Wir haben Geburtstag und Sie haben Grund zum Feiern, PayBack verdoppelt Ihre Punkte! von PAYBACK.de Service ([email protected])
Nach wie vor gibt es tägliche Phishing – E-Mails, die angeblich von Payback stammen und eine Verdopplung der Punkte versprechen. Fast täglich ändern die Betrüger hierbei die verlinkte Domain, immer wieder auch die angebliche Absenderadresse.
Klicken Sie nicht auf den Link! Geben Sie nicht Ihre Zugangsdaten ein! Auch wenn die E-Mail auf den ersten Blick nach Payback aussieht, so handelt es sich doch um eine gefälschte E-Mail und Ihre Daten würden nicht an Payback, sondern an unbekannte Dritte übermittelt!
Hier das Beispiel vom Sonntag, den 23. Oktober 2016:
Betreff: Wir haben Geburtstag und Sie haben Grund zum Feiern, PayBack verdoppelt Ihre Punkte!
Absender: PAYBACK.de Service ([email protected])Zum unserem Geburtstag schenken wir Ihnen ganz viele Extra-Punkte!
Keine Bilder? Klicken Sie hier! Ihre PAYBACK Kundenkonto: (E-Mail-Adresse)
Wir lassen Sie hochleben!Wir werden 15 Jahre alt und das muss gefeiert werden!
Wir verdoppeln Ihren Punktestand, um Sie – unsere treuen Punktesammler – angemessen zu feiern!!
Über den folgenden Teilnahme-Link können Sie Ihre Punkteverdopplung beantragen:
Klicken Sie hier um Ihre Punkte zu verdoppeln!
Wir wünschen Ihnen viel Spaß mit Ihren Extrapunkten,Isabell Bach
PAYBACK KundenservicePayBack
Ihre große Geburtstags-Punkte-Party
Wie im Screenshot zu sehen ist, stammt die E-Mail diesmal angeblich von news.punkte-aktion.online. In den letzten beiden Monaten gab es hier z. B. auch schon
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
als angebliche Absender. Echte E-Mails von Payback würden aber ausschließlich von
gesendet werden (wobei auch das gefälscht werden könnte).
Die verlinkte Domain ändert sich relativ häufig. Diesmal ist die Domain www.paiyback.site verlinkt, wobei im Link Ihre E-Mail-Adresse enthalten ist. Dies nutzen die Betrüger vermutlich, um Ihre E-Mail-Adresse zu verifizieren. Klicken Sie daher den Link nicht an, sonst wissen die Betrüger, dass Ihre E-Mail-Adresse gelesen wird und Sie bekommen evtl. viel mehr SPAM oder betrügerische E-Mails.
In früheren gefälschten Payback-Nachrichten kamen z. B. auch folgende Domains vor:
- www.paysback-deutsch.site
- www.payback-aktion.website
- www.paidback.club
- www.paidback.pw
- www.paypack.space
- www.peyback.xyz
- www.pay6ack.site
- www.pay1back.online
- www.pay1back.xyz
- www.payback2.site
- www.paytack.xyz
Sie merken etwas? Die Domains klingen immer so ähnlich wie Payback, es ist aber nicht payback.de.
Würde man z. B. für die aktuelle paiyback.site nachsehen, ob diese Seite zu Payback gehört, würde folgendes als Inhaber erscheinen:
Name: Protection of Private Person
Organization: Privacy Protection
Address: PO box 87, REG.RU Protection Service
City: Moscow
Payback ein russisches Unternehmen? Natürlich nicht! Hier soll der echte Inhaber verborgen werden. Das hätte Payback sicher nicht nötig!
Die verlinkte Seite würde wie ein Login-Formular von Payback aussehen:
Payback
Jetzt einloggen
Login mit Passwort
E-Mail oder Kundennummer
Passwort
Einloggen
Geben Sie keine Daten ein! Es handelt sich um eine gefälschte Seite! Alle Ihre Eingaben würden an unbekannte Dritte übermittelt!
Wenn man sich den Quellcode der Seite anschaut, dann sieht man, dass die Daten teilweise von einer IP-Adresse 185.11.146.118 geladen werden. Komisch, dass diese IP-Adresse den gleichen Inhalt zeigt:
Auch hier handelt es sich nicht um eine IP-Adresse von Payback. Die IP-Adresse ist derzeit einem Unternehmen aus der Ukraine zugewiesen:
inetnum: 185.11.146.0 – 185.11.146.255
netname: BlazingFast
descr: BlazingFast LLC
country: NL
Payback ein Unternehmen aus den Niederlanden (siehe country) oder der Ukraine? Natürlich nicht!
Wenn man dann weiter schaut, wohin die Daten gesendet werden, dann taucht die Adresse www.loginpage.online auf. Nach dem Absenden würde sich zwar die echte Payback-Seite darstellen, die Daten aus dem Formular würden aber an www.loginpage.online/process.php gesendet:
form_tools_form_id=2
model.alias=(E-Mail-Adresse)
password=(Passwort)
__checkbox_usePermLogin=true
usePermLogin=true
token=-5289092460888718616
did=714002
page_id=713416
language
cid=-7965370402652263721
secToken
Die Domain www.loginpage.online gehört natürlich auch nicht zu Payback. Auch hier soll uns der echte Inhaber verschwiegen werden:
Name: WhoisGuard Protected
Organization: WhoisGuard, Inc.
City: Panama
Payback schreibt zu den Phishing-Mails folgendes:
Gerne möchten wir die Gelegenheit nutzen, Ihnen heute eine wichtige Zusatzinformation mitzugeben: Es sind derzeit gefälschte E-Mails im Umlauf, die angeblich von PAYBACK stammen. Diese E-Mails werden wahllos einem größeren Personenkreis gesendet – unabhängig davon, ob der Empfänger PAYBACK Mitglied ist oder nicht. Wir bitten Sie, in solchen Phishing-E-Mails keine Links anzuklicken und auch auf diese E-Mails nicht zu antworten.
PAYBACK verschickt lediglich von den beiden folgenden Adressen Kommunikation an unsere Kunden* [email protected]
* [email protected]Wenn es sich um einen anderen Absender handelt, stammt die E-Mail nicht von PAYBACK.
Sollten Sie sich unsicher sein, dann wenden Sie sich bitte an:
- Telefonisch erreichen Sie den Kundenservice unter der Rufnummer 089 / 540 20 80 20.
- Per Fax unter der Nummer 0180 / 510 511 0.
- Per Kontaktformular über die Internetseite www.PAYBACK.de/kontakt.
- Sie können gerne auch an die folgende Adresse einen Brief schicken:
PAYBACK Service Center
Postfach 23 21 02
85330 München Flughafen
Haben Sie Daten eingegeben? Dann empfehle ich:
- Melden Sie sich bei Payback an und ändern Sie sofort Ihr Passwort.
- Fehlen Ihnen Punkte? Dann wenden Sie sich persönlich an Payback (siehe oben).
- Ändern Sie das Passwort auch bei allen anderen Diensten (wie Amazon, eBay, PayPal, Ihrer E-Mail-Adresse, …), bei denen Sie das gleiche Passwort verwenden.
- Seien Sie vorsichtig bei E-Mails. Klicken Sie lieber keine Links an und öffnen Sie keine Anlagen. Rufen Sie lieber die Ihnen bekannte Internetseite des Absenders im Internet-Browser „von Hand“ auf (also durch manuelle Eingabe der Adresse in der Adresszeile) und schauen Sie dann nach, ob das Unternehmen die gleiche Information auch nach dem Login in der echten Seite anzeigt.