PayPal-Betrug: Kriminelle nutzen echte Firmen-Infrastruktur

Cyberkriminelle haben eine perfide neue Betrugsmasche entwickelt: Sie missbrauchen PayPals eigene Systeme für täuschend echte Phishing-Angriffe. Die gefälschten Rechnungen landen unerkannt im Postfach – weil sie tatsächlich von PayPal stammen.

Diese „phish-freie“ Attacke macht herkömmliche Sicherheitstipps wie die Prüfung der Absender-Adresse nutzlos. Die Betrüger nutzen legitime PayPal-Funktionen, um Panik zu schüren und Opfer zu Anrufen bei falschen Hotlines zu verleiten.

So funktioniert der raffinierte Trick

Das Perfide an der Masche: Die Angreifer verwenden PayPals eigene Rechnung- und Zahlungsaufforderungs-Systeme. Dadurch kommen die betrügerischen Nachrichten von der offiziellen E-Mail-Adresse „service@paypal.com“ – und rutschen problemlos durch alle Spam-Filter.

Der Betrug startet typischerweise mit einer Rechnung über teure Artikel wie ein neues iPhone oder einen Bitcoin-Kauf. Die E-Mail selbst enthält keine schädlichen Links. Stattdessen steht im Beschreibungsfeld eine gefälschte Kundendienst-Nummer mit der dringenden Bitte, sofort anzurufen, um die Zahlung zu stoppen.

Eine Variante nutzt Adressänderungen: Die Betrüger fügen ihrer PayPal-Adresse eine neue Lieferadresse hinzu und verstecken die betrügerische Nachricht im „Adresse 2″-Feld. Das löst automatisch eine echte Bestätigungs-E-Mail von PayPal an das Opfer aus.
Anzeige: Apropos PayPal-Sicherheit: Online bezahlen verunsichert Sie? So nutzen Sie PayPal sicher – Schritt für Schritt. Der kostenlose Spezialreport erklärt Einrichtung, Käuferschutz und 5 Profi-Tipps. Jetzt das PayPal-Startpaket gratis herunterladen

Vom Anruf zur kompletten Systemübernahme

Das wahre Ziel ist der Telefonkontakt. Ruft ein panisches Opfer die falsche Nummer an, meldet sich ein angeblicher PayPal-Mitarbeiter. Mit professionellen Skripten überzeugt er das Opfer davon, dass das Konto kompromittiert sei.

Die Lösung? Installation einer Fernwartungs-Software wie ScreenConnect oder AnyDesk – angeblich zur Kontowiederherstellung. Einmal installiert, übernehmen die Kriminellen die komplette Kontrolle über den Computer.

Was folgt, ist verheerend: Diebstahl sensibler Daten, Installation von Schadsoftware oder direkte Überweisungen von allen verfügbaren Konten. Besonders perfide: Das Opfer gewährt den Zugriff freiwillig.

Parallele Attacke über gefälschte Account-Einrichtung

Sicherheitsforscher identifizierten eine zweite Angriffswelle mit raffinierten E-Mail-Fälschungen. Betreffzeile: „Richten Sie Ihr Kontoprofil ein“ – scheinbar von PayPal.

Der Link führt nicht zu einer Fake-Login-Seite, sondern zu einem echten PayPal-Prozess: dem Hinzufügen eines zweiten Benutzers. Ohne es zu merken, gewährt das Opfer dem Angreifer direkten Zugang zum eigenen PayPal-Konto.

Vertrauen als Schwachstelle

Diese Angriffe offenbaren eine kritische Lücke im digitalen Ökosystem: das blinde Vertrauen in offizielle Absender-Adressen. Der jahrelang gültige Rat, die E-Mail-Adresse zu prüfen, wird wertlos, wenn die Nachricht tatsächlich vom echten Dienst kommt.

Laut McAfee Labs explodierten PayPal-bezogene Angriffe 2025 um 600 Prozent. Zusätzlich behaupten Hacker, knapp 16 Millionen PayPal-Zugangsdaten erbeutet zu haben – auch wenn PayPal dies auf ältere Angriffe zurückführt.
Anzeige: Für alle, die PayPal regelmäßig nutzen: Diese 5 PayPal-Tricks kennt fast niemand – Tipp 3 spart Nerven. Das kostenlose Startpaket zeigt, wie Sie die App sicher einrichten, Geld senden und den Käuferschutz richtig einsetzen. Kostenloses PayPal-Startpaket sichern

Neue Schutzstrategien nötig

PayPal reagierte mit einem KI-gestützten Warnsystem, das in Echtzeit vor verdächtigen Aktivitäten warnt. Für Nutzer gilt: Niemals Telefonnummern aus verdächtigen E-Mails anrufen.

Bei Zweifeln direkt über die offizielle Website oder App einloggen und Transaktionen prüfen. Zwei-Faktor-Authentifizierung aktivieren und verdächtige E-Mails an phishing@paypal.com weiterleiten.

Die Botschaft ist klar: Auch scheinbar vertrauenswürdige Nachrichten mit Argwohn betrachten. In Zeiten innovativer Cyberkriminalität wird gesunde Skepsis zur wichtigsten Schutzmaßnahme.