Technik

Unberechtigte Abbuchungen Paypal-Nutzer via Google Pay abgezockt

Paypal.jpg

Ignoriert Paypal seit einem Jahr ein Sicherheitsproblem?

(Foto: imago images/Steinach)

Deutsche Paypal-Nutzer werden Opfer von Betrügern, die via Google Pay Beträge von bis zu 1000 Euro abbuchen. Die Gangster nutzen dafür offenbar eine schon länger bekannte Sicherheitslücke in Paypal aus. Google Pay scheint keine Schuld zu treffen.

Seit dem Wochenende mehren sich in den Foren von Paypal und Google Pay Nutzer-Berichte über nicht genehmigte Abbuchungen in Höhe von bis zu 1000 Euro. Den Aussagen und den geposteten Screenshots zufolge sind die Empfänger angeblich Target-Shops und Starbucks-Filialen in den USA. Laut "Golem" werden ausschließlich Nutzer abgezockt, die in Google Pay als Zahlungsmittel Paypal verknüpft haben.

Prüfnummer wird nicht geprüft

Eine Sicherheitsfirma teilte "Golem" mit, das Problem liege bei Paypal, das bei der Umsetzung der virtuellen Kreditkarte Fehler gemacht habe. So könne man mit ihr nicht nur kontaktlos an Kassen via NFC-Funktion des Smartphones bezahlen. Die virtuelle Kreditkarte sei auch für Online-Bezahlungen freigeschaltet. Paypal überprüfe bei einer Anforderung aber weder die dreistellige CVC-Prüfnummer noch den Namen des Karteninhabers.

Der Sicherheitsfirma zufolge könnten Angreifer beispielsweise bei einem entsperrten Smartphone mit einem Lesegerät über NFC die Kreditkartennummer und Ablaufdatum auslesen und mit diesen Daten einkaufen. Würde Paypal die CVC-Prüfnummer und den Namen abfragen, wäre dies nicht möglich.

Es sei auch denkbar, dass die Angreifer die Kreditkartennummern schlicht geraten haben, schreibt "Golem". Die ersten acht Stellen seien bei allen virtuellen Karten gleich, die letzte Ziffer sei eine Prüfziffer, daher blieben sieben Stellen übrig. Dazu kommen 17 mögliche Ablaufdaten, da es das System noch nicht allzu lange gibt. Somit gäbe es 170 Millionen Kombinationen von Kartennummern und Ablaufdaten.

Stimmen die Angaben der Sicherheitsfirma, wäre es für Paypal leicht, solche Betrügereien zu unