Top Aktuell

Abschaltung des 2G-Mobilfunknetzes bis 2028

Snipping Tool Shortcut – So erstellen Sie…

Kleinanzeigen: Zu verschenken – so geht’s schnell,…

Wie lange TÜV überziehen? – Das sollten…

Millionen PayPal-Konten gehackt? Was wirklich dahintersteckt und…

PayPal Me Link erstellen – Geld über…

Ist Samstag ein Werktag? – Alles, was…

Bis wie viel Uhr liefert DHL? Alle…

PayPal Guthaben auf Konto überweisen – So…

Mit dem iPhone scannen – So einfach…

InternetPayPalWissenswertes

Millionen PayPal-Konten gehackt? Was wirklich dahintersteckt und worauf Nutzer jetzt achten sollten

von Tech aktuell288

Hoch her ging es im August beim Zahlungsdienstleister PayPal, wo es gleich zu mehreren sicherheitsrelevanten Vorfällen kam. Wir schauen uns genauer an, was passiert ist, und geben Tipps wie Nutzer ihre Konten wirksam absichern können.

PayPal im Krisenmodus – Millionen Zugänge kompromittiert

Ende August 2025 erschütterte eine alarmierende Nachricht das Vertrauen von PayPal-Nutzern weltweit: Im Darknet wurden etwa 15,8 Millionen PayPal-Zugangsdaten zum Verkauf angeboten – für gerade einmal 750 US-Dollar. Der Anbieter, ein Hacker mit dem Pseudonym “Chucky_BF”, bot E-Mail-Adressen und Passwörter im Klartext zusammen mit PayPal-bezogenen URLs an – ein gefundenes Fressen für Cyberkriminelle.

Sicherheitsexperten gehen allerdings mittlerweile davon aus, dass die Daten nicht direkt von PayPal stammen. Troy Hunt vom Projekt Have-I-Been-Pwned stellte beispielsweise klar, dass die Passwörter definitiv nicht als Plain Text von PayPal kamen, wie sie angeboten wurden, sie also auf andere Weise beschafft worden sein müssen. Die ungeordnete Struktur der Datensätze deutet darauf hin, dass es sich um Daten aus früheren Paketen handelt, die durch Malware – sogenannte “Info-Stealer” – von den Computern der Nutzer selbst abgegriffen wurden.

Ausfall von Sicherheitssystemen

Für das Auftauchen der Nutzerdaten im Darknet trifft PayPal also aller Voraussicht nach keine Schuld. Für den zweiten Sicherheitsvorfall im August lässt sich das allerdings nicht sagen. Kurz nachdem die Nachricht der kompromittierten Konten um die Welt gegangen war, fielen bei dem Zahlungsdienstleister jene Sicherheitssysteme aus, die normalerweise betrügerische Zahlungen herausfiltern. Verschiedene deutsche Banken reagierten prompt und blockierten Lastschriften in schwindelerregender Höhe – insgesamt im zweistelligen Milliardenbereich. Besonders hart traf es Händler, die plötzlich nicht mehr an ihr Geld kamen oder mit erheblichen Verzögerungen konfrontiert wurden. PayPal hat mittlerweile versichert, dass alle rechtmäßigen Transaktionen vollständig erstattet werden.

Wie Cyberkriminelle auf eine solche Situation reagieren

Sicherheitsvorfälle bei so prominenten Unternehmen haben nicht nur Auswirkungen auf die direkt Betroffenen, sondern führen immer auch zu Verunsicherung bei Millionen von anderen Nutzern. Cyberkriminelle wissen das und nutzen solche Phasen der Unsicherheit für ihre Zwecke.

Phishing-Kampagnen

Eine Strategie, die bereits kurz nach Bekanntwerden der Vorfälle zu beobachten war, sind gezielte Phishing-Kampagnen. Die Kriminellen versenden E-Mails mit Bezug zu den Informationen, die durch die Medien gegangen sind, um Authentizität vorzutäuschen. Es wird dann beispielsweise eine E-Mail von PayPal fingiert, in der behauptet wird, dass das Konto aufgrund des Sicherheitsvorfalls vorsorglich gesperrt wurde. Die Empfänger werden aufgefordert, ihre Identität zu bestätigen, indem sie auf einen Link klicken und persönliche Daten eingeben. Diese gefälschten Websites sind oft täuschend echt gestaltet und mit Sicherheitssymbolen versehen, um Vertrauen zu erwecken. In den letzten Wochen wurden Phishing-E-Mails mit Betreffzeilen wie “Dringende Sicherheitswarnung: PayPal-Konto kompromittiert” oder “Wichtig: Bestätigen Sie Ihre Identität nach dem Sicherheitsvorfall” beobachtet.

