PayPal: Deutsche Kunden berichten von unberechtigten Abbuchungen via Google Pay

  • TIPP

  • mad.de
  • 888 Aufrufe 3 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • PayPal: Deutsche Kunden berichten von unberechtigten Abbuchungen via Google Pay

    Wer dubiose Abbuchungen von Empfängern mit exotischen Namen wie IWCWJQAUNHKLALD FUQNI oder Target-Stores aus den USA entdeckt, sollte zügig handeln.

    Wer Googles Bezahldienst Google Pay mit seinem PayPal-Konto verknüpft hat, um Zahlungen direkt vom Bankkonto abbuchen zu lassen, sollte einen Blick auf seinen PayPal-Zahlungsverlauf werfen. Derzeit berichten Nutzer von Abbuchungen aus den USA, die sie selbst nicht veranlasst haben beziehungsweise nicht zuordnen können.

    Wie aus entsprechenden Schilderungen von Nutzern im Google-Pay-Forum und im PayPal-Forum hervorgeht, sind als Empfänger vor allem (in den USA befindliche) Filialen der Discounterkette Target Store angegeben (z.B. Target T-1150, Target T-1401, Target T-2132, Target T-2475). Weitere Empfängernamen sind MAILED IT und scheinbar wahllos aneinandergereihte Buchstabenfolgen à la OPJLAXCXAWICK LPTAB.

    Die abgebuchten Summen variieren stark; Nutzer nennen ein-, aber auch bis zu vierstellige Geldbeträge.

    Buchungen können über PayPal storniert werden
    Bislang ist völlig unklar, was sich hinter dem Phänomen verbirgt. Einige Benutzer berichten, trotz aktivierter Zwei-Faktor-Authentifizierung von dem Problem betroffen zu sein. Wer auf Nummer sicher gehen möchte oder den Verdacht hat, dass seine Zugangsdaten abgegriffen wurden, sollte diese sowohl für Google Pay als auch für PayPal ändern. Einige Nutzer haben sich auch dazu entschlossen, die PayPal-Verknüpfung in Google Pay vorerst zu entfernen.

    Betroffene, die sich über die jeweiligen Hotlines mit Google und PayPal in Verbindung gesetzt haben, berichten, dass Google die (intern über PayPal abgewickelten) Buchungen gar nicht "sehe" und nicht weiterhelfen könne. Ebenso wenig übrigens wie die Target-Filialen, bei denen die Drahtzieher hinter dem Betrug möglicherweise ausgiebig eingekauft haben.

    Google verweist den Schilderungen zufolge auf PayPal beziehungsweise auf die zuständigen Banken und empfiehlt zudem, bei der Polizei Anzeige wegen Betrugs zu stellen. PayPal wiederum storniert die unberechtigten Abbuchungen laut mehrerer Betroffener tatsächlich bestenfalls innerhalb von 24 Stunden.

    Mit PayPal in Kontakt treten
    Wie man am besten mit PayPal in Kontakt tritt und am Telefon verifiziert, dass man tatsächlich der Inhaber des jeweiligen Paypal-Accounts ist, geht aus einem Community-Beitrag von PayPal hervor.

    heise security hat bezüglich der Vorgänge bei PayPal und Google nachgehakt; eine Antwort steht aber noch aus.

    - PayPal-Passwort ändern - so geht's (Link auf untenstehender Seite)

    Quelle: PayPal: Deutsche Kunden berichten von unberechtigten Abbuchungen via Google Pay | heise online

  • Google Pay und PayPal reagieren auf Sicherheitslücke: So bekommen Sie Ihr Geld zurück

    Das PayPal-Konto als Zahlungsmethode zu nutzen, ist mittlerweile gerade bei jüngeren Menschen weit verbreitet. Eigentlich ist das System relativ sicher, jetzt allerdings wurden bei mehreren Usern in Zusammenhang mit Google Pay erschreckende Kontobewegungen beobachtet. Wir haben die Infos und Tipps, wie Sie reagieren, falls Sie selbst betroffen sind.

    Eigentlich hat sich Google Pay mit PayPal als Zahlungsmittel längst bewährt und ist bei vielen Deutschen eine beliebte Alternative zu Bargeld oder Geldkarte im Laden oder im Netz. Den praktischen Dienst können Sie rein theoretisch überall dort nutzen, wo kontaktloses Zahlen möglich ist und auch in einigen Online-Shops. Am vergangenen Wochenende wurden einige deutsche Nutzer jedoch über Zahlungsvorgänge informiert, die diese selbst gar nicht getätigt hatten.

