Hacker infizieren WordPress-Seiten mit gefälschtem PayPal-Plugin

Wie das US-amerikanische IT-Unternehmen Akamai in einem aktuellen Blogpost erklärt, sei ihm eine neuartige Phishing-Methode aufgefallen, welche auf WordPress-Seiten kursiert. Die Hacker bauen dabei ein sogenanntes Phishing-Kit auf einer gutartigen WordPress Seite ein. Statt des gewöhnlichen PayPal-Logins landen Kunden auf der gefälschten Seite. Diese versucht dabei auf dreiste Art, möglichst viele persönliche Daten zu erschleichen. Mit den erbeuteten Daten wäre, bei Erfolg, alles von Identitätsdiebstahl bis Geldwäsche im Namen der Opfer möglich.

So geht das Phishing-Kit vor

Um sich Zugriff zu der WordPress Seite zu verschaffen, nutzen die Hacker zunächst schwache Passwörter aus. Hierbei werden simple und bekannte Passwort-Login-Paare mittels Software einfach durchprobiert, bis es einen Erfolg gibt. Über ein installiertes Datei-Management-Plugin wird dann das PayPal-Phishing-Kit auf die eigentlich harmlose Website aufgespielt.

Kunden, die auf dieser Website dann via PayPal bezahlen wollen, werden zunächst um die Eingabe eines Captcha und dann ihrer Login-Daten gebeten. Wogegen aber den meisten Hackern bereits diese Eingaben genügen würden, um im Nachgang mit dem PayPal Zugriff ihr Unwesen zu treiben, geht es bei dieser Masche noch sehr viel weiter.

Fake-PayPal fordert große Menge Daten zur Kontensicherung ein

Denn nach erfolgtem Login warnt das Fake-PayPal plötzlich, dass es ungewöhnliches Verhalten festgestellt habe. Da nun die wenigsten damit rechnen, bei einem Betrugsversuch auch noch gewarnt zu werden, weckt dies zusätzliches Vertrauen. Die Masse an Daten, die danach aber abgefragt wird, sollte wirklich jeden Internetnutzer misstrauisch stimmen. 

Da sollen nicht nur Kreditkartennummer, Ablaufdatum und Sicherheitscode eingeben werden, sondern auch die vollständige Wohnadresse, die Sozialversicherungsnummer sowie die Kreditkarten-Pin. Darüber hinaus fordert das vermeintliche PayPal zum angeblichen Schutz des Kontos noch einen externen E-Mail-Account zu verknüpfen und ein Foto von sich sowie einem Ausweisdokument hochzuladen. 

Gibt ein Opfer diese Daten ein, gibt er oder sie damit praktisch seine gesamte Identität preis. Denn mithilfe des Fotos und Ausweisdokumentes können die Betrüger im Nachgang sogar Konten mit der geklauten Identität eröffnen.

So schützen Sie sich

Der Auftritt des gefälschten PayPal wirkt hochprofessionell und ist kaum vom Original zu unterscheiden. So weist Akamai darauf hin, dass die Übeltäter über die Konfigurationsdatei „.htaccess“ sogar den URL der gefälschten Seite so programmiert haben, dass diese nicht auf „.php“ endet. Um nicht entdeckt zu werden, gleich das Phishing-Kit zudem zugreifende IP-Adressen mit bekannten Sicherheitsunternehmen ab. Die Möglichkeiten, den Betrug als Laie zu erkennen, sind also sehr begrenzt. Generell sollte man jedoch immer stutzig werden, wenn man auf einer Seite, die nicht direkt PayPal ist, nach ungewöhnlich vielen PayPal-bezogenen Informationen gefragt wird. 

Sollte das eigene PayPal-Konto tatsächlich kompromittiert sein, findet sich diese Information auch im echten PayPal-Account. Bei Unsicherheit gilt also: Am besten direkt über die App und einen gespeicherten Link auf der echten PayPal-Seite einloggen und sich versichern, dass dort alles beim Rechten ist. 

Anzumerken ist, dass Akamai den Betrug ausschließlich auf englischsprachigen WordPress Seiten identifizierte. Auch die Fragen nach einer Sozialversicherungsnummer und nach staatlich ausgestellten Ausweisdokumenten deuten darauf hin, dass die Hacker derzeit nur im US-Raum agieren. Ob es vergleichbare Maschen hierzulande gibt, ist derzeit unbekannt.