PayPal wird zur Phishing-Falle: Kriminelle nutzen eigene Funktionen

** Sicherheitsforscher schlagen Alarm: Die Angriffe sind so raffiniert, dass selbst erfahrene Nutzer kaum eine Chance haben, sie zu erkennen.

Online-Shopping und Banking per App sind praktisch, doch die neuen Betrugsmaschen zeigen, wie schnell man ins Visier von Kriminellen geraten kann. Dieser kostenlose Ratgeber führt Sie Schritt für Schritt durch die sichere Einrichtung und Nutzung von PayPal, inklusive aller Details zum Käuferschutz. PayPal Startpaket jetzt kostenlos herunterladen

Gefährliche Vertrauensmasche

Die neue Masche ist perfide. Statt gefälschte E-Mails von dubiosen Absendern zu verschicken, nutzen Kriminelle PayPals eigene Infrastruktur. Sie verschicken über die offiziellen Funktionen „Rechnung stellen", „Geld anfordern" oder „Abonnement" Nachrichten, die mit den echten digitalen Signaturen des Zahlungsdienstleisters versehen sind. Das berichten mehrere Sicherheitsfirmen Anfang Mai 2026.

Das Tückische: Diese Nachrichten passieren alle Sicherheitsfilter. Sie tragen offizielle Verifizierungs-Haken – die sogenannten „Blue Ticks" – und stammen von echten PayPal-Servern. Für herkömmliche Spam-Filter sind sie unsichtbar.

Der Angriff im Detail

Die Sicherheitsfirma Ironscales veröffentlichte am 7. Mai 2026 eine detaillierte Analyse einer konkreten Kampagne. Eine professionelle Dienstleistungsfirma erhielt eine angebliche Stornierungsgebühr von 50 Euro für eine Transaktion mit einem „kissimmee mobile notary public". Die E-Mail kam von der echten PayPal-IP-Adresse 173.0.84.6.

Weil die Nachricht durch PayPals eigene Systeme lief, bestand sie alle Sicherheitsprotokolle: SPF, DKIM und DMARC. Die Authentifizierungsbewertung erreichte die Höchstpunktzahl von 100 – das maximal mögliche Vertrauensrating. Sämtliche Links in der E-Mail führten zu echten PayPal-Domains. Für automatisierte Scanner war der Betrug nicht erkennbar.

Der entscheidende Trick: Die „Antwort an"-Adresse war nicht auf PayPal, sondern auf eine externe Händler-Domain gesetzt. Wer auf die unerwartete 50-Euro-Gebühr reagierte und antwortete, landete direkt beim Angreifer.

Vom Kleinstbetrag zur großen Rechnung

Die Angreifer werden immer kreativer. Verbraucherschützer aus Texas berichten von einer „Penny-Zahlungs"-Taktik. Betrüger überweisen Kleinstbeträge von einem Cent auf zufällige Konten. Das löst automatisch eine echte PayPal-Benachrichtigung aus.

Im „Notiz an Kunden"-Feld dieser legitimen Zahlungen verstecken die Kriminellen alarmierende Nachrichten. Sie behaupten, ein großer unbefugter Kauf von knapp 1.000 Euro sei entdeckt worden oder das Konto sei kompromittiert. Ziel ist Panik. Eine gefälschte „Kundendienst"-Telefonnummer in der Notiz soll die Opfer zum Anruf bewegen.

Der Telefon-Trick: Callback-Phishing

Das eigentliche Ziel vieler Kampagnen ist „Callback-Phishing". Statt Zugangsdaten über eine Fake-Loginseite zu stehlen, wollen die Betrüger ihre Opfer ans Telefon bekommen. Wer die angegebene Nummer wählt, erreicht einen falschen PayPal-Mitarbeiter.

Die Masche ist dreist: Die Betrüger setzen die Opfer unter Druck. Sie sollen Fernwartungssoftware installieren oder sensible Bankdaten „verifizieren", um eine nicht existierende Transaktion zu stoppen. In manchen Fällen verlangen die Kriminellen eine angebliche „Kontogebühr" oder fordern Überweisungen auf ein „sicheres" Krypto-Wallet. Sicherheitsforscher von Malwarebytes warnen: Diese Telefonate ermöglichen es den Betrügern, die Zwei-Faktor-Authentifizierung zu umgehen – indem sie die Opfer dazu bringen, Einmalcodes vorzulesen oder Push-Benachrichtigungen zu bestätigen.

Warum die Abwehr versagt

Herkömmliche Sicherheitslösungen sind gegen diese Angriffe machtlos. Sie sind darauf ausgelegt, gefälschte Domains und bösartige URLs zu blockieren. Wenn der Absender aber ein vertrauenswürdiges Unternehmen wie PayPal ist und die Links zu legitimen Seiten führen, greifen diese Schutzmechanismen nicht.

Die Angreifer nutzen Verteilergruppen und programmatisch generierte Rechnungen, um tausende Nutzer gleichzeitig zu erreichen. Dieser „phishing-freie" Ansatz – in der ersten Phase wird keine einzige echte Phishing-Seite verwendet – macht die Kampagnen extrem langlebig.

Da herkömmliche Filter bei solch raffinierten Angriffen oft versagen, ist der persönliche Schutz Ihres Endgeräts umso wichtiger. Dieser Gratis-Ratgeber zeigt Ihnen 5 einfache Sofort-Maßnahmen, mit denen Sie Ihr Android-Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. Kostenlosen Sicherheits-Ratgeber für Android anfordern

Was Nutzer jetzt tun sollten

PayPal betont, dass man die Plattformmissbrauch mit manuellen Untersuchungen und automatischen Risikokontrollen bekämpft. Doch der beste Schutz liegt beim Nutzer selbst. Die Devise der Sicherheitsexperten: Niemals auf den Absendernamen oder das Logo verlassen.

Wer eine verdächtige Rechnung oder Benachrichtigung erhält, sollte keine Links anklicken und keine Telefonnummern aus der Nachricht wählen. Stattdessen empfiehlt sich der direkte Weg: Einen neuen Browser-Tab öffnen, sich über die offizielle Website oder App einloggen und den Transaktionsverlauf prüfen. PayPal bittet Nutzer zudem, verdächtige Mitteilungen an das Sicherheitsteam weiterzuleiten und die Zwei-Faktor-Authentifizierung zu aktivieren.

de | wissenschaft | 69299482 |