PayPal-Infrastruktur wird für perfide Phishing-Angriffe missbraucht

Cyberkriminelle kapern den legitimen PayPal-Versand, um täuschend echte Betrugsmails zu versenden. Zusammen mit einer Flut KI-generierter SMS-Nachrichten markiert dies eine gefährliche neue Stufe des Online-Betrugs im Weihnachtsgeschäft.

Während der globale Weihnachtseinkauf seinen Höhepunkt erreicht, enthüllen Sicherheitsforscher eine perfide neue Betrugswelle. Angreifer nutzen PayPals eigene Infrastruktur, um Betrugsmails von der legitimen Adresse service@paypal.com zu versenden. Herkömmliche Spamfilter sind gegen diese Attacke machtlos.

Dieser sogenannte „Subscription Abuse“-Angriff trifft auf eine Flut KI-gesteuerter SMS-Phishing-Nachrichten („Smishing“). Gemeinsam stellen sie eine gefährliche Evolution des Betrugs dar. Die globalen E-Commerce-Betrugsverluste sollen 2025 die Marke von 48 Milliarden Euro überschreiten. Die aktuellen Enthüllungen unterstreichen jedoch die dringende Notwendigkeit erhöhter Wachsamkeit der Verbraucher.

Cybersicherheitsforscher von BleepingComputer und Malwarebytes haben am 15. Dezember einen neuartigen Angriff auf PayPals Abrechnungssystem detailliert beschrieben. Statt gefälschte Domains zu nutzen, macht sich die Kampagne die echte „Abonnement“-Funktion der Plattform zunutze.

Betrüger missbrauchen offenbar legitime PayPal-Systemmails, um Nutzer zu verunsichern und zur Kontaktaufnahme zu bewegen. Der kostenlose PayPal-Startpaket‑Report erklärt Schritt für Schritt, wie Sie Ihr Konto sicher einrichten, den Käuferschutz nutzen und verdächtige Systemnachrichten erkennen. Mit 5 Profi‑Tipps vermeiden Sie teure Anrufe und Betrugsfallen. PayPal-Startpaket jetzt kostenlos herunterladen

Die Kriminellen erstellen Geschäftskonten und legen Abonnementpläne an. Diese „pausieren“ sie dann für die E-Mail-Adressen der Opfer. Diese Aktion löst eine automatisierte, legitime System-E-Mail von PayPal an das Opfer aus. Sie besagt, dass die „automatische Zahlung nicht mehr aktiv“ sei.

Die kritische Schwachstelle liegt in den Metadaten. Die Angreifer können betrügerische Texte in die Felder „Kundenservice-URL“ oder „Verkäufernotiz“ einfügen. Die Opfer erhalten somit eine echte PayPal-E-Mail, die eine Warnung vor einer „verdächtigen Transaktion“ oder einer „ausstehenden Gebühr“ von Hunderten Euro enthält – samt einer gebührenfreien Nummer, die von den Betrügern kontrolliert wird.

„Die E-Mails scheinen von PayPal zu kommen, weil sie tatsächlich von PayPal kommen“, erklärten die Forscher. „So umgehen sie die Spamfilter und wirken absolut legitim.“ Das Ziel: Die Nutzer so zu verängstigen, dass sie die Betrüger anrufen, die dann weitere Betrugsdelikte begehen oder Malware einschleusen.

PayPal hat nach Berichten vom 17. Dezember Schritte unternommen, um diese spezifische Lücke zu schließen. Der Erfolg der Kampagne unterstreicht jedoch einen wachsenden Trend: „Living off the Land“-Attacken, bei denen Kriminelle vertrauenswürdige Tools gegen ihre Opfer einsetzen.

Neben dem PayPal-Exploit wird die Bedrohungslandschaft im Dezember 2025 von der rasanten Industrialisierung des Betrugs durch Künstliche Intelligenz geprägt.

Am 15. Dezember identifizierte Rapid7 Labs einen neuen Malware-as-a-Service-Info-Stealer, der aggressiv in Underground-Foren und Telegram-Kanälen beworben wird. Die als „SantaStealer“ getaufte Malware soll gespeicherte Login-Daten, Kreditkarteninformationen und Krypto-Wallet-Daten von infizierten Geräten stehlen. Verbreitet wird sie über gefälschte „Last-Minute-Deal“-Anzeigen und kompromittierte Software-Downloads.

Gleichzeitig veröffentlichte Check Point Research Daten, die einen erschreckenden Anstieg mobiler Bedrohungen zeigen. Ihre Analyse ergab, dass KI-generierte Zustellbetrügereien – gefälschte Benachrichtigungen von Kurieren wie DHL, DPD oder Hermes – im November und Dezember 2025 im Vergleich zum Vorjahr doppelt so häufig auftraten.

„2025 sind Betrugsversuche nicht nur häufiger, sie werden auch von KI und Automatisierung angetrieben und sind damit schwerer zu erkennen“, so die Forscher. Das Unternehmen entdeckte allein in den ersten zwei Dezemberwochen über 33.502 weihnachtlich getarnte Phishing-E-Mails. Diese KI-optimierten Nachrichten enthalten oft nicht mehr die grammatikalischen Fehler und holprigen Formulierungen, die Verbrauchern früher als Warnsignal dienten.

