Diese Mail wirkt auf den ersten Blick wie eine normale Sicherheitswarnung von PayPal. Die Antwort ist eindeutig: Das ist Phishing. Der Link hinter dem Button führt nicht zu PayPal, sondern auf eine fremde Domain. Die nachgebaute Login-Seite dient dazu, Zugangsdaten und womöglich auch einen Sicherheitscode abzugreifen.
Schon die Mail selbst liefert mehrere Warnzeichen. Sie beginnt nur mit „Hallo!“ statt mit einer persönlichen Anrede. Gleichzeitig baut sie Druck auf: Angeblich sei das Konto gerade auf einem iPad angemeldet, und man müsse sofort handeln. Genau diese Mischung aus Unsicherheit und Eile ist typisch für Phishing.
Der Link führt nicht zu PayPal
Der wichtigste Punkt liegt nicht im Design der Mail, sondern in der verlinkten Adresse. Hinter dem Button „Zum Kundenprofil“ steckt keine offizielle PayPal-Adresse. In den gezeigten Screenshots wird zunächst eine fremde URL eingeblendet, später landet man auf einer weiteren Domain, die ebenfalls nichts mit paypal.com zu tun hat.
Dort erscheint eine Seite, die PayPal täuschend ähnlich sieht. Abgefragt werden E-Mail-Adresse oder Handynummer und danach das Passwort. Für viele Nutzer wirkt das noch glaubwürdig, weil Logos, Farben und Aufbau vertraut aussehen. Genau darauf setzt der Angriff.
Besonders auffällig ist, dass der Ablauf noch einen weiteren Schritt enthält: eine angebliche Sicherheitscode-Abfrage. Das soll Seriosität vermitteln, ist aber kein Echtheitsbeweis.
Was uns aufgefallen ist
Auffällig ist die angebliche Code-Mitteilung auf der Fake-Seite. Dort steht, ein Sicherheitscode sei an eine Nummer mit der Vorwahl +43 gesendet worden. Das spricht dafür, dass sich die Masche eher an Nutzer in Österreich richtet.
Gerade daran zeigt sich aber auch, wie wenig dieser Hinweis bedeutet. In unserem Test wurde gar keine Telefonnummer eingegeben, sondern nur eine frei erfundene E-Mail-Adresse. Trotzdem erschien anschließend der Hinweis auf einen angeblich versendeten Sicherheitscode an eine +43-Nummer.
Die Anzeige belegt also weder einen echten Versand noch eine Verbindung zu einem realen PayPal-Konto. Sie ist offenbar freigesetzt und soll den Ablauf glaubwürdiger machen. Der einzige erkennbare Bezug ist die Landesvorwahl +43, die die Seite für österreichische Nutzer plausibler wirken lässt.
Auch im Footer der Mail zeigen sich merkwürdige Abweichungen. Die Links hinter „Sicherheit“ und „Hilfe & Kontakt“ führen in den gezeigten Fällen offenbar nicht zu offiziellen PayPal-Seiten, sondern zu völlig sachfremden Zielen, etwa zu einer Restaurant-Webseite oder zu einer Facebook-Seite.
Warum diese Ziele dort hinterlegt wurden, lässt sich aus dem Material nicht sicher sagen. Möglich ist, dass die Täter eine Mailvorlage unsauber zusammengebaut, fremde Linkziele übernommen oder den Footer nur oberflächlich nachgebildet haben.
Für die Bewertung ist das aber zweitrangig. Entscheidend ist: Auch diese Verlinkungen passen nicht zu einer echten PayPal-Mail. Sie sind ein weiterer Hinweis darauf, dass hier kein legitimer Sicherheitsprozess vorliegt.
Der Code macht die Falle glaubwürdiger
Eine Code-Abfrage wirkt auf viele Menschen wie ein zusätzliches Sicherheitsmerkmal. In Wirklichkeit kann sie Teil des Betrugs sein. In dem geschilderten Fall erschien die Abfrage sogar nach Eingabe frei erfundener Zugangsdaten. Das spricht klar dafür, dass die Seite keinen echten PayPal-Login prüft, sondern nur einen vertrauten Ablauf nachstellt.
Gefährlich wird es, wenn echte Zugangsdaten eingegeben wurden. Dann könnten Täter parallel versuchen, sich beim echten Konto anzumelden. Löst das System dort wirklich einen Sicherheitscode aus und gibt das Opfer ihn auf der Phishing-Seite ein, kann dieser Code direkt missbraucht werden.
Der Sicherheitscode schützt also nicht automatisch. Er schützt nur dann, wenn er auf der echten Plattform eingegeben wird.