Besonders folgenreich für Betroffene wird es, wenn es Angreifern gelingt, nicht “nur” Zugriff auf einzelne Konten zu erlangen, sondern Computer oder Smartphone selbst zu kompromittieren. Denn dann gilt: Nichts auf dem Gerät ist mehr sicher. Alle Daten könnten gestohlen, manipuliert oder gelöscht werden. In solchen Situationen sollten immer Experten hinzugezogen werden. Das können je nach Lage Spezialisten für Datenrettung sein, Cybersecurity-Fachleute oder auch Hardware-Profis.

Telefonbetrug

Deutsche Banken warnen vor einer Betrugsmasche, bei der sich Kriminelle am Telefon als Bankmitarbeiter oder PayPal-Supportteam ausgeben. Sie geben vor, im Zusammenhang mit dem Sicherheitsvorfall Transaktionen korrigieren oder das Konto reaktivieren zu müssen. Während des Gesprächs werden die Opfer aufgefordert, TANs oder andere Sicherheitscodes preiszugeben. Diese Form des Social Engineering nutzt die Verunsicherung der Nutzer nach dem Sicherheitsvorfall aus. Die Betrüger kennen oft bereits Namen, Adresse und E-Mail des Angerufenen aus dem Datenleck, was ihnen zusätzliche Glaubwürdigkeit verleiht.

Credential-Stuffing

Beim Credential-Stuffing geraten die bereits von einem Datenleck betroffenen Nutzer ein zweites Mal ins Visier von Kriminellen. Systematisch werden die erbeuteten Zugangsdaten bei anderen Online-Diensten ausprobiert. Die Angreifer setzen dabei auf automatisierte Tools, die tausende Login-Versuche pro Minute durchführen können. Studien zeigen, dass etwa 65% der Internetnutzer Passwörter wiederverwenden, wodurch ein einzelnes Datenleck zu einer Kettenreaktion führen kann. Nach dem PayPal-Vorfall wurde eine signifikante Zunahme erfolgreicher Credential-Stuffing-Angriffe auf E-Commerce-Plattformen und Streaming-Dienste beobachtet.

Effektive Schutzmaßnahmen

Auch wenn die Methoden, mit denen Cyberkriminelle versuchen, ihre Opfer hinters Licht zu führen, immer ausgefeilter werden, ist das kein Grund zu verzweifeln. Einige wenige, einfache, aber effektive Gegenmaßnahmen können das Risiko bereits drastisch senken – und neue Technologien kommen nicht nur bei Kriminellen zum Einsatz, sondern auch bei Anbietern von Sicherheitstechnologien.

Sofortmaßnahmen

  1. Passwort ändern: Nach weitreichenden Datenlecks wird empfohlen, umgehend ein neues, starkes Passwort für eventuell betroffene Konten zu setzen. Auch wenn man nicht zu den Betroffenen gehört, kann ein Passwortwechsel nicht schaden, und man weiß danach: Meine Daten sind sicher!
  2. Zwei-Faktor-Authentifizierung aktivieren: Diese zusätzliche Sicherheitsebene ist ein wichtiger Schutzschild. Selbst wenn das Passwort in die falschen Hände gerät, benötigen Angreifer immer noch einen zweiten Faktor – typischerweise einen Code, der an ein Smartphone gesendet wird. In den PayPal-Sicherheitseinstellungen lässt sich die 2FA mit wenigen Klicks einrichten.
  3. Kontoaktivitäten überprüfen: Eine Durchsicht der Transaktionshistorie der letzten Wochen ist empfehlenswert. Besondere Aufmerksamkeit verdienen ungewöhnliche Zahlungen oder Abbuchungen. Im Verdachtsfall sollte umgehend der PayPal-Kundendienst kontaktiert werden.