    Dabei wurden zum Teil Summen in Höhe von knapp zehn bis mehr als 1.700 Euro von "TARGET" abgebucht. Wie Caschys Blog berichtet, wurden den Betroffenen dabei auffälliger Weise häufig die exakt gleichen Summen abgebucht, bei anderen Nutzern variieren die Beträge stark. Bei vielen Usern seien außerdem drei bis vier kurz aufeinander folgende dieser Abbuchungen getätigt worden.

    Auch Schutzmaßnahmen nutzlos
    Besonders beunruhigend: Scheinbar sollen viele der Anwender ihr Koto sogar durch Zwei-Faktor-Authentifizierung geschützt haben und sind somit gegen Hack-Angriffe geschützt. In den Login-Aktivitäten waren weder Auffälligkeiten oder Hinweise auf einen Hacker-Angriff zu finden.

    Einem User gegenüber soll Google sich wie folgt zu dem Problem geäußert haben:

    Rufen Sie Anmelden – Google Konten auf. Entfernen Sie dort alle Geräte die Sie nicht selber benutzen.

    Ändern Sie Ihr Google-Konto Passwort. In diesem Artikel finden Sie Tipps für ein starkes Passwort.
    – Ändern Sie das Passwort Ihres Paypal-Kontos.
    – Kontaktieren Sie Paypal und die damit verknüpfte Bank und melden Sie das Problem.
    – Es ist sehr logisch, dass Sie sich bei uns melden. Allerdings können wir in dieser Situation nicht viel machen. Paypal, Ihre Bank und die Polizei sind eher die richtigen Ansprechpartner.

    Als Mitarbeiter des Google-Supportteams habe ich leider keinen Einblick in die Vorgänge bei PayPal. Wir empfehlen Ihnen, sich mit Ihrem Anliegen direkt an den Kundensupport von PayPal zu wenden. [...]


    PayPal gibt schwammiges Statement ab
    Auf Anfragen von Caschys Blog hat sich PayPal nun erstmals zu Wort gemeldet. Allerdings ist die Aussage sehr schwammig formuliert. PayPal äußert sich zu den gemeldeten Transaktionen wie folgt:

    Uns ist bewusst, welches Vertrauen uns Menschen entgegen bringen, indem sie uns ihr Geld anvertrauen. Wir nehmen diese Verantwortung sehr ernst. In den Bereichen Betrugsprävention und Risikomanagement setzt PayPal auf moderne Technologien, um seine Kunden zu schützen und sichere Zahlungen zu ermöglichen. Wir untersuchen derzeit die von Ihnen angesprochenen Fälle und werden uns mit Ihnen in Verbindung setzen, sobald wir weitere Informationen erhalten haben. Bitte beachten Sie jedoch, dass wir uns aus Datenschutzgründen nicht zu Einzelfällen äußern können.

    Ein User scheint allerdeings mit einer Anfrage an PayPal selbst Glück gehabt zu haben. Gemeinsam mit der Antwort, dass die "fragliche(n) Zahlung(en)" für unbefugt befunden wurden, bekam der betroffene User den "vollständigen Betrag zurückgezahlt".

    Google reagiert auf die Sicherheitslücke - PayPal erstattet Summe
    Auch Google hat sich inzwischen mit einem Statement bei CHIP gemeldet:

    Wir verstehen die Frustration von Nutzern, die ungewöhnliche Aktivitäten auf ihren Accounts bemerkt haben und begrüßen, dass PayPal schnell gehandelt hat, um das Problem zu lösen. Sicherheit hat bei Google Pay die höchste Priorität. Zahlungsbetrug ist eine komplexe Herausforderung und unser Team wird unsere Partner weiterhin dabei unterstützen, den Schutz von Nutzern zu gewährleisten.

    Inzwischen hat PayPal nach eigenen Aussagen die Lücke behoben und betroffene Kunden bekommen ihr Geld zurück: "Gemäß unserer Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten", hieß es in einer Stellungnahme des Bezahldienstes.

    Es seien weder persönlichen Daten oder Finanzinformationen von Paypal-Kunden gestohlen worden, noch hätten Dritte Zugriff auf PayPal-Konten gehabt, so das Unternehmen weiter. Ihre Konto-Zugangsdaten müssen Nutzer also nicht zwingend ändern. Angaben zur Ursache des Problems machte Paypal zunächst nicht.

