PayPal-Phishing nutzt echte Tools für Netzwerk-Angriffe

Eine neue Phishing-Welle nutzt legitime PayPal-Benachrichtigungen und Remote-Software, um direkt in Firmennetzwerke einzudringen – Sicherheitsexperten warnen vor einer gefährlichen Eskalation.

Seit Anfang Januar eskaliert eine hochgefährliche Phishing-Kampagne, die Sicherheitsfirmen und Analysten in Alarmbereitschaft versetzt. Angreifer nutzen echte PayPal-Systeme und seriöse Fernwartungs-Tools, um nicht nur Login-Daten zu stehlen, sondern ganze Unternehmensnetzwerke zu kompromittieren. Diese neue Angriffswelle markiert eine bedrohliche Evolution im Bereich des Finanz-Betrugs.

Das Besorgniserregende an dieser „Januar-Kundeninformation“-Kampagne ist der aggressive Einsatz von Remote Monitoring and Management (RMM)-Software. Diese legitimen Administrations-Tools wie LogMeIn Rescue und AnyDesk umgehen traditionelle Sicherheitsfilter, da sie nicht als Malware erkannt werden.

Der Angriff beginnt mit einer gefälschten E-Mail, die als PayPal-Benachrichtigung getarnt ist. Sie warnt vor einer „abonnierten Zahlung“ oder deaktivierten „Automatischen Zahlungen“. Verunsicherte Empfänger, die die in der Mail angegebene Support-Nummer anrufen, werden von Social-Engineering-Experten überredet, genau diese Fernzugriffssoftware zu installieren. Einmal installiert, erhalten die Angreifer dauerhaften Zugriff.

Firmen stehen aktuell unter massivem Risiko, weil Angreifer legitime PayPal-Benachrichtigungen und Fernwartungs-Tools kombinieren. E-Mail-Filter schlagen kaum an, wenn die Nachricht tatsächlich über PayPals Infrastruktur verschickt wurde. Ein kostenloser 4‑Schritte-Guide erklärt praxisnah, wie Sie RMM‑Missbrauch erkennen, Mitarbeiter richtig schulen und wirksame Abwehrmaßnahmen umsetzen, bevor Angreifer dauerhaften Zugang erlangen. Anti-Phishing-Guide für Unternehmen herunterladen

„Angreifer nutzen kompromittierte private PayPal-Konten als Sprungbrett in Unternehmensumgebungen“, warnt ein Bericht von CyberProof. Das zeigt die verschwimmende Grenze zwischen privaten und geschäftlichen Sicherheitsrisiken.

Der Trick mit dem „echten Absender“

Die Angreifer machen sich einen gefährlichen Schwachpunkt zunutze: Sie missbrauchen PayPals eigene Infrastruktur. Durch das Erstellen echter Rechnungen oder Abos in Wegwerf-Konten und das Manipulieren der Metadaten lösen sie offizielle Benachrichtigungen von service@paypal.com aus.

Diese E-Mails passieren Standard-Authentifizierungsprotokolle wie SPF und DKIM, weil sie tatsächlich von PayPals Servern stammen. Für E-Mail-Sicherheitssysteme ist es fast unmöglich, diese Nachrichten zu blockieren, ohne auch legitime PayPal-Benachrichtigungen auszusperren.

Perfektes Chaos durch echte PayPal-Updates

Die Timing der Betrugswelle ist perfid: Seit dem 26. Januar 2026 verschickt PayPal selbst Millionen legitimer „Richtlinien-Update“-E-Mails an seine US-Nutzer. Die echten Updates betreffen den Visa+ Service und Peer-to-Peer-Überweisungen.

Dies schafft ein „perfektes Chaos“ für Social Engineering. Nutzer, die diese Woche offizielle PayPal-Korrespondenz erwarten, prüfen eingehende Nachrichten viel weniger kritisch. Der entscheidende Unterschied: Echte Policy-Mails enthalten statische Informationen, Phishing-Mails fordern immer sofortige Aktionen – etwa das Anrufen einer Support-Nummer.

Neue Dimension der Bedrohung für Unternehmen

Der Wechsel zu RMM-basierten Angriffen zeigt eine gefährliche Reifung des Cybercrime-Ökosystems. Während frühere PayPal-Betrügereien auf schnellen finanziellen Diebstahl abzielten, geht es hier um dauerhaften Zugang zu wertvollen Netzwerken.

Sicherheitsanalysten vermuten, dass der so erworbene Zugang an Advanced Persistent Threat (APT)-Akteure oder Ransomware-Gruppen verkauft wird. Tools wie AnyDesk ermöglichen es Angreifern, wochenlang unentdeckt auf einem System zu verbleiben – ideal für Datendiebstahl oder die spätere Installation von Verschlüsselungs-Trojanern.

Unternehmen werden dringend aufgefordert, ihre Software-Richtlinien zu überprüfen. Empfohlen wird, nicht genehmigte RMM-Anwendungen auf Netzwerkebene zu blockieren und Mitarbeiter zu schulen, jede Aufforderung zum Download von „Support-Software“ als kritische Bedrohung zu behandeln.

Was Nutzer jetzt tun müssen

Die Angriffswelle zeigt keine Anzeichen eines Nachlassens. Experten prognostizieren, dass andere Bedrohungsgruppen die „Legitimer-Absender“-Technik bald auf Plattformen wie QuickBooks oder Square übertragen werden.

Der wichtigste Rat für Verbraucher und Mitarbeiter: Jede PayPal-Behauptung direkt über die offizielle Website oder App überprüfen – niemals über Links oder Telefonnummern aus E-Mails. In der aktuellen Lage liegt die Verantwortung für die Verifizierung stärker denn je beim Endnutzer.

PS: Schützen Sie Ihr Unternehmen proaktiv – das kostenlose Anti‑Phishing‑Paket liefert eine klare 4‑Schritte-Anleitung gegen CEO‑Fraud, Checklisten für Mitarbeiterschulungen und konkrete Maßnahmen gegen RMM‑Missbrauch. Ideal für IT‑Leiter und Sicherheitsverantwortliche, die dauerhaften Zugriff und Folgeangriffe wie Ransomware verhindern wollen. Jetzt Anti-Phishing-Paket anfordern