À l’insu de PayPal, des faussaires envoient régulièrement à de nombreuses adresses de messagerie Internet des invitations à vérifier leur compte PayPal, de même que leurs comptes dans de nombreuses banques. Il est impératif de ne pas tenir compte de tels messages, car PayPal n’en est pas le véritable expéditeur. Ces messages permettent aux faussaires de récupérer des numéros de carte bancaire, avec leur cryptogramme, leur titulaire et leur date d’expiration, ces informations étant saisies sur un faux site « PayPal » par la personne ayant reçu le courriel frauduleux. Ce type de fraude est appelée « hameçonnage » (phishing en anglais), la victime de la fraude étant comparée à un poisson qui « mord à l’hameçon ». Les faussaires peuvent ensuite réutiliser ces données volées à des fins malhonnêtes.