere Informationen und Kontaktdaten erhalten Sie unter <a
    href=“https://email-edg.paypal.com/r/EKDHP48/NSE1V4/RX98FP/PR8Y8K/IYQC17/Y6/h“ target=“_blank“ style=“color:#0079c1″ &gt>http://www.cssf.lu/index.php?&L=1</a>
    .

(Markieren und entfernen der Links von mir!)

In den Online verfügbaren AGB sind diese Umleitungen nicht enthalten. Vielleicht hat hier nur die Software zu Erstellung der E-Mails zugeschlagen. Aber bei der Software und dem Tausch der Verweise hat sich sicher jemand etwas gedacht – oder auch nicht.

Der Sicherheit – gerade gegen betrügerische Mails – würde PayPal dienen, wenn es völlig auf Bildchen in den Mails verzichten und einfache, sprechende Verweise verwenden würde.

Received Einträge im Header

Nichts aufregendes die Domain, die die Mail ausgesandt hat, gehört zu PayPal. Darauf sollte man sich aber nicht allein verlassen. In dem Moment, in dem ein PayPal-Rechner zu einem Bot-Netz gehört, weil der Mitarbeiter sich einen Trojaner eingefangen hat, kann die Mail auch aus dem „richtigen“ Netz kommen.

Fazit

Die Mail ist echt. Aber PayPal könnte einiges tun, um sie den Fraud Mails nicht zu ähnlich zu machen. Also schaue ich mir die Mail der Lesbarkeit wegen noch im Browser-Fenster an.

Screen Shot der Paypal E-Mail zur Ankündigung neuer AGB
PayPal: Ankündigung neuer AGB

Liebe Scammer, so muss eine echte PayPal E-Mail im HTML-Format aussehen.

Liebes PayPal, noch sicherer geht es mit signierten und verschlüsselten Mails. Signieren allein wäre schon eine Hilfe.

4 Kommentare

  1. Paypal hat mir folgendes geschrieben:
    „Ich danke Ihnen, dass Sie uns auf eine betrügerische E-Mail aufmerksam machen.
    Durch Ihre Hilfe können wir unser System noch sicherer gestalten. Die betrügerische E-Mail kann von Ihnen gelöscht werden.“
    Nachdem ich mich über einen inkompletten Satz (unter dem letzten Punkt 3.4) gewundert habe und nachfragte.

    1. Upps, das würde bedeuten, dass meine Analyse verkehrt wäre und die Mail doch zur Kategorie spam / scam gehört? Nein, hier handelt es sich wohl um verschiedene Mails.

Kommentare sind geschlossen.