PayPal-Betrugswelle: Kriminelle nutzen Gastzahlung und Phishing-Mails

Sicherheitsbehörden und Verbraucherschützer schlagen Alarm: Kriminelle nutzen eine Schwachstelle der Gastzahlungs-Funktion aus, um unberechtigte Abbuchungen von Girokonten vorzunehmen. Parallel dazu kursiert eine professionelle Phishing-Welle mit fingierten MediaMarkt-Rechnungen.

Die Sicherheitslücke der Gastzahlung

Das Kernproblem liegt in der Gastzahlungs-Funktion von PayPal. Dieser Dienst erlaubt Online-Shoppern Einkäufe ohne eigenes PayPal-Konto. Nötig sind nur Name, Adresse und eine gültige IBAN. Die Abrechnung erfolgt per Lastschrift.

Angesichts der raffinierten Phishing-Methoden auf Mobilgeräten ist ein Basisschutz für das Handy unerlässlich. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Datenmissbrauch absichern. So sichern Sie Ihr Smartphone in wenigen Minuten ab

Ermittlungsbehörden wie die Polizei Hamburg und das Landeskriminalamt Nordrhein-Westfalen warnen seit Monaten vor einer entscheidenden Schwachstelle: Die Gastzahlung funktioniert auch dann, wenn für die angegebene IBAN bereits ein reguläres PayPal-Konto existiert. Eine Sicherheitsabfrage über die PayPal-App des Kontoinhabers findet nicht statt. Die Transaktion erscheint zudem nicht in der Übersicht des registrierten Accounts.

Kriminelle nutzen für diese Masche IBAN-Daten aus früheren Datenlecks oder aus dem Darknet. Sie bestellen in Online-Shops, die PayPal-Gastzahlungen akzeptieren, und lassen die Beträge vom Konto der Opfer einziehen. Die Betroffenen bemerken den Diebstahl oft erst Tage oder Wochen später bei der Prüfung ihrer Bankauszüge.

Hochprofessionelle Phishing-Welle seit Mitte Mai

Am 18. Mai 2026 identifizierten Sicherheitsanalysten von Watchlist Internet eine neue, besonders gefährliche Phishing-Kampagne. Täuschend echt gestaltete E-Mails im Design von PayPal behaupten, der Empfänger habe eine Zahlung von 1.290 Euro an MediaMarkt geleistet.

Die Mails enthalten detaillierte Angaben wie Transaktionscodes, Rechnungsnummern und ein konkretes Bestelldatum – häufig der 14. Mai 2026. Ein prominent platzierter Button soll angeblich die Stornierung ermöglichen. Der Link führt jedoch auf eine gefälschte Website, die das PayPal-Login-Portal exakt kopiert.

Die Hintermänner zielen nicht nur auf Passwörter ab. Laut Berichten des Verbraucherschutzforums vom 16. Mai 2026 versuchen sie gezielt, Sicherheits-Codes und Daten zur Zwei-Faktor-Authentifizierung abzugreifen. Damit erhalten sie trotz aktivierter Sicherheitsvorkehrungen vollen Zugriff auf die echten Konten.

Kontext: Datenlecks und systemische Risiken

Bereits im Februar 2026 musste PayPal einräumen, dass durch einen Softwarefehler in einer Anwendung für Unternehmenskredite sensible Kundendaten ungeschützt waren. Zwischen Juli und Dezember 2025 waren Namen, E-Mail-Adressen, Telefonnummern und teilweise Sozialversicherungsnummern für Unbefugte zugänglich.

Diese Daten bilden die Grundlage für Credential Stuffing: Angreifer versuchen automatisiert, mit erbeuteten Zugangsdaten in verschiedene Accounts einzudringen. Die aktuellen Phishing-Attacken nutzen diese personalisierten Informationen, um Opfer direkt mit korrekten Stammdaten anzusprechen.

Die aktuelle Lage erinnert an die massiven Störungen im August 2025. Damals blockierten deutsche Kreditinstitute wie die DZ Bank und die BayernLB PayPal-Transaktionen im Wert von mehreren Milliarden Euro. Grund war ein Ausfall der Betrugserkennungssysteme bei PayPal, der zu Millionen unverschlüsselter Lastschriften führte.

Was Verbraucher jetzt tun sollten

Die wichtigste Schutzmaßnahme gegen den Missbrauch der Gastzahlung: Kontrollieren Sie regelmäßig Ihre Girokonto-Umsätze. Da die Abbuchungen nicht in der PayPal-App auftauchen, ist die Bankübersicht die einzige verlässliche Quelle.

Bei einer unberechtigten Lastschrift haben Kunden das Recht, dieser gegenüber ihrer Bank zu widersprechen. Bei nicht autorisierten Lastschriften ist eine Rückbuchung innerhalb von 13 Monaten möglich. Experten raten, dies unmittelbar nach Entdeckung zu tun und parallel Strafanzeige zu erstatten.

Bei Phishing-Mails gilt: Klicken Sie niemals auf Links in unaufgeforderten Nachrichten. Rufen Sie die offizielle PayPal-Website manuell im Browser auf oder öffnen Sie die App direkt auf dem Smartphone.

Um sich vor Sicherheitslücken wie der missbräuchlichen Gastzahlung zu schützen, ist die korrekte Einrichtung des eigenen Kontos entscheidend. Das kostenlose PayPal-Startpaket bietet eine bebilderte Schritt-für-Schritt-Anleitung sowie Profi-Tipps für maximale Sicherheit beim Bezahlen. Gratis-Ratgeber für sicheres PayPal jetzt herunterladen

Für einen erhöhten Schutz empfehlen Sicherheitsexperten den Einsatz physischer Sicherheitsschlüssel (U2F/FIDO2). Diese Hardware-Sticks bieten deutlich mehr Schutz als SMS-Codes oder App-Bestätigungen.

Ausblick

Die Sicherheitsvorfälle im Mai 2026 zeigen die anhaltenden Herausforderungen für digitale Zahlungsdienstleister. Die Bequemlichkeit von Gastzahlungen fördert zwar den Online-Handel, schafft aber neue Angriffsflächen. Experten erwarten, dass die Finanzaufsicht und europäische Regulierungsbehörden den Druck auf Zahlungsabwickler erhöhen werden.

Bis zu einer systemseitigen Lösung bleibt die Wachsamkeit der Verbraucher entscheidend. Die Kombination aus technischer Prävention und kritischer Prüfung eingehender Kommunikation ist derzeit der einzige wirksame Schutz. Der Vorfall unterstreicht zudem die Notwendigkeit einer engeren Kooperation zwischen Fintech-Unternehmen und dem klassischen Bankensektor.

de | wissenschaft | 69382703 |