Langfristige Sicherheitsstrategie

  1. Sich Wert und Bedeutung der eigenen Daten bewusst machen: Klingt abstrakt, ist aber ein ganz entscheidender Punkt. Kriminelle wissen, was Daten wert sind, und setzen alles daran, sie zu stehlen. Um dagegen gewappnet zu sein, braucht es ein Bewusstsein für Datensicherheit. Ist das einmal vorhanden, werden viele Maßnahmen zur Selbstverständlichkeit – von Backup-Lösungen bis hin zum sicheren Löschen von Daten.
  2. Einzigartige Passwörter verwenden: „Ein Passwort für alles“ zu verwenden, ist verlockend, wirkt in der Praxis im Falle eines Angriffs aber wie ein Generalschlüssel für Hacker. Für jeden Online-Dienst sollte ein individuelles Passwort verwendet werden. Sichere Passwörter lassen sich ganz einfach mit einem Passwort-Generator erstellen. Ein Passwort-Manager wie Bitwarden, LastPass oder KeePass kann dabei helfen, trotzdem den Überblick zu behalten.
  3. Regelmäßige Sicherheitsüberprüfungen: Monatliche Prüfungen zumindest der wichtigsten Online-Konten sind ratsam. Dazu gehören insbesondere Banking-Apps und Zahlungsdienstleister. Kontrolliert werden sollten nicht nur die Kontobewegungen, sondern auch geänderte Einstellungen oder Adressdaten.
  4. Verknüpfte E-Mail-Adresse sichern: Das E-Mail-Konto ist oft der Schlüssel zu allen anderen Konten. Die mit PayPal verknüpfte E-Mail-Adresse sollte ebenfalls mit einem starken Passwort und 2FA geschützt sein.

Wachsamkeit im Alltag

  1. Phishing-Betrug erkennen: Skepsis ist angebracht bei E-Mails oder SMS, die angeblich von Zahlungsdienstleistern wie PayPal oder Banken stammen und zum sofortigen Handeln auffordern. PayPal wird niemals nach Passwörtern fragen oder zum klicken auf verdächtige Links drängen. Eine sorgfältige Prüfung der Absender-Adresse ist stets empfehlenswert.
  2. Vorsicht bei Anrufen: Bei Anrufen vermeintlicher Bank- oder PayPal-Mitarbeiter sollten keine persönlichen Daten preisgegeben werden. Stattdessen empfiehlt es sich, aufzulegen und selbst die offizielle Hotline anzurufen, die auf der Website des Unternehmens angegeben ist.
  3. Geräte-Sicherheit: Browser, Apps und Betriebssysteme sollten aktuell gehalten werden. Eine zeitnahe Installation von Updates schließt Sicherheitslücken. Ein aktueller Virenschutz kann zudem verhindern, dass Info-Stealer auf dem Gerät Fuß fassen.

Fazit: Sicherheit als kontinuierlicher Prozess

Der turbulente Monat bei PayPal verdeutlicht: Auch wenn es glücklicherweise keinen Hack gab, können Zugangsdaten dennoch durch Malware auf den eigenen Geräten oder durch Datenlecks bei anderen Diensten in Gefahr geraten. Die Sicherheit des PayPal-Kontos – und damit des eigenen Geldes – hängt maßgeblich vom individuellen Nutzerverhalten ab. Jedes Online-Konto ist nur so sicher wie seine Zugangsdaten und die Geräte, von denen darauf zugegriffen wird.

In einem weiteren Artikel haben wir Ihnen erklär, wie Sie einen sogenannten PayPal Me Link erstellen können, um sich Geld von Bekannten oder Freunden anzufordern.

Das könnte Ihnen auch gefallen

Unterschiede zwischen CAT 5, CAT 6, CAT 7 und CAT 8

Tech aktuell

Wie lange hält ein Fernseher? Einflüsse und Ursachen für Defekte

Techaktuell

PayPal: Abbuchungsvereinbarung stornieren – so geht’s

Techaktuell

IONOS: Kundenservice, Hotline, Chat und Kontakt

Techaktuell

eBay Gebot zurückziehen – so geht’s!

Tech aktuell

PayPal: Automatische Abbuchung widerrufen – wie?

Techaktuell

WhatsApp Web einrichten – so geht’s

Tech aktuell

Facebook Messenger Haken, das bedeuten sie!

Techaktuell

SSL oder TLS Verschlüsselung – die wichtigsten Unterschiede

Tech aktuell

YouTube: Push-Benachrichtigungen deaktivieren

Tech aktuell

Smart-Home: Was leistet das intelligente Zuhause?

Tech aktuell

Amazon Live Chat kontaktieren

Tech aktuell

Was ist Microsoft Teams? Einfach erklärt!

Techaktuell

Re:scam – Im Kampf gegen E-Mail-Betrüger

Tech aktuell

Schnelles Internet: Diese Unterschiede gibt es in den verschiedenen Ländern

Tech aktuell