Mobiles Bezahlen Deutsche PayPal-Kunden berichten von dubiosen Abbuchungen

Plötzlich fordert eine US-Handelskette Hunderte Euro an: Zahlreiche PayPal-Nutzer, deren Konto mit Google Pay verknüpft war, sehen sich mit seltsamen Abbuchungen konfrontiert.
Foto: Robert Galbraith/ REUTERS

"Target T-1401", "Target T-1150", "Target T-2132": Solche Empfängernamen für Abbuchungen tauchten in den vergangenen Tagen in den PayPal-Aktivitätsübersichten einiger deutscher PayPal-Kunden auf. Angefordert wurden oft mehrere, teils drei- oder vierstellige Beträge, wie unter anderem "Heise Online" berichtet . Target ist eine amerikanische Einzelhandelskette. Die meisten betroffenen Kunden betonen jedoch, nie mit diesem Händler zu tun gehabt zu haben. Es sind Abbuchungen, die es eigentlich nicht geben dürfte.

Schaut man auf die Nutzerberichte in sozialen Medien, scheint das Problem PayPal-Kunden zu betreffen, die ihren Account mit Googles Dienst Google Pay verbunden haben, um so etwa in Geschäften auf diese Art bezahlen zu können . Es wirkt, als hätten Betrüger eine Sicherheitslücke im Umfeld eines der namhaften Dienste ausgenutzt, vielleicht auch im Zusammenspiel von beiden.

Wie genau es zu den Abbuchungen kam, war am Dienstagvormittag noch weitgehend ungeklärt - zumal einige Betroffene angeben, ihre Konten mit einer Zwei-Faktor-Authentifizierung vor Betrugsversuchen geschützt zu haben. Dem US-Magazin "ZDNet"  teilte PayPal zunächst lediglich mit, man untersuche das Problem.

Auf jeden Fall den Kundenservice einschalten

Zählt man zu den Betroffenen, kann es nicht schaden, vorsichtshalber seine Zugangsdaten für PayPal, aber auch für Google Pay zu ändern, für den - bislang hypothetischen - Fall, dass Nutzerdaten abgegriffen worden sein könnten. Viele Nutzer haben sich zudem dafür entschieden, vorerst die Verknüpfung der beiden Zahlungsdienste zu lösen. In jedem Fall ist es empfehlenswert, sich mit einer Beschwerde an die Anbieter zu wenden. Allerdings verweist Google einigen Nutzern zufolge in solchen Fällen lediglich auf PayPals Kundenservice. Zu Dokumentationszwecken sollte man zudem Screenshots fragwürdiger Abbuchungen machen.

In einer Facebook-Gruppe, in der sich Betroffene austauschen, schreiben einige Nutzer, bei ihnen seien die zu Unrecht angeforderten Beträge tatsächlich schon vom hinterlegten Bankkonto abgebucht worden. Manche Nutzer berichten aber auch, dass ihnen PayPal nach einer Beschwerde bereits eine Rückbuchung der Beträge in Aussicht gestellt habe. Mehrere Möglichkeiten, PayPal telefonisch oder auch per Chat zu erreichen, listet das Unternehmen hier auf .

Ein Sicherheitsexperte hat eine Vermutung

Eine plausibel klingende Theorie, wie es zu den Abbuchungen kommen konnte, lieferte der Sicherheitsexperte Markus Fenske, den "ZDNet" zum Thema interviewt hat  und der PayPal nach eigenen Angaben bereits vor einem Jahr auf ein Sicherheitsrisiko hingewiesen hat . Im Artikel von "ZDNet" verweist Fenske darauf, dass PayPal eine virtuelle Zahlungskarte generiere, sobald ein PayPal-Account mit Google Pay verbunden werde: eine Karte mit Kartennummer, Ablaufdatum und Card Validation Code (CVC). Werde nun irgendwo kontaktlos per Google Pay über PayPal bezahlt, werde jene virtuelle Karte belastet.

Würden die Karten nur bei POS-Transaktionen zum Einsatz kommen (also etwa beim kontaktlosen Bezahlen an einer Supermarktkasse), wäre das kein Problem, wird Fenske bei "ZDNet" zitiert, "aber PayPal erlaubt es, diese virtuellen Karten für Onlinetransaktionen zu verwenden."

Fenske hält es daher für denkbar, dass Hacker einen Weg entdeckt haben, die Daten zu den Karten herauszufinden und sie für unautorisierte Transaktionen zu nutzen. Möglicherweise könnten sogenannte Brute-Force-Angriffe genügt haben, um die Nummern und Ablaufdaten der Karten herauszufinden, so eine seiner Vermutungen - also ein massenhaftes Ausprobieren möglicher Kombinationen. Die CVC müsse bei PayPals virtuellen Karten nämlich nicht unbedingt korrekt sein, so Fenske. Der Sicherheitsexperte betont allerdings selbst, dass seine These bislang nur eine Vermutung ist.

Update, 14.35 Uhr: Paypal hat dem SPIEGEL auf Anfrage mitgeteilt, das Unternehmen habe sich "unverzüglich" der Behebung dieses Problems angenommen. Betroffen habe es, so formuliert es Paypal, "eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen". Das Problem sei "inzwischen behoben".

Weiter teilt das Unternehmen mit: "Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten. Gemäß unserer Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten." Details, wie es überhaupt zu dem Problem kommen konnte, gab Paypal nicht bekannt.

Update, 16 Uhr: Von einem Google-Sprecher heißt es: "Wir verstehen die Frustration von Nutzern, die ungewöhnliche Aktivitäten auf ihren Accounts bemerkt haben und begrüßen, dass PayPal schnell gehandelt hat, um das Problem zu lösen." Sicherheit habe bei Google Pay "höchste Priorität": "Zahlungsbetrug ist eine komplexe Herausforderung und unser Team wird unsere Partner weiterhin dabei unterstützen, den Schutz von Nutzern zu gewährleisten."

Mehr lesen über