Ich bin kein PayPal-Kunde. Dennoch soll ich mich unter einer Adresse von Taiwan mit meinen Kontodaten anmelden:

Wir benötigen eine Bestätigung, dass Ihr Konto wurde noch nicht gestohlen oder gehackt. Ihr Konto wurde noch nicht ausgesetzt oder eingefroren.

Das Deutsch ist nicht ganz astrein, das Ziel der Kampagne aber klar: PayPal-Kunden sollen zur Preisgabe ihrer Zugangsdaten bewegt werden, um ihre Identität zu übernehmen.

Dieser Angriff ist eher (ganz) dumm und leicht zu durchschauen.

PayPal ist ein Tochterunternehmen von eBay, ihre europäische Zweigstelle sitzt in Luxemburg. Ein solches Unternehmen agiert nicht von Taiwan aus, weil die physikalische Entfernung zu viele technische Gefahren birgt, und eine .tw-Adresse ist viel zu alarmierend, als dass das Unternehmen das Risiko ihrer Verwendung eingehen würde.
 

 
Zur Rasterfahndung werden mindestens zwei Datentabellen anhand von definierten Kriterien gegeneinander abgeglichen, um eine Teilmenge von Datensätzen mit Übereinstimmungen zu erlangen. Genau dieses Prinzip haben Forscher von der University of Texas in Austin auf soziale Netzwerke angewendet: Untersucht wurden dabei insbesondere die Foto-Website Flickr und der Kurznachrichtendienst Twitter. Den Wissenschaftlern gelang es dabei, ein Drittel der untersuchten Nutzer mit Accounts beider Dienste zu identifizieren. Dazu reichte es aus, nach erkennbaren Mustern in anonymisierten Netzwerkdaten zu suchen. (1)

Social Engineering und Kriminalistik haben dieselben Wurzeln und Methoden. Nur dass die Kriminalisten nicht alles dürfen, was die anderen hemmungslos nutzen.
 

 
(1) Erica Naone, Anonym war gestern, Technology Review 11.05.2009