PayPal: Banken-Ambitionen im Schatten einer Phishing-Welle

Eine neue Betrugswelle nutzt PayPals eigene Systeme aus – genau jetzt, da der Zahlungsriese den Sprung zur eigenen Bank wagt. Diese Zangenbewegung aus hochkarätigem Sicherheitsalarm und strategischer Expansion offenbart das Dilemma der Digitalfinanz-Branche: Sie muss einerseits vertrauenswürdige Bankdienstleistungen aufbauen und kämpft gleichzeitig gegen raffinierte Betrugsmethoden, die eben diese Plattformen ausnutzen.

Sicherheitsforscher schlagen Alarm: Seit Mitte Dezember kursiert eine neue Phishing-Methode, die herkömmliche Spamfilter umgeht. Der Trick: Die Betrüger nutzen legitime E-Mails von PayPals offiziellem Absender service@paypal.com.

Das funktioniert über einen Missbrauch des Abonnement-Systems. Angreifer legen eine wiederkehrende Rechnung an und „pausieren“ sie sofort.

Die neue „Abo-pausiert“-Masche zeigt, wie schwache Kontoeinstellungen Kriminelle ins Spiel bringen. Wenn Sie PayPal sicher einrichten und betrügerische E-Mails sofort erkennen wollen, hilft das kostenlose PayPal Startpaket. Es bietet eine Schritt-für-Schritt-Anleitung zur sicheren Kontokonfiguration, 5 Profi-Tipps zum Käuferschutz, Checklisten zur Verifikation von Telefonnummern und Hinweise, wie Sie sich in der App absichern. So vermeiden Sie falsche Anrufe und betrügerische Abbuchungen. PayPal-Startpaket jetzt kostenlos herunterladen

Das löst eine automatische, echte System-E-Mail mit dem Betreff „Ihre automatische Zahlung ist nicht mehr aktiv“ aus. Die E-Mail selbst ist authentisch. Doch im Feld für den Kundenservice-Link manipulieren die Betrüger die Metadaten der Rechnung. Statt einer Webadresse steht dort ein gefälschter Hinweis auf eine hohe, angeblich erfolgreiche Zahlung und eine Telefonnummer für angeblichen Support.

„Dies ist ein ‚True-Sender‘-Angriff“, erklärt ein Cybersicherheits-Analyst. „Weil die E-Mail von PayPals eigenen Servern kommt, umgeht sie die Filter von Gmail und Outlook. Die Nutzer sehen die offizielle Absenderadresse und halten die genannte ‚Abbuchung‘ für real.“

PayPal hat das Problem bestätigt. Das Unternehmen arbeite aktiv daran, die Lücke zu schließen, die das Einfügen von Text statt einer URL in das Kundenservice-Feld erlaubt. Nutzer sollten jegliche Behauptungen über „getätigte Zahlungen“ in solchen „Abo-pausiert“-E-Mails ignorieren und niemals die darin genannten Telefonnummern anrufen.

Strategischer Schwenk: PayPal beantragt US-Banklizenz

Während die Sicherheitsteams die Phishing-Welle bekämpfen, treibt die Konzernführung eine transformative Expansion voran. Am 15. Dezember reichte PayPal offiziell Anträge ein, um die „PayPal Bank“ als sogenannte Industrial Loan Company (ILC) in Utah zu gründen.

Diese spezielle Banklizenz erlaubt es Nicht-Bank-Unternehmen, Bankdienstleistungen anzubieten. Die geplante PayPal Bank soll sich laut Mitteilung auf Direktkredite und verzinsliche Sparkonten für Kleinunternehmer konzentrieren. „Die Gründung der PayPal Bank wird unser Geschäft stärken und unsere Effizienz verbessern, so dass wir das Wachstum von Kleinunternehmen besser unterstützen können“, so PayPal-CEO Alex Chriss.

Bislang arbeitet PayPal für Kredite und Einlagen mit Partnerbanken zusammen. Eine eigene Lizenz würde dem Fintech-Riesen erlauben, diese Geschäfte in-house zu betreiben – ein Schritt, der die Margen erhöhen und eine nahtlosere Datenintegration ermöglichen könnte. Damit folgt PayPal einem Trend, bei dem Tech-Firmen tiefer in die Finanzinfrastruktur eindringen.

