Wo ist hier der Aufreger?

Das Zertifikat ist auf *.de-pay.cards ausgestellt, und das passt auch
zum Namen der URL. Es taucht in der Domäne nicht mal "paypal" auf. 

Steht irgendwo in Zertifikat unter "Organisation" was von Paypal?
Vermutlich nicht, sonst hätte das der Autor sicher erwähnt. Was also
hat denn die Zertifizierungsstelle falsch gemacht? 

Sorry, aber ein Zertifikat kann nie den Anspruch haben, die
Seriosität einer Webseite sicherzustellen oder gar magisch dafür zu
sorgen, dass der Anwender da ist, wo er hinwill, auch wenn die Domäne
nichts mit seinem Ziel zu tun hat. Es sorgt erstmal dafür, dass man
mit dem Server spricht, der zu der URL gehört, die in der Adresszeile
angezeigt wird. Wenn im Zertifikat noch nähere Angaben stehen (Name,
Organisation, Mailadresse), dann muss die CA das auch überprüft
haben.

Wie die Spakasse richtig schreibt: "Geben Sie die Internet-Adresse
Ihrer Sparkasse immer selbst ein". Das hilft in diesem Fall. Dass
andere Tipps weiter oben stehen (Schloss da) liegt einfach daran,
dass bisher die Phisher sich nicht die Mühe gemacht haben, überhaupt
SSL zu verwenden. Insgesamt muss aber sowohl Adresse als auch Schloss
(Zertifikat) stimmen, damit man auf der richtigen Seite ist.