Die Mail kopiert sogar Warnhinweise
Ein weiterer Widerspruch steckt im Footer. Dort steht sinngemäß, PayPal spreche Kundinnen und Kunden immer mit Vor- und Nachnamen an. Die konkrete Mail tut genau das nicht. Sie beginnt nur mit „Hallo!“.
Solche Details wirken klein, sind aber wichtig. Betrüger übernehmen oft echte Textbausteine aus Originalmails, achten aber nicht darauf, ob der Rest dazu passt. Dadurch entsteht eine Mail, die auf den ersten Blick professionell aussieht, bei genauerem Hinsehen aber Brüche zeigt.
Gerade auf dem Smartphone fallen solche Widersprüche leicht unter den Tisch. Dort sieht man Domainnamen oft erst nach einem Tipp oder beim längeren Halten des Links. Unter Zeitdruck wird dann schnell geklickt, weil die Nachricht wie eine Sicherheitswarnung aussieht.
Was Betroffene jetzt tun sollten
- Wer diese Mail erhalten hat, sollte nicht auf den Button klicken. PayPal sollte nur direkt über die App oder über die selbst eingegebene Adresse paypal.com geöffnet werden.
- Wer bereits Daten eingegeben hat, sollte das Passwort sofort ändern und die Kontobewegungen prüfen. Wurde auch ein Sicherheitscode eingegeben, ist schnelle Reaktion besonders wichtig. Dann sollte der offizielle PayPal-Support direkt über die echte Website oder App kontaktiert werden.
- Die verdächtige Nachricht kann zusätzlich an [email protected] weitergeleitet werden. Antworten auf die Mail oder weitere Klicks auf enthaltene Links sind keine gute Idee.
Warum sich so etwas schnell verbreitet
Die Masche wirkt glaubwürdig, weil sie keinen exotischen Trick braucht. Sie kopiert einen vertrauten Vorgang: Warnung, Login, Sicherheitscode. Viele Nutzer kennen genau diesen Ablauf von echten Kontosicherungen.
Dazu kommt ein emotionaler Trigger. Wer liest, dass ein fremdes Gerät auf das eigene Konto zugreift, will den Zugriff sofort stoppen. In diesem Moment prüfen viele nicht mehr sauber, ob die Domain wirklich zu PayPal gehört. Der Angriff funktioniert deshalb nicht nur technisch, sondern vor allem psychologisch.
FAQ zum Thema: PayPal neuer Zugang erkannt
Hat PayPal die Mail „Neuer Zugang erkannt“ wirklich verschickt?
Nein, in dem hier gezeigten Fall handelt es sich um eine Phishing-Mail. Der Link führt nicht zu PayPal, sondern auf fremde Domains mit nachgebauter Login-Seite.
Woher stammt die Aussage über den neuen PayPal-Zugang auf einem iPad?
Sie stammt aus der betrügerischen Mail selbst. Einen Beleg dafür, dass tatsächlich ein fremder Zugriff auf das echte PayPal-Konto vorliegt, liefert die Nachricht nicht.
Wie prüft man solche PayPal-Zitate oder Sicherheitsmails im Internet?
Am zuverlässigsten prüft man die Zieladresse des Links und meldet sich nie über Mail-Buttons an. Öffnen Sie PayPal immer direkt in der App oder über die selbst eingegebene offizielle Adresse.
Warum fragt die gefälschte PayPal-Seite nach einem Sicherheitscode?
Weil der Ablauf dadurch echter wirkt. In manchen Fällen dient der Schritt nur der Täuschung, in anderen kann ein echter Code live abgefangen werden.
Was tun, wenn man bei der PayPal-Mail Passwort oder Code eingegeben hat?
Dann sollte das Passwort sofort geändert werden. Zusätzlich sollten Kontoaktivitäten, hinterlegte Geräte und mögliche unberechtigte Zahlungen geprüft werden.
Woran erkennt man, dass die PayPal-Mail gefälscht ist?
Die Mail ist unpersönlich formuliert und verlinkt nicht auf paypal.com. Auch die nachgelagerte Login-Seite läuft auf fremden Domains und ist damit kein offizieller PayPal-Auftritt.
Weitere Informationen
Wer tiefer in den Fall einsteigen möchte, findet hier die ausführliche Analyse:
PayPal-Phishing: Warum selbst der Sicherheitscode Teil des Betrugs sein kann
Wie wir solche Fälle im Detail prüfen, zeigen wir hier:
Hinter den Fakten – Einblick in unsere Recherche für Unterstützer:innen
Hinweis: Stand zum Veröffentlichungsdatum.
Verwendete Bilder, Screenshots und Medien dienen ausschließlich der sachlichen Auseinandersetzung im Sinne des Zitatrechts (§ 51 UrhG).
Teile dieses Beitrags können KI-gestützt erstellt und redaktionell geprüft worden sein.
(Mehr zur Arbeitsweise)
