PayPal-Betrüger nutzen echte Funktionen für perfekte Täuschung

Cyberkriminelle haben ihre Angriffsstrategie revolutioniert: Sie nutzen PayPals eigene Rechnungs- und Kontofunktionen für hochentwickelte Betrugsmaschen, die selbst vorsichtige Nutzer täuschen. Diese Woche warnen Experten vor zwei dominierenden Bedrohungen – beide umgehen herkömmliche Sicherheitsfilter durch ihre perfekte Authentizität.

Die neuen Angriffe markieren einen Paradigmenwechsel beim Phishing. Statt simpler Passwort-Diebstähle manipulieren Betrüger nun legitime Plattform-Funktionen für kriminelle Zwecke. Anders als typische Phishing-E-Mails voller Rechtschreibfehler stammen diese Betrugsversuche oft von echten PayPal-E-Mail-Adressen. Das macht sie für Durchschnittsnutzer praktisch nicht identifizierbar.

Die Better Business Bureau meldet einen drastischen Anstieg dieser überzeugenden Betrugsmaschen. Besonders perfide: Die Kriminellen erzeugen bewusst Zeitdruck, um Opfer zu unüberlegten Handlungen zu drängen.

Anatomie der neuen Betrugsstrategien

Die gefälschte Rechnung: Betrüger missbrauchen PayPals Rechnungstool, um Zahlungsanforderungen für nie bestellte Waren zu versenden – häufig teure Kryptowährungskäufe. Da die Rechnung über PayPals System generiert wird, kommt die Benachrichtigung direkt von der legitimen Adresse „service@paypal.com“.

Das doppelte Ziel: Entweder zahlt das Opfer die falsche Rechnung, oder es ruft die gefälschte Kundenservice-Nummer an, die praktischerweise im Notizfeld steht. Am Telefon versuchen sich die Betrüger als PayPal-Support auszugeben und persönliche Finanzdaten abzugreifen.

Noch alarmierender: Der „Zweitnutzer“-Trick, den Malwarebytes-Forscher kürzlich aufdeckten. Nutzer erhalten professionelle E-Mails mit Betreffzeilen wie „Kontoprofil einrichten“ und Warnungen vor fiktiven Großtransaktionen. Die E-Mail imitiert perfekt PayPals Design und täuscht sogar die offizielle Absenderadresse vor.

Der Link führt tatsächlich zur echten PayPal-Website – aber initiiert heimlich den Prozess, einen „Zweitnutzer“ zum Opfer-Konto hinzuzufügen. Folgen Nutzer den Anweisungen, gewähren sie Betrügern unwissentlich Zahlungsberechtigung und Kontozugriff.

Anzeige: Passend zum Thema PayPal-Sicherheit: Richten Sie Ihr Konto so ein, dass Betrüger keine Chance haben. Das kostenlose PayPal Startpaket führt Schritt für Schritt durch Einrichtung, Käuferschutz und 5 Profi-Tipps – ideal für Einsteiger und regelmäßige Online-Shopper. So vermeiden Sie typische Fallen und prüfen Zahlungen richtig, bevor Sie klicken. Jetzt kostenloses PayPal-Startpaket sichern

Warnsignale erkennen – so schützen Sie sich

Trotz der Raffinesse gibt es verräterische Anzeichen. Zeitdruck ist das größte Alarmsignal – Drohungen mit Kontosperrungen oder ablaufenden Links binnen 24 Stunden sind klassische Betrugs-Indikatoren.

Echte PayPal-Kommunikation verwendet immer den vollständigen Namen aus dem Konto, niemals generische Anreden wie „Lieber Kunde“. Grammatikfehler und Textinkonsistenzen bleiben weitere Warnhinweise.

Die wichtigste Schutzregel: Niemals Links anklicken oder Telefonnummern aus verdächtigen E-Mails verwenden. Stattdessen immer direkt über die offizielle Website oder App einloggen, um Transaktionen zu überprüfen.

PayPal empfiehlt: Verdächtige E-Mails an phishing@paypal.com weiterleiten und löschen. Zwei-Faktor-Authentifizierung ist Pflicht – sie bildet die entscheidende Schutzbarriere gegen Kontomissbrauch.

Anzeige: Übrigens: Viele täuschend echte Betrugsversuche landen zuerst auf dem Smartphone. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Shopping, PayPal und Online-Banking ohne teure Zusatz-Apps absichern. Schließen Sie unterschätzte Lücken und schützen Sie Ihre Daten wirksam. Kostenloses Android‑Sicherheitspaket anfordern

Branchenwandel: Betrüger werden kreativ

Diese Angriffe zeigen einen fundamentalen Wandel der Phishing-Taktiken. Kriminelle nutzen zunehmend die nativen Funktionen vertrauenswürdiger Plattformen – eine Methode, die bösartige Nachrichten nahezu ununterscheidbar von echten macht.

Durch die Nutzung der Anbieter-eigenen Systeme umgehen Angreifer E-Mail-Sicherheitsfilter, die normalerweise verdächtige Domains blockieren. Diese Taktik kennt man bereits von DocuSign, wo legitime Services für schädliche Inhalte missbraucht wurden.

Die Wirksamkeit unterstreicht, was Cybersecurity-Firma Fortinet eine „menschliche Firewall“ nennt: Nutzeraufklärung als letzte Verteidigungslinie. Solange Plattformen wie PayPal mit seinen 434 Millionen aktiven Nutzern im Zentrum des Online-Handels stehen, bleiben sie Hauptziel für Betrüger.

Ein Bericht dokumentiert einen 600-prozentigen Anstieg betrügerischer PayPal-E-Mails seit Jahresbeginn – ein klarer Beleg für die kriminelle Effizienz dieser Methoden.

Zukunftsausblick: Permanente Wachsamkeit gefordert

Verbraucher müssen damit rechnen, dass Betrüger diese „Living-off-the-Land“-Taktiken weiter verfeinern – den Missbrauch legitimer Online-Service-Funktionen. Die Grenze zwischen echter und gefälschter Benachrichtigung wird noch unschärfer.

Der Paradigmenwechsel ist überfällig: Weg vom passiven Vertrauen in E-Mail-Benachrichtigungen, hin zur aktiven Überprüfung jeder Finanztransaktion. Nutzer brauchen eine Zero-Trust-Haltung gegenüber unaufgeforderten E-Mails – egal wie authentisch sie erscheinen.

Die einhellige Empfehlung von Better Business Bureau, Cybersecurity-Firmen und PayPal: Niemals hastig reagieren. Immer direkt auf der offiziellen Plattform verifizieren, verdächtige Aktivitäten melden und Konten mit stärkstmöglichen Authentifizierungsmethoden sichern.