In de mail, die is voorzien van het logo van PayPal, staat dat in de afgelopen periode „enige inlogpogingen hebben plaatsgevonden op uw PayPal-account vanuit een buitenlands ip-adres.”De mail, waarin verschillende taalfouten staan, raadt de ontvanger aan zo spoedig de PayPalwebsite te bezoeken „om uw identiteit te verifiëren en uw limieten te verwijderen.” Dit zou ertoe moeten leiden dat anderen geen toegang tot de account kunnen krijgen. Een link in de mail leidt een bezoeker naar een site die vraagt om de persoonlijke inloggevens.

De officiële website van PayPal adviseert ontvangers verdachte mail naar een speciaal mailadres te sturen. Desgevraagd laat het Amerikaanse PayPal weten de betreffende mail niet zelf verstuurd te hebben. „De website waarnaar deze mail verwijst, is niet van ons.”

PayPal is bezig met een onderzoek naar deze mail en neemt verschillende stappen om gebruikers ervan op de hoogte te stellen, laat het bedrijf weten in reactie op de verdachte mail.

Deze poging om persoonlijke inloggevens te achterhalen, is een schoolvoorbeeld van wat phishing wordt genoemd. Phishers (van fishing, hengelen) zijn criminelen die grote aantallen berichten versturen die afkomstig lijken van een betrouwbare organisatie. Doel is de ontvanger persoonlijke informatie, zoals inlogcodes, te ontfutselen, of spyware te installeren op de pc om zo bij de banktegoeden van het slachtoffer te komen.

Alleen al in de Verenigde Staten dupeerden phishers in 2007 3,6 miljoen mensen en ’verdienden’ ze daarmee 3,2 miljard dollar (2,2 miljard euro), aldus een onderzoek van adviesorganisatie Gartner. Exacte cijfers over de schade in Nederland zijn er niet. Wel bleek uit eerder onderzoek van Gartner dat 3 procent van de phishingsites op Nederlandse servers staat.

PayPal waarschuwt ontvangers van de mail geen persoonlijke of financiële informatie in te voeren op de nepsite. „Mocht je deze gegevens toch hebben ingevoerd, log dan onmiddellijk in op je PayPalaccount en verander je wachtwoord”, aldus het bedrijf, dat wereldwijd meer dan 100 miljoen klanten heeft.

Het lijkt erop dat het versturen van de nepmail wel wat oplevert, schrijft internetvirusdeskundige Roel Schouwenberg op de website www.viruslist.com. Dezelfde mail is ook een week eerder al verstuurd. „Dit duidt erop dat die eerste waarschijnlijk succesvol was. Waarom zou je anders dezelfde mail nog eens sturen?”

PayPal is een populair doelwit voor phishers. Uit onderzoek van de Britse virusbestrijder Sophos bleek vorig jaar september dat 21 procent van alle phishingberichten uit naam van PayPal of de veilingsite eBay wordt verstuurd.

PayPal zegt er alles aan te doen om de gevolgen van phishing zo klein mogelijk te houden. Zo kocht eBay, eigenaar van PayPal, eind januari het Israëlische beveiligingsbedrijf Fraud Sciences voor een bedrag van 115 miljoen euro.

Iedereen die online bankiert of betaalt, kan te maken krijgen met phishers die het hebben gemunt op banktegoeden. Alertheid kan ertoe leiden dat zij achter het net vissen.