Mit Sicher-Bezahlen-Funktion bei Paypal: Betrug auf Kleinanzeigen
Wer zum Jahresanfang ausgemistet und den nicht mehr benötigen Kram auf kleinanzeigen.de zu Geld machen wollte, ist womöglich auf eine neue Betrugsmasche gestoßen. Ich kannte den Sicher-bezahlen-Trick bisher nur theoretisch von meiner Recherche zu meinem Artikel zu Betrug auf Kleinanzeigen. Jetzt hatte ich in abgewandelter Form direkt damit zu tun. Wie der Trick funktioniert und was man dagegen tun kann.
So funktioniert die Betrugsmasche
Auf eine meiner Anzeigen meldete sich eine Userin, die Interesse hatte und gerne mehr über den Artikel und den Versand erfahren wollte. Die Anfrage klang zwar etwas förmlich, aber nicht absolut ungewöhnlich. Es darf ja auch mal freundlich sein statt eines "Was ist letzte Preis?", dachte ich.
Die Nutzerin wollte per Paypal bezahlen. Ich schickte ihr also meine Paypal-Adresse – wie schon bei anderen Verkäufen, bei denen das problemlos funktioniert hat. Die Userin hatte zwar keine Bewertungen, damit hatte ich in der Vergangenheit aber keine Probleme. Dass ihr Account schon länger existierte und sie mir sofort ihre (vermeintliche) Adresse mitteilte, machte sie für mich auf den ersten Blick glaubwürdig.
Seitdem las ich nichts mehr von der Interessentin. Ich schaute auf mein Paypal-Konto und stellte keinen Zahlungseingang fest. Stattdessen bekam ich zwei Mails, die angeblich von Kleinanzeigen stammten. Dort stand, dass der Artikel verkauft und bezahlt wurde. Ich sollte den Artikel jetzt versenden.
Über eine Schaltfläche in der Mail konnte ich den "Verkauf bearbeiten". Die Seite erinnerte vom Design etwas an die Sicher-bezahlen-Funktion von Kleinanzeigen. Nur, dass sie ausschließlich über den Kleinanzeigen-Nachrichtenverlauf läuft und nie über Mail.
Das weiß ich zum Glück und merkte schnell: Es handelt sich sehr wahrscheinlich um einen Betrugsversuch. Dass die Mail von notify@kleinanzeigen-accounts.dealsteuerungsplattform.de und wenig später eine Mail von kleinanzeigen@zv7634.com kam, bestätigte meinen Verdacht.
Die Mails phisheln stark
Hier hatten sich Betrüger nicht einmal die wenige Mühe gemacht und über Spoofing die Absenderadresse auf eine offizielle Adresse von Kleinanzeigen geändert wie noreply@kleinanzeigen.de.
So oder so offenbarte der Blick in den Mail-Quellcode, dass die Mail nicht von Kleinanzeigen selbst stammte. Auch der Link, der sich hinter der Schaltfläche "Verkauf bearbeiten" verbirgt, geht auf die Domain dealsteuerungsplattform.de.
Die Domain wurde pünktlich zum Feiertagsgeschäft am 18. Dezember 2025 registriert. Weitere Domains, von denen ich Betrugsmails bekam, waren postmaster@peepbuzz.com oder notify@kleinanzeigen-accounts.zahlbeleg.casa. Im Prinzip ist das aber auch egal, da Betrüger jederzeit andere Absenderadressen nutzen können.
Klickt man auf solche Links, soll man persönliche Daten angeben, etwa Kreditkartendaten, Adresse, Login-Daten für Kleinanzeigen oder sogar eine Kopie des Personalausweises hochladen. Ganz klar Phishing also. Theoretisch kann über den reinen Seitenbesuch oder bereits über die Ansicht der Mail (bei aktivierter Anzeige der externen Inhalte) Schadcode auf den PC oder Mobilgeräte geladen werden.
Wenig später wollte ein weiterer Interessent einen anderen Artikel bei mir kaufen. Ich dachte erstmal nicht daran, dass es sich wieder um einen Betrugsversuch handeln könnte und schickte meine Paypal-Adresse.
Es lief dann ähnlich ab wie beim ersten Mal. Nur meldete sich der Interessent dieses Mal zurück, dass die Bezahlung über Paypal mehrmals nicht funktioniert habe und ich per Mail etwas bestätigen solle. Seine Nachricht klang eher nach dubiosem Kundenservice als nach Privatperson. Also wieder ein Betrugsversuch.
Natürlich war ich nie so leichtsinnig, auf die Links zu klicken oder die nicht bezahlte Ware loszuschicken. Meine E-Mail-Adresse haben die Betrüger dennoch. Sie können sie in Spam-Verteiler eintragen oder für weitere Phishing- und Betrugsversuche nutzen.
Gekaperte Kleinanzeigen-Accounts
Das hinterlässt bei mir ein mulmiges Gefühl. Es ärgert mich zudem, dass ich so leichtgläubig war und gleich zweimal darauf reingefallen bin. Zumindest kann ich jetzt aber darüber berichten.
Ich forschte etwas nach. Die genannten Adressen der vermeintlichen Interessenten gibt es zwar, nur befinden sich dort Geschäftshäuser mit beispielsweise Arzt- und Physiotherapie-Praxen.
Die Kleinanzeigen-Accounts kapern Betrüger häufig von seriösen Nutzern. Daher existieren die Accounts schon länger. Sei es, weil die Accounts mit einem schwachen Passwort abgesichert und länger nicht mehr genutzt wurden und somit leicht knack- und nutzbar waren. Oder weil die Betrüger über erfolgreiches Phishing an die Login-Daten gelangt sind.
Was man dagegen tun kann
Ich habe daraus gelernt und werde in Zukunft nur noch meinen Paypal.me-Link senden statt meiner Paypal-Adresse. So kommt niemand an meine privaten Daten.
Die Betrugsmasche ist damit nicht mehr möglich, seriöse Käufer können mir dennoch über Paypal Geld schicken. Auch Interessenten mit fehlenden oder nicht positiven Bewertungen lehne ich künftig ab.
Wobei positive Bewertungen kein Garant für seriöse Nutzer sind. Wie gesagt ist es möglich, dass Accounts gekapert wurden oder die positiven Bewertungen von anderen Nutzern aus dem Betrugsnetzwerk stammen.
Wenn man schon, so wie ich, teilweise auf die Masche reingefallen ist, gilt wie immer: Nie auf Links in E-Mails unseriöser Absender klicken, keine Daten angeben und im Mail-Client die Ansicht externer Inhalte standardgemäß deaktivieren. Fürs Erste ist es außerdem hilfreich für Kleinanzeigen und andere Nutzer, die Accounts bei Kleinanzeigen zu melden.
Andrea Maurer absolvierte ein Volontariat in einer Onlineredaktion, bevor sie Systemadministratorin wurde. Sie vermisst die Arbeit an Artikeln manchmal, deshalb schreibt sie nebenberuflich.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.