Datenschutz im Fokus: Neue „Auffindbarkeits“-Einstellungen

Das Ringen um die Banklizenz und die anhaltenden Sicherheitswarnungen lenken den Blick auch auf PayPals Datenschutzrichtlinien. Seit dem 17. November 2025 gelten aktualisierte Bestimmungen, die die Verbindung zum Tochterunternehmen Venmo enger knüpfen.

Neue „Auffindbarkeits“-Funktionen erlauben es Venmo- und PayPal-Nutzern, sich gegenseitig über Telefonnummern zu finden und Zahlungen zu senden. Das erhöht den Komfort, bedeutet aber auch, dass ein PayPal-Profil (Name, Foto, Land) für Venmo-Nutzer sichtbar werden kann, die die entsprechende Telefonnummer haben. Datenschützer weisen darauf hin, dass solche Funktionen oft standardmäßig aktiviert („Opt-out“) sind. Nutzer, die Wert auf datenschutz legen, sollten ihre Einstellungen unter „Daten & Datenschutz“ überprüfen.

Diese Datenintegration ist entscheidend für PayPals Banken-Ambitionen. Durch die Vereinheitlichung der Nutzeridentität im eigenen Ökosystem kann das Unternehmen robustere Kreditprofile für die angestrebten Kleinunternehmenskunden erstellen. Diese Datenballung macht die Plattform jedoch auch zu einem lukrativeren Ziel für Social-Engineering-Angriffe – wie die aktuelle Phishing-Kampagne zeigt.

Branchenanalyse: Der Spagat zwischen Innovation und Sicherheit

Das zeitliche Zusammentreffen von schwerwiegendem Sicherheitsvorfall und Bankenantrag illustriert die Spannung im „Super-App“-Bestreben der Fintech-Branche. Wenn Unternehmen wie PayPal von reinen Zahlungsabwicklern zu Vollservice-Finanzinstituten werden, wächst die Verantwortung für Vertrauen und Sicherheit exponentiell.

„Für ein Unternehmen, das eine FDIC-versicherte Banklizenz anstrebt, ist makellose Sicherheit nicht nur eine operative Anforderung, sondern eine regulatorische Notwendigkeit“, merkte ein Fintech-Regulierungsexperte an. „Die Aufsichtsbehörden werden genau hinsehen, wie PayPal mit solch ausgeklügelten Missbräuchen der eigenen Geschäftslogik umgeht.“

Der „Abo-pausiert“-Betrug ist besonders heikel, weil er den Standard-Ratschlag für Verbraucher untergräbt: „Prüfen Sie die Absenderadresse.“ Wenn die Absenderadresse legitim ist, bleibt nur noch die eigene Skepsis als letzte Verteidigungslinie.

Ausblick: Strengere Prüfung und anhaltende Wachsamkeit

Die Branche rechnet für das Jahr 2026 mit einer strengen Prüfung von PayPals Bankantrag, die 12 bis 18 Monate dauern kann. Der Erfolg hängt maßgeblich davon ab, ob PayPal robuste interne Kontrollen nachweisen kann, die Missbrauch der Plattform-Features verhindern.

Für die unmittelbare Zukunft müssen PayPal-Nutzer wachsam bleiben. Sicherheitsexperten prognostizieren, dass „True-Sender“-Angriffe zunehmen werden, da E-Mail-Filter gefälschte Domains immer besser erkennen. Der Rat bleibt konsequent: Bei einer Benachrichtigung über eine verdächtige Abbuchung sollten Sie sich stets direkt in der App oder auf der Website einloggen – vertrauen Sie niemals den Telefonnummern oder Links in der E-Mail, selbst wenn sie von der offiziellen Quelle zu stammen scheint.

PayPal wird in den kommenden Tagen voraussichtlich ein Update bereitstellen, um das spezifische Einfallstor für die aktuelle Angriffswelle zu schließen.

PS: PayPals Schritt zur eigenen Bank macht Datenschutz und Kontosicherheit noch wichtiger — besonders wenn Venmo-Profile leichter auffindbar werden. Dieses kostenlose PayPal Startpaket erklärt, welche Privatsphäre-Einstellungen Sie sofort ändern sollten, wie Sie Telefonnummern-Sichtbarkeit deaktivieren und welche Schritte Kleinunternehmer bei der Kontoverknüpfung beachten müssen. Mit praktischen Checklisten und klaren Anleitungen schützen Sie Konto und Identität besser gegen Social-Engineering. Jetzt PayPal-Startpaket anfordern