Wer PayPal nutzt um mit seinem Google-Pay-Konto zu bezahlen, sollte jetzt besonders gut aufpassen. Kriminelle können jetzt scheinbar über Google Pay PayPal anzapfen.
Wer und was hinter der neuen Masche steckt und wie ihr euch am besten verhaltet, lest ihr bei uns.
Über Google Pay PayPal angezapft? Das ist passiert
Seit dem Wochenende klagen vermehrt Google-Pay- und PayPal-Nutzer über unberechtigte Abbuchungen von ihrem Konto. Dabei handelt es sich aber nicht nur um Kleckerbeträge. Sowohl in Forum von Google Pay als auch im Forum von PayPal beklagen Betroffene hohe, bis zu vierstellige Geldbeträge, die einfach von ihrem PayPal-Konto abgebucht werden.
Veranlasst hat die Zahlungen Google Pay, die Mobile-Payment-Möglichkeit von Google, mit der man eben auch sein PayPal-Konto verknüpfen kann. Die unautorisierten Abbuchungen werden Empfängern zugeordnet, die sich in den USA befinden, darunter Filialen der US-Discounter-Kette Target Store (z. B. Target T-1150, Target T-1401, Target T-2132, Target T-2475), MAILED IT aber auch scheinbar wahllose Buchstabenfolgen (OPJLAXCXAWICK LPTAB).
Unautorisierte Abbuchungen sind die neue Masche Krimineller, über Google Pay PayPal abzufischen. Bild: Screenshot Google Pay-Hilfe
Google und Paypal zur Zeit ratlos
Was es mit den unautorisierten Abbuchungen auf sich hat, stellt sowohl Google als auch PayPal zur Zeit vor ein Rätsel. Erst recht, weil einige Benutzer berichten trotz aktiver Zwei-Faktor-Authentifizierung (also die zur Zeit sicherste Möglichkeit das eigene Konto zu schützen) betroffen sind.
Betroffene, die Kontakt zu Google und PayPal aufgenommen haben, berichten zum einen, dass Google die Buchungen gar nicht sehe und nicht weiterhelfen könne. Die Buchungen seien intern über PayPal abgewickelt worden und daher nicht einsehbar. Google verweist die Nutzer, bei denen Google Pay Paypal abgefischt hat, an PayPal bzw. die zuständigen Banken weiter. Außerdem sollen die Betroffenen Anzeige erstatten.
Bekommen die Betroffenen also über PayPal ihr Geld zurück? Aus den Berichten der Opfer geht jedenfalls hervor, dass das Geld bestenfalls innerhalb von 24 Stunden wieder auf dem PayPal-Konto war.
Was jetzt?
Falls ihr ebenfalls befürchtet, betroffen zu sein, raten wir euch dazu, schnellstmöglich in euer Google Pay-Konto und euer PayPal-Konto zu sehen und zu prüfen, ob auch ihr unautorisierte Abbuchungen verzeichnen müsst. Außerdem raten wir euch, eure Zugangsdaten für PayPal und Google Pay zu ändern.
Einige Nutzer entfernen sicherheitshalber auch die Verknüpfung ihres Google-Pay-Kontos mit ihrem PayPal-Konto. Durch diesen Schritt seid ihr jedenfalls vor unautorisierten Abbuchungen geschützt und müsst nicht darauf warten, dass Google und PayPal das Problem beheben. Folgendermaßen müsst ihr vorgehen:
- Ruft die Paypal-Seite für die Einstellungen auf, nachdem ihr euch mit euren Zugangsdaten eingeloggt habt
- klickt auf Zahlungen.
- klickt auf Zahlungen im Einzugsverfahren verwalten und storniert die neueste aktive Abbuchungsvereinbarung von Google.
Generell möchten wir euch aber ans Herz legen, Vorsicht walten zu lassen. Nicht selten waren Datenpannen, Trojaner und Phishing in Verbindung mit PayPal bereits hier im Blog Thema. Nehmt euch also in Acht!
Update vom 28.02.2020: Sicherheitslücke besteht offenbar noch immer
Markus Fenske, Chef der Sicherheitsfirma exablue GmbH, behauptet in seinem Twitter-Account, dass die Sicherheitslücke immer noch bestehe. Auch Google lässt Vorsicht walten und entfernt bei einigen Nutzern sicherheitshalber PayPal als Zahlungsmittel.
Bei der Schwachstelle handelt es sich offenbar um eine Schwäche bei der Erstellung der virtuellen MarsterCard, die für NFC, das kontaktlose Bezahlen, von der PayPal-App benötigt wird. Der Zusammenhang zwischen den unberechtigten Zahlungen und der Sicherheitslücke ist allerdings zur Zeit noch nicht bestätigt.
Update vom 21.04.2020: Sicherheitslücke scheinbar behoben
Leise, still und heimlich hat PayPal nach Berichten von heise IT-Security die Sicherheitslücke behoben. Zwar äußerte sich PayPal nicht selbst dazu, jedoch haben Forscher in den vergangen Wochen mehrfach weiter versucht, die Lücke „zu testen“ und jetzt funktionierte das Verfahren nicht mehr.
Könnt ihr Google Pay jetzt wieder guten Gewissens mit PayPal verknüpfen? Wir raten noch davon ab. Bisweilen wurde nämlich nur getestet, dass die Sicherheitslücke scheinbar so nicht mehr funktioniert. Eine offizielle Stellungnahme gab es nicht.
P.S. Ich hatte noch nie mit PayPal bezahlt oder etwas überwiesen, dennoch hatte ich heute, am 16.06.23′ um 16:38 Uhr einen Anruf mit unbekannter / unterdrückter Telefonnummer auf meinem Handy – mit einer Computerstimme angesagt – dass ich mit der Annahme dieses Anrufs € 760,– (irgendwohin) überweise…. eine Kontokontrolle / Kontoauszug ich aber erst am 17.06 durchführen….