PayPal im Visier: Millionen Zugangsdaten im Darknet!

Ob beim schnellen Geldtransfer an Freunde oder beim Bezahlen von auf dem Flohmarkt ergatterten Antiquitäten, PayPal ist längst fester Bestandteil unseres Alltags. Umso alarmierender wirken Schlagzeilen, die von Millionen kompromittierten Konten berichten. Jüngst machte die Meldung die Runde, dass 15,8 Millionen Zugangsdaten im Darknet zum Verkauf angeboten würden. Die Vorstellung, dass eine der weltweit wichtigsten Zahlungsplattformen betroffen sein könnte, sorgt für Aufsehen – und bietet zugleich einen aufschlussreichen Blick auf die Mechanismen moderner Cyberkriminalität.

Die gute Nachricht: PayPal selbst wurde nicht gehackt. Vielmehr sind sogenannte Infostealer im Spiel – Schadprogramme, die sich unbemerkt auf private Rechner einschleusen, dort Browser nach gespeicherten Logins durchsuchen und die gefundenen Daten samt zugehöriger Webadressen an Kriminelle übermitteln. Genau dieses Muster findet sich in den derzeit angebotenen PayPal-Datensätzen wieder.

Ein weiteres Einfallstor ist Credential Stuffing: Dabei werden bereits bekannte Zugangsdaten aus früheren Datenlecks automatisiert auf andere Plattformen getestet. Da viele Nutzerinnen und Nutzer ein und dasselbe Passwort für mehrere Dienste verwenden, gelingt es Angreifern häufig, auf diese Weise auch PayPal oder andere Konten zu übernehmen.

Wichtig ist: Diese Vorfälle deuten nicht auf Sicherheitslücken bei Zahlungsanbietern hin, sondern entstehen durch gestohlene oder unsicher gespeicherte Zugangsdaten auf Nutzerseite. Infostealer greifen beispielsweise auch Bank- oder Kreditkartendaten ab, wenn diese im Browser oder in Apps gespeichert sind und können sie anschließend für unbefugte Transaktionen missbrauchen.

So schützen Sie sich:

• Starke Passwörter nutzen: niemals dasselbe Passwort für mehrere Dienste verwenden und Zugangsdaten regelmäßig ändern.

• Passwortmanager einsetzen: um komplexe, einzigartige Passwörter sicher zu generieren und zu verwalten.

• Gespeicherte Zahlungsdaten vermeiden: besser auf spezialisierte Wallets oder sichere Banking-Apps zurückgreifen.

• Endgeräte aktuell halten: Betriebssystem, Browser und Sicherheitssoftware regelmäßig aktualisieren.

• Auf Schadsoftware prüfen: regelmäßige Scans helfen, Infostealer oder andere Trojaner frühzeitig zu erkennen.

• Kontobewegungen überwachen: bei verdächtigen Aktivitäten sofort den Anbieter informieren.

Was passiert mit den klassischen Banken?

Während Dienste wie PayPal häufig mit einer simplen Kombination aus E-Mail-Adresse und Passwort genutzt werden, unterliegen sie inzwischen ebenfalls den Vorgaben der europäischen Zahlungsdiensterichtlinie PSD2. Diese schreibt eine Starke Kundenauthentifizierung (SCA) vor, sodass in vielen Fällen zusätzlich ein zweiter Faktor wie App-Bestätigung, SMS-Code oder biometrische Freigabe erforderlich ist. Allerdings erlaubt PSD2 bestimmte Ausnahmen – etwa bei Kleinbetragszahlungen, wiederkehrenden Abos oder vertrauenswürdigen Geräten und Händlern. Dadurch kann es vorkommen, dass nicht jede einzelne PayPal-Transaktion eine zusätzliche Authentifizierung verlangt.

Traditionelle Banken setzen dagegen meist standardmäßig auf mehrstufige Authentifizierungen. Ein kompromittiertes Passwort genügt in der Regel nicht, um Transaktionen durchzuführen. Stattdessen kommen TAN-Verfahren, SMS-Codes oder spezielle Banking-Apps zum Einsatz.

Das macht Angriffe wie Credential Stuffing oder das bloße Abgreifen gespeicherter Login-Daten für Kriminelle bei Banken deutlich schwieriger. Zwar sind auch Bankkunden nicht völlig vor Schadsoftware oder Phishing gefeit, doch die zusätzlichen Sicherheitsmechanismen erhöhen den Aufwand für Angreifer erheblich und reduzieren den Missbrauch einfacher gestohlener Zugangsdaten.