Achtung PayPal-Nutzer: Unberechtigte Abbuchungen häufen sich

(3 Bewertungen, 4.00 von 5)

Wer seinen PayPal- mit einem Google-Pay-Account für bargeldloses Zahlen verknüpft hat, sollte jetzt schleunigst seine Kontobewegungen überprüfen. Immer mehr Nutzer berichten derzeit von mysteriösen Abbuchungen, meist an US-amerikanische Unternehmen. Schuld könnte eine Sicherheitslücke bei PayPal sein, auf die IT-Experten bereits vor Monaten hingewiesen haben.

Anzeige

Hacker kauften mit fremden Konten ein

Mehr als eintausend US-Dollar sollen einige der Geprellten für Shopping-Touren bei der amerikanischen Discounter-Kette Target ausgegeben haben. Auf der Abrechnung sind die einzelnen Filialen mit dem Buchstaben T und einer vierstelligen Kennnummer angegeben: T-1401 befindet sich beispielsweise im New Yorker Stadtteil Brooklyn, T-2475 in der Bronx. Aber auch völlig unzusammenhängende Buchstabenkombinationen sind teilweise als Zahlungsempfänger angegeben. Die Service-Hotline von Google Pay verweist aufgeregte Betrugsopfer weiter an PayPal.

Fehler schon vor einem Jahr gefunden

Währenddessen hat sich auf Twitter das deutsche Cybersecurity-Unternehmen exablue gemeldet, dem die Sicherheitslücke bekannt vorkommt. Gründer Markus Fenske und sein Mitarbeiter Andreas Mayer haben sie angeblich bereits im Februar 2019 entdeckt. Nach ihrer Schilderung wird bei der Verknüpfung zwischen Google Pay und PayPal eine virtuelle Kreditkarte mit eigener Kartennummer, CVC-Sicherheitsnummer und Auslaufdatum erzeugt. Diese virtuelle Karte ermöglicht das bargeldlose Zahlen im stationären Handel und im Internet. Das Problem: PayPal prüfe bei einer Buchung weder den korrekten Namen noch den CVC-Code.

Card Validation Code wird nicht überprüft

Den Sicherheitsexperten gelingt das Zahlen im Test beispielsweise mit dem Namen „John Doe“ und der CVC „000“. Darüber hinaus benötigen sie eine valide 16-stellige Kartennummer. Doch diese Hürde dürfte für Cyber-Kriminelle kein Problem darstellen. Das Knacken solcher Zahlenkombinationen mithilfe von Brute-Force-Aktionen gehört für sie zum Handwerk. Bei dieser Methode spielt ein Programm automatisch und in kürzester Zeit verschiedene Kombinationen durch, bis eine Zeichenfolge akzeptiert wird.

PayPal reagiert schwerfällig

Über HackerOne, eine Melde-Plattform für Software-Fehler, nahm exablue im vergangenen Jahr Kontakt mit PayPal auf. Für den Hinweis auf den gefährlichen Bug zahlte das Unternehmen sogar eine Belohnung von 4.400,- US-Dollar. Welche Maßnahmen daraufhin ergriffen wurden, um Nutzerkonten zu schützen, ist unklar. Nach Angaben von Fenske prüfte PayPal auch am Nachmittag des 25. Februar 2020 weder Namen noch CVC-Code der virtuellen Google-Pay-Kreditkarten. PayPal hingegen gab an, das Problem zu diesem Zeitpunkt bereits gelöst haben. Alle Geschädigten sollten ihr Geld zurückerhalten. Darüber hinaus äußerte sich der Zahlungsdienstleister nicht zu dem Vorfall.

Praxis-Tipps

1. Überprüfen Sie als Google-Pay-Nutzer derzeit besonders sorgfältig Ihre PayPal-Abrechnungen!
2. Wenn Sie sich Sorgen machen, Opfer der Betrugsmasche geworden zu sein, stornieren Sie in Ihrem PayPal-Konto die Abbuchungsvereinbarung für Google Pay!
3. Sollte Ihnen bereits unberechtigt Geld abgebucht worden sein, wenden Sie sich sofort an den PayPal-Kundenservice. Kontaktmöglichkeiten finden Sie unter https://www.paypal.com/de/smarthelp/contact-us
4. Erstatten Sie auf Wunsch Anzeige bei der Polizei.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Verbraucherschützer: Online-Plattformen müssen mehr Verantwortung übernehmen Marktplätze und Vergleichsportale bieten Händlern einen unkomplizierten Kanal, ihre Ware einer großen Zahl von Usern präsentieren zu können. Kommt es dabei jedo...
Weiterlesen...
Otto oder Amazon: Konkurrenz der Online-Giganten Amazon ist aus dem täglichen Online-Handel nicht mehr wegzudenken: Der Marktführer hat sich fest im E-Commerce etabliert und hat den Einkauf im Internet geprägt...
Weiterlesen...
Werbung: Was müssen Händler bei der Angabe von „handelsüblichen Mengen“ beachten? Viele Shops und Ladengeschäfte versuchen Kunden in der Werbung mit Angeboten zu locken. Doch wie viele Angebotsprodukte muss der Händler vorrätig halten? Das ...
Weiterlesen...
Internet-Bestellung: Onlinehändler müssen Liefertermine angeben Das neueste Smartphone und die modernste Konsole sind noch nicht einmal erschienen, da wollen gut informierte Fans sie bereits bestellen. Wie sollen Shop-Betrei...
Weiterlesen...
AGB in Onlineshops: „Höhere Gewalt-Klausel“ unwirksam? Mit der Frage, ob die AGB-Klausel "Wenn höhere Gewalt oder sonstige Umstände vorliegen, deren Beseitigung unmöglich ist, entfällt die Leistungspflicht" wirksam ...
Anzeige DSGVO
Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support