Die Milliardenschwere Betrugs-Ökonomie

Der Zeitpunkt dieser Angriffe ist kalkuliert, um den Schaden in der umsatzstärksten Zeit des Jahres zu maximieren. Diese Woche veröffentlichte Daten zeichnen ein düsteres Bild der wirtschaftlichen Auswirkungen.

Laut dem am 15. Dezember veröffentlichten „Q4 2025 Digital Trust Index“ von Sift stiegen die Chargeback-Raten – ein Schlüsselindikator für Betrug – im Laufe des Jahres stetig an und erreichten im dritten Quartal 0,26 %. Das ist ein Anstieg von 53 % gegenüber dem ersten Quartal 2025. Der E-Commerce-Einzelhandel wurde am härtesten getroffen, mit einem explosionsartigen Anstieg der Chargeback-Raten um 233 % im Jahresvergleich.

Analysten verweisen auf die „Rückerstattungs-Hack“-Ökonomie als Haupttreiber. Dabei bieten professionelle Betrüger auf Social Media „Rückerstattung als Dienstleistung“ an. Für eine Gebühr bestreiten sie im Namen der Käufer legitime Transaktionen.

„Betrugsverluste haben ein beispielloses Niveau erreicht und kosten Verbraucher und Finanzinstitute jedes Jahr zig Milliarden“, warnte das US-Finanzministerium in einer Stellungnahme vom 15. Dezember. Das Ministerium wies explizit darauf hin, dass Betrüger „fortschrittliche Technologien, einschließlich Künstlicher Intelligenz, nutzen, um vertrauenswürdige Personen oder Unternehmen zu imitieren.“

Gegenmaßnahmen der Industrie

Die Schwere der Bedrohungslage hat dringende Reaktionen aus dem privaten und öffentlichen Sektor ausgelöst.

Nach Aufdeckung der Abonnement-Lücke bekräftigte PayPal seine Richtlinie „Nicht zahlen, nicht anrufen“. Das Unternehmen betonte, dass der legitime Kundenservice Nutzer niemals auffordern werde, Remote-Desktop-Software herunterzuladen oder Geld auf „sichere Konten“ zu überweisen, um ein Abrechnungsproblem zu lösen.

Malwarebytes hat diese Woche eine „Scam Guard“-Funktion für Mobilgeräte eingeführt, die Textnachrichten und URLs in Echtzeit analysiert. Für Unternehmen liegt der Fokus zunehmend auf verhaltensbiometrischen Lösungen und KI-gestützter Betrugserkennung.

„Unternehmen, die sich weigern, in Hektik zu verfallen, selbst wenn alles um sie herum beschleunigt, sind diejenigen, die die Kontrolle über ihre Zahlungen behalten“, schrieb Patrice Bouexel von Sis ID in einer Analyse. Er wies darauf hin, dass der Dezember historisch der „profitabelste Monat für Betrügerbanden“ sei – bedingt durch das Chaos der Jahresabschlüsse.

Ausblick: Das Zeitalter der „Dreiecksbetrügereien“

Experten warnen, dass 2026 wahrscheinlich noch komplexere, mehrseitige Betrugsszenarien aufkommen werden.

Ein Bericht vom 15. Dezember hob die wachsende Gefahr durch „Dreiecksbetrug“ auf Peer-to-Peer-Zahlungsplattformen hervor. Dabei agiert ein Betrüger als Mittelsmann: Er erstellt ein gefälschtes Inserat für ein hochwertiges Produkt (wie ein Smartphone) und initiiert gleichzeitig den Kauf von Kryptowährung bei einem legitimen Händler. Der Betrüger weist den ahnungslosen Smartphone-Käufer an, das Geld an den Krypto-Händler zu senden. Der Händler gibt die Kryptowährung an den Betrüger frei – der Käufer geht leer aus, und der Händler wird in eine Betrugsuntersuchung verwickelt.

„Wenn Dreiecksbetrug zunimmt, wird das öffentliche Vertrauen in P2P-Plattformen schwinden. Das bedroht die künftige Innovation der Branche“, warnte Analystin Tatiana Melushkane.

Der Zusammenfluss von KI-Automatisierung, dem Missbrauch legitimer Infrastruktur und komplexer Social Engineering bedeutet: Die Last der Überprüfung liegt zunehmend beim Endnutzer. Verbrauchern wird geraten, jede unerwartete Rechnung – selbst von „offiziellen“ Absendern – mit äußerster Skepsis zu behandeln.

PS: Nach den Enthüllungen über „Subscription Abuse“ können einfache Vorsichtsmaßnahmen viel Schaden verhindern. Das kompakte PayPal‑Guide erklärt in einem übersichtlichen PDF, welche Einstellungen Sie prüfen sollten, wie der Käuferschutz funktioniert und wie Sie betrügerische Rufnummern und Links erkennen. Ideal für alle, die regelmäßig online shoppen und sicher zahlen wollen. Jetzt PayPal‑Sicherheits-Guide anfordern