New York - Der Brief sieht echt aus: Oben prangt das Signet des Unternehmens, darunter ein blauer Balken im genau richtigen Farbton. Was dann jedoch folgt, riecht nach Betrug: Die bekannte Firma Paypal, will uns diese Mail weismachen, bittet uns darum, unseren Nutzer-Account auf den letzten Stand zu bringen.

Zu diesem Zwecke solle man doch bitte schön seine Mail-Adresse und seine Kreditkartendaten in ein hübsch gestaltetes Formular eingeben. Der Absender klingt Vertrauen erweckend: "Paypal Bulletin".

Paypal ist eine Tochterfirma von Ebay und wickelt für das Auktionshaus Zahlungen ab. Dass die Daten, die man über die Fake-Mail versendet, wirklich bei Paypal landen, dürfte so gut wie ausgeschlossen sein. Noch steht die Antwort auf eine entsprechende Anfrage bei Paypal aus, doch allein die Masche deutet schon auf einen frechen Betrugsversuch hin:

• Der Brief erreichte beispielsweise die Redaktion von SPIEGEL ONLINE gleich massenweise, unter zahlreichen Adressen. Nicht alle von diesen sind tatsächlich existenten Adressaten zuzuordnen. Das riecht nach einem Bug: Die Adressen sind wohl automatisch generiert; erst wenn man darauf antwortet, erfährt der Versender, ob sie funktionieren oder nicht. Im schlimmsten Fall erfährt er dann ganz nebenbei auch die Kreditkartennummer.
• Kein seriöses Unternehmen, das mit Finanzdienstleistungen im Internet zu tun hat, fragt Kreditkartendaten ab, ohne diese Abfrage mit einem sichernden Protokoll zu schützen. E-Mail ist der denkbar schlechteste Weg, Klardaten zu versenden. Die Mail gibt zwar an, die Daten würden mit einem 128-Bit-Schlüssel gesichert. Gleichzeitig wendet sie sich aber zum Teil an User, die mit Sicherheit nicht als Kunden registriert sind: Das würde an ein Wunder grenzen, denn dann wäre die automatische Leserbrief-Beantwortung von SPIEGEL ONLINE Ebays größter Kunde.
• Die Anfrage steht im offenen Widerspruch zu den Sicherheitsrichtlinien von Paypal. Das amerikanische Unternehmen legt auf diese allerhöchsten Sicherheitsstandards Wert. Auf seiner Website warnt es explizit vor E-Mails, die auch nur nach dem Usernamen eines Mail-Empfängers fragen. Alle die User-Accounts betreffenden Angaben sollten nur über die Website gemacht werden - und eben nicht per E-Mail.

Vor der Beantwortung der Paypal-Mail kann also nur gewarnt werden. Für die meisten User ist das selbstverständlich: Ein Unternehmen, das solche Daten wirklich per E-Mail bei seinen Kunden abfragte, hätte allenfalls eine umgehende Kündigung verdient.

Doch auch hier zieht das Spam-Prinzip: Es reicht den Versendern, wenn nur einige Promille der Angeschriebenen antworten, um massive Schäden zu verursachen und damit erkleckliche Profite zu erwirtschaften. Im spezifischen Fall würde der Spammer sogar gleich dreimal verdienen: an der generierten Adresse, an Einkäufen via Paypal und an Geldabhebungen via Kreditkarte.

Die Chancen auf einen "Erfolg" stehen im Falle der angeblichen Paypal-Mail nicht schlecht: Kein Web-Finanzabwickler dürfte in Deutschland mehr registrierte Kunden haben. Damit steigt die Gefahr, dass sich die Angespammten tatsächlich angesprochen fühlen. Noch mal: Den Tipper auf die "DEL"-Taste sollte man sich in solchen Fällen zum Reflex machen.

PS: Eine erste Welle solcher PayPal-Mails kursierte zwischen dem 17. und 23. Mai.

Im Wortlaut: Die angebliche Paypal-Mail sowie die entsprechenden Sicherheitsrichtlinien von Paypal.

Angebliche Paypal-Mail, mindestens seit dem 8. Juni im Umlauf:

"Dear Paypal Customer

This e-mail is the notification of recent innovations taken by Paypal to detect inactive customers and non-functioning mailboxes.

The inactive customers are subject to restriction and removal in the next 3 months.

Please confirm your email address and Credit or Check Card information using the form below:"