PayPal via Google Pay: Beschwerden über unberechtigte Abbuchungen
In den Foren von Google und PayPal häufen sich Meldungen über nicht autorisierte Abbuchungen durch PayPal, wenn der Bezahldienst mit dem eigenen Google-Pay-Konto verknüpft wurde. Der Grund hierfür ist bis dato unbekannt, Betroffenen wird eine Stornierung der Abbuchung und Anzeige bei der Polizei empfohlen.
Diversen Berichten zufolge sollen in vielen Fällen Beträge von über 500 Euro, teilweise sogar bis zu 1.000 Euro abgebucht worden sein, ohne dass die Kontoinhaber die Bezahlung in irgendeiner Form veranlasst hätten. Die meisten Abbuchungen stammen laut PayPal von Einkäufen bei Starbucks- und Target-Filialen in den USA, wobei letztere mit „Target T-“ - und der folgenden Filialnummer in den Kontoauszügen aufgeführt werden. Teilweise werden dort für die Begünstigten auch kryptische Bezeichnungen wie IWCWJQAUNHKLALD FUQNI oder OPJLAXCXAWICK LPTAB verwendet.
Dass eine Betrugsmasche und kein Fehler dahinter steckt, liegt nahe. Auch weil andere Nutzer berichten darüber, dass lediglich Abbuchungen im einstelligen Cent-Bereich auf ihren Kontoauszügen aufgeführt werden. Das könnte darauf hindeuten, dass die Betrüger testen wollen, ob das jeweilige Konto belastet werden kann, ohne damit großes Aufsehen zu erregen.
Bisher deutet alles daraufhin, dass es nur in Verbindung von PayPal mit Google Pay zu diesen Abbuchungen kommt. Wer auf Nummer sicher gehen will, sollte daher die Verbindung bis zur endgültigen Klärung trennen.
PayPal nur mit dünnem Statement
Eine erste Erklärung von PayPal bringt nur wenig Licht ins Dunkel: Hinter den bekannten Formulierungen bezüglich der eigenen Verantwortung, Datenschutzgründen und der Versicherung, dass der Vorfall ernst genommen werde, versteckt sich lediglich die Aussage, dass aktuell Untersuchungen laufen.
Noch nicht erklärt wird, warum die verschiedenen Schutzmechanismen wie Zwei-Faktoren-Authentifizierung oder andere Frühwarnsysteme, mit denen PayPal für die Sicherheit seines Dienstes wirbt, anscheinend nicht gegriffen haben. Dies ist aber die Voraussetzung, damit Geschädigte nach den Richtlinien von PayPal überhaupt erst einen unberechtigten Kontozugriff melden und somit den Käuferschutz in Anspruch nehmen können.
Google rät zur Stornierung
Google verweist bisher direkt an PayPal, da die Buchung von Google-Pay-Mitarbeitern nicht eingesehen werden kann. Geschädigten wird empfohlen, auffallende Bewegungen auf dem eigenen Konto bei PayPal zu melden sowie den Betrag umgehend zu stornieren und eine Rückbuchung zu veranlassen. Dafür muss der Zahlungsvorgang jedoch erst abgeschlossen worden sein. Zusätzlich wird empfohlen, eine Anzeige wegen Betruges bei der Polizei aufzugeben.
Die aktuellen Vorfälle haben eine Sicherheitslücke wieder an die Öffentlichkeit, die bereits Anfang 2019 entdeckt wurde. Sie soll im Rahmen des Bug-Bounty-Programms von PayPal auch mit einer Belohnung bedacht worden sein – geschlossen wurde die Lücke aktuellen Erkenntnissen nach jedoch bisher nicht.
Ob das Leck auch für die jetzigen Vorkommnisse verantwortlich ist, bleibt allerdings fraglich, denn zur Durchführung bedarf es eines physischen Zugriffes auf das Gerät. Da PayPal zur kontaktlosen Zahlungsabwicklung mit Google Pay auf eine virtuelle Kreditkarte zurückgreift, kann diese von jeder beliebigen Cardreader-App ausgelesen werden – Voraussetzung hierfür ist lediglich ein aktives Display. Die ausgelesene Karte soll sich anschließend gänzlich ohne CVC-Überprüfung nutzen lassen.
Google Pay ist seit Juni 2018 in Deutschland verfügbar, eine Nutzung des Bezahldienstes war zu Anfang lediglich über Debit-Mastercard möglich, in Laufe der Zeit wurden auch andere Anbieter unterstützt. Eine Auflistung unterstützter Zahlungsmethoden in Deutschland stellt Google auf einer entsprechenden Hilfeseite zur Verfügung. Im Oktober wurde die Kooperation mit PayPal in Deutschland bekannt gegeben.
Markus Fenske, CEO beim Sicherheitsunternehmen exablue, dessen freier Mitarbeiter Andreas Mayer die Lücke vor einem Jahr entdeckt hatte, beschreibt den so genannten Angriffsvektor auf Twitter wie folgt: Um NFC-Zahlungen zu ermöglichen, generiert die PayPal-App eine virtuelle Kreditkarte. Anders als bei anderen Anbietern kann über diese Karte aber nicht nur eine Zahlung im Einzelhandel autorisiert werden, sondern auch eine Zahlung im Online-Handel. Und in diesem Fall verlangt PayPal lediglich nach Angabe der Kartennummer sowie des Ablaufdatums.
Diese Informationen ließen über ein NFC-Lesegerät aus einem Smartphone auslesen und dann verwenden. Allerdings geht Fenske nicht davon aus, dass das der Fall gewesen ist. Vielmehr geht er davon aus, dass Angreifer die Daten der von PayPal ausgestellten virutellen Kreditkarten per Brute Force „erraten“ haben. Das sei weniger aufwendig als auf den ersten Blick gedacht, denn die ersten sieben Stellen der Nummer seien zumindest bei den überprüften deutschen Accounts immer gleich. Damit müsste nur noch eine siebenstellige folgende Zahlenkette durchprobiert werden, denn die letzte Zahl ist lediglich ein Produkt aus den 15 vorangegangenen. Das Ablaufdatum sei noch einfacher zu erraten, denn jede Karte ist ein Jahr gültig, mit einem Start im Oktober 2018 gibt es bisher also nur 17 Varianten.
Fenske bestätigt, dass PayPal im letzten Jahr 4.400 US-Dollar für die Meldung des Fehlers gezahlt, auf Nachfragen, ob er behoben sei, aber nicht mehr reagiert hätte. Und auch heute sei es den Sicherheitsforschern noch möglich gewesen, mit einer erratenen Kartennummer nebst passendem Ablaufdatum unter Angabe eines wahllosen Namens und CVC-Nummer eine Online-Zahlung zu autorisieren.
Mit diesen Informationen dürfte klar sein, dass in der Tat Kriminelle und kein Systemfehler hinter den Abbuchungen stecken. Potentiell betroffen ist jeder PayPal-Nutzer, der kontaktloses Zahlen eingerichtet hat.
Gegenüber Heise hat PayPal verlauten lassen, dass das Problem inzwischen behoben sei, ohne genauer ins Detail zu gehen. „Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen“, heißt es weiter. Google Pay war bisher der einzige Dienstleister zum kontaktlosen Bezahlen, der mit PayPal verknüpft werden konnte. Betroffenen Kunden soll das unrechtmäßig abgebuchte Geld zurückerstattet werden. Ob das automatisch oder auf Antrag geschieht, verrät das Statement nicht.
Google, das in diesem Fall ebenfalls der Leidtragende ist, hat sich gegenüber ComputerBase inzwischen mit folgender Erklärung zu Wort gemeldet und verweist für weitere Fragen an PayPal.
Wir verstehen die Frustration von Nutzern, die ungewöhnliche Aktivitäten auf ihren Accounts bemerkt haben und begrüßen, dass PayPal schnell gehandelt hat, um das Problem zu lösen. Sicherheit hat bei Google Pay die höchste Priorität. Zahlungsbetrug ist eine komplexe Herausforderung und unser Team wird unsere Partner weiterhin dabei unterstützen, den Schutz von Nutzern zu gewährleisten.
Ein Google-Sprecher
Die Entdecker der Sicherheitslücke, die mutmaßlich Basis für die aktuelle Betrugsmasche ist, haben noch am Dienstag der Darstellung widersprochen, dass das Problem behoben sei und das mit dem Screenshots einer nicht autorisierten Abbuchung belegt. PayPal hat sich bisher nicht erneut dazu geäußert.