    So bekommen Sie Ihr Geld zurück:
    Um die unberechtigten Abbuchungen stornieren zu lassen, sei etwa die telefonische Kontaktaufnahme mit Paypal am effektivsten, erklären die Experten. Wie das am besten klappt, erkläre ein Community-Beitrag von Paypal detailliert.

    PayPal soll seit einem Jahr von der Sicherheitslücke wissen
    Laut Golem soll PayPal bereits seit einem Jahr von der Sicherheitslücke wissen. Bei der Webseite soll sich ein Mitarbeiter der Firma Exablue, einem Unternehmen für digitale Sicherheit, gemeldet haben. Seinen Aussagen zufolge handelt es sich bei den unberechtigten Abbuchungen um eine bereits bekannte Sicherheitlücke, die Betrüger jetzt ausnutzen.

    Bei jeder Zahlung via Google Pay mit PayPal wird eine virtuelle Kreditkarte zur Verfügung gestellt, um so kontaktloses Zahlen zu ermöglichen. Bei der Entwicklung des Systems sollen sich allerdings zwei Fehler eingeschlichen haben. Zum einen können die NFC-fähigen Kreditkarten nicht nur im Laden, sondern auch für Zahlungen im Netz eingesetzt werden - das ist im Vergleich zu ähnlichen Bezahlsystemen eher unüblich.

    Dadurch haben Angreifer nun die Möglichkeit die Kreditkartennummer von potentiellen Opfern via NFC auszulesen. Damit haben die Betrüger alle nötigen Informationen, um Transaktionen mit dem Geld der Opfer auszuführen. Besonders problematisch: PayPal soll weder den Namen noch die Prüfnummer für bei Zahlungen gegenchecken. Das macht es den Hackern besonders leicht, die Lücke im System auszunutzen und die Userdaten für Online-Käufe zu missbrauchen.


    - Just to give a summary and update on the most resent research on the current PayPal situation:

    - In February 2019 we found a serious issue in PayPal's contactless payment. To implement NFC payments, PayPal issues a virtual credit card. This virtual credit card is presented to

    - — iblue (@iblueconnection) February 25, 2020


    Quelle: Google Pay und PayPal reagieren auf Sicherheitslücke: So bekommen Sie Ihr Geld zurück - CHIP

  • Google Pay: PayPal-Lücke doch noch nicht geschlossen?
    Laut dem Entdecker der Sicherheitslücke, mit der unautorisierte PayPal-Abbuchungen via Google Pay ermöglicht werden, ist das Problem noch nicht gelöst – und sogar noch schlimmer, als gedacht.
    von Claudia Maag 27.02.2020 (Letztes Update: 27.02.2020)

    Nutzer von Google Pay, welche die Bezahl-App mit ihrem PayPal-Konto verknüpft haben, berichteten von dubiosen, unautorisierten Abbuchungen. Der Bezahldienst PayPal hatte versichert, dass das Problem behoben sei (PCtipp berichtete).
    Doch das scheint nicht der Fall zu sein, wie «Heise Online» vermeldet. Der Entdecker der Sicherheitslücke, der Sicherheitsforscher Markus Fenske aus Hannover, hat weitere Details veröffentlicht. Demnach ist die Sicherheitslücke sogar schlimmer, als er ursprünglich angenommen hat.

    Gegenüber Heise hat Feske geäussert, dass bei den virtuellen Kreditkarten, die PayPal für die Zahlungsabwicklung bereitstellt, ausser der Kartennummer keine Parameter geprüft werden. Zuvor war man davon ausgegangen, dass zumindest das Ablaufdatum geprüft wird. Wie Fenske auf Twitter schreibt, benötigt man bei einer vollständig fehlenden Überprüfung ungefähr 100 Versuche, um eine gültige Kreditkartennummer zu generieren, die einem zufälligen PayPal-Account zugeordnet wird.

    Das können Sie tun

    Fenske rät Nutzern, die von PayPal bei der Verknüpfung mit Google Pay erzeugte (virtuelle) Mastercard zu deaktivieren, damit via Google Pay keine Abbuchungen mehr vom PayPal-Konto möglich sind. Wie Sie dies ausführen, hat PayPal im Hilfe-Center erläutert. Loggen Sie sich bei PayPal ein und klicken Sie oben auf das Zahnrad-Symbol. Dann wählen Sie den Tab [i]Zahlungen aus und klicken auf den Button Zahlungen im Einzugsverfahren verwalten. Hier kann man laut PayPal die «neueste aktive Abbuchungsvereinbarung von Google, Inc» stornieren (erst Kündigen, dann auf Automatische Zahlungen stornieren klicken).

    Alternativ können Sie die über den Link genannte Support-Hotline anrufen, allerdings ist die genannte Nummer nur für Anrufer aus Deutschland gebührenfrei. Anrufer aus der Schweiz können PayPal über die Nummer +35314369414 kostenpflichtig kontaktieren.

    Update 13:55 Uhr: PayPal sagt auf Anfrage zu PCtipp dazu:

    «Wie bereits am 25. Februar mitgeteilt, hat PayPal das Problem bereits behoben. (...) Es gibt keine Hinweise darauf, dass ein Zusammenhang zwischen den Aussagen von Herrn Fenske und den nicht autorisierten Zahlungen besteht, von denen deutsche PayPal-Kunden betroffen waren, die PayPal in Google Pay nutzen.

    Vom Problem betroffen war eine sehr geringe Anzahl deutscher PayPal-Kunden, die PayPal als Zahlungsquelle in Google Pay nutzen. Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten.

    Wir werden betroffenen Kunden die nicht autorisierten Zahlungen automatisch zurückerstatten. (...)»


    Quelle: Google Pay: PayPal-Lücke doch noch nicht geschlossen?


    Weitere Infos: Google Pay und PayPal: Weiterhin Probleme mit unberechtigten Abbuchungen - connect

  • Neuer PayPal-Ärger: Nutzer beschweren sich über unberechtigte Abbuchungen - das sollten Sie jetzt tun

    Wieder mal gibt es Ärger wegen falscher Abbuchungen beim Bezahldienst PayPal. Nachdem vielen Nutzern erst vor einigen Wochen fälschlicherweise zum Teil vierstellige Beträge vom Konto abgebucht worden waren, berichten viele User nun erneut über falsche Konto-Abbuchungen.

    Bei dem aktuellen Fall berichten einige Nutzer, dass Ihnen derzeit mehrmals Kleinstbeträge in Höhe von 3,29 Euro von ihrem PayPal-Konto abgebucht werden, wie Caschys Blog berichtet.

    Die zugehörigen Beschreibungen der Zahlungsvorgänge sind auf russisch verfasst, was das Nachvollziehen für viele noch einmal erschwert. Gibt man die kyrillischen Schriftzeichen in den Google Translator ein, zeigt sich, dass die Abbuchungen wohl mit dem russischen Social Network "VKontakte" oder kurz "vk" in Verbindung stehen sollen.

    Als Händler wird hingegen Google Payment Ireland Ltd. angegeben, die zugehörige E-Mail-Adresse ist noreply+google@google.com. Die Abbuchungen wurden also von Google Konten aus durchgeführt.

    Für PayPal ist es innerhalb kürzester Zeit bereits das zweite Mal, dass von Konten unerlaubt Geldbeträge abgehoben wurden. Eine ausführliche Zusammenfassung dessen finden Sie unter diesem Link.

    PayPal: Was tun bei falschen Abbuchungen?
    Sind Sie Opfer der falschen Abbuchungen geworden, sollten Sie schnellstmöglichst Kontakt mit PayPal und Google aufnehmen. Auch ein Blick in die Einstellungen bei PayPal kann sich lohnen: Über die Menüpunkte "Zahlungen", "Verwalten Sie Zahlungen im Einzugverfahren" können Sie zum Beispiel einsehen, welche Firmen auf Ihr Konto zugreifen können.

    Bei den fälschlichen Abbuchungen im Februar gab Google einem betroffenen Nutzer außerdem folgende Tipps an die Hand:

    Rufen Sie Anmelden – Google Konten auf. Entfernen Sie dort alle Geräte die Sie nicht selber benutzen.
    Ändern Sie Ihr Google-Konto Passwort. In diesem Artikel finden Sie Tipps für ein starkes Passwort.
    • Ändern Sie das Passwort Ihres Paypal-Kontos.
    • Kontaktieren Sie Paypal und die damit verknüpfte Bank und melden Sie das Problem.
    • Es ist sehr logisch, dass Sie sich bei uns melden. Allerdings können wir in dieser Situation nicht viel machen. Paypal, Ihre Bank und die Polizei sind eher die richtigen Ansprechpartner.
    Quelle: Neuer PayPal-Ärger: Nutzer beschweren sich über unberechtigte Abbuchungen - das sollten Sie jetzt tun - CHIP