PayPal: Kriminelle missbrauchen offizielle Server für Phishing

Sie nutzen die legitimen Server von PayPal, um täuschend echte Betrugs-E-Mails zu versenden. Die Nachrichten kommen von service@paypal.com und bestehen alle Sicherheitsprüfungen.

Damit umgehen die Angreifer klassische Schutzmechanismen. Während frühere Phishing-Versuche oft an falschen Absenderadressen scheiterten, sind die aktuellen Mails für Spam-Filter kaum erkennbar.

Angesichts immer raffinierterer Betrugsmethoden bei Zahlungsdiensten wie PayPal ist der Schutz des eigenen Smartphones wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät in wenigen Minuten effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So funktioniert die Betrugsmasche

Die Täter missbrauchen PayPals eigene Funktionen zur Rechnungsstellung. Im Betreff suggerieren sie eine fiktive Belastung von rund 988 US-Dollar. Doch statt auf Links setzen die Kriminellen auf eine perfide Kombination: Sie locken die Empfänger mit einer angeblichen Support-Telefonnummer.

Wer anruft, landet bei Betrügern. Diese geben sich als Kundendienstmitarbeiter aus und versuchen, Fernwartungssoftware zu installieren. Ihr Ziel: unter dem Vorwand einer Sicherheitsprüfung vollen Zugriff auf das Gerät des Opfers zu erlangen.

KI treibt die Eskalation voran

Künstliche Intelligenz befeuert die Professionalisierung der Angriffe massiv. Branchenbeobachter schätzen, dass mittlerweile 86 Prozent aller Phishing-Angriffe KI-gesteuert sind. Das ermöglicht perfekte Sprachbarrieren und hochgradig personalisierte Betrugsversuche im großen Stil.

Sogenannte Phishing-as-a-Service-Plattformen wie „Bluekit“ bieten das nötige Werkzeug. Für eine Jahresgebühr von rund 2.000 US-Dollar erhalten Kriminelle Zugang zu KI-Modellen auf Basis von GPT-4.1 – speziell optimiert für betrügerische Kampagnen.

Quishing: Die QR-Code-Falle

Ein weiterer alarmierender Trend ist das Quishing – Phishing mittels QR-Codes. Ein aktueller Marktbericht von Microsoft zeigt die Dramatik: Die Zahl dieser Vorfälle stieg von 7,6 Millionen im Januar auf 18,7 Millionen im März 2026. Das entspricht einem Zuwachs von 146 Prozent.

Kriminelle kleben manipulierte QR-Codes auf Parkautomaten oder Leihräder. In der kanadischen Stadt Mississauga mussten Sicherheitskräfte kürzlich über 80 solcher Aufkleber entfernen, die Nutzer auf gefälschte Zahlungsseiten umleiteten.

Hardware-Lücken und gefährliche Spyware

Neben den Täuschungsmanövern wachsen auch die technischen Risiken. Eine kritische BootROM-Lücke in Qualcomm-Prozessoren (CVE-2026-25262) gefährdet zahlreiche Mobilgeräte. Bei physischem Zugriff ermöglicht sie eine vollständige Kompromittierung des Systems. Betroffen sind unter anderem Chipsätze der Serien MDM9x07, MSM8909 und SDX50.

Apple reagierte bereits am 30. April 2026 mit iOS 26.4.2. Das Update schließt eine Lücke, die unbefugten Zugriff auf gelöschte Nachrichten ermöglichte.

Die Android-Spyware „ClayRat“ tarnt sich als harmlose Apps wie WhatsApp, TikTok oder Google Photos. Sicherheitsforscher von Zimperium entdeckten über 600 Varianten innerhalb von 90 Tagen. Die Malware stiehlt SMS, Anruflisten und Fotos – und übernimmt die Rolle des SMS-Handlers, um Sicherheitsabfragen zu unterdrücken.

Neue Gesetze und Schutz für Verbraucher

Das Bundeskabinett verabschiedete Ende April 2026 den Gesetzentwurf zum EU Cyber Resilience Act. Das BSI wird zur Marktüberwachungsbehörde für digitale Produkte ausgebaut. Ab September 2026 gilt eine strikte Meldepflicht für Sicherheitslücken.

Für Verbraucher bleibt die Eigenvorsorge entscheidend. Experten raten dringend zur Zwei-Faktor-Authentisierung per App statt SMS. Bei verdächtigen Nachrichten von Zahlungsdiensten gilt: Niemals auf enthaltene Links oder Telefonnummern klicken. Stattdessen direkt über die offizielle App oder Webseite prüfen.

Ob Online-Banking oder privater Chat – Kriminelle nutzen jede Schwachstelle aus, um sensible Daten auf Ihrem Smartphone auszuspähen. Erfahren Sie in diesem Gratis-Sicherheits-Paket, welche fünf Maßnahmen IT-Experten für jedes Android-Gerät empfehlen, um WhatsApp, PayPal und Co. endlich sicher zu nutzen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Die finanziellen Folgen sind immens

In den USA verloren Verbraucher 2025 fast 21 Milliarden US-Dollar durch Betrug – ein Plus von 26 Prozent. Google reagierte mit höheren Prämien: Für kritische Zero-Click-Exploits in Android gibt es nun bis zu 1,5 Millionen US-Dollar. Insgesamt zahlte das Unternehmen 2025 eine Rekordsumme von 17,1 Millionen US-Dollar an Sicherheitsforscher aus.

Betroffene Android-Nutzer in den USA können unter bestimmten Voraussetzungen Entschädigungen geltend machen. Im Rahmen eines Vergleichs im Fall Taylor gegen Google LLC winken bis zu 100 US-Dollar – sofern die Ansprüche bis zum 29. Mai 2026 angemeldet werden.

Ausblick: Android 17 als Hoffnungsträger

Für Juni 2026 ist Android 17 angekündigt. Es soll verdächtige App-Aktivitäten erstmals in Echtzeit lokal auf dem Gerät erkennen und blockieren. Forscher der Harvard-Universität stellten zudem mit „Keyring“ eine Open-Source-Identitäts-Wallet vor. Sie basiert auf Biometrie und dezentralen Vertrauensmodellen.

Nutzer können damit spezifische Attribute wie ihr Alter nachweisen – ohne das exakte Geburtsdatum oder die volle Identität an Plattformen wie Meta oder TikTok zu übermitteln. Die breite Etablierung solcher Systeme hängt jedoch davon ab, ob staatliche Stellen und Finanzinstitute die Technologie akzeptieren.

de | wissenschaft | 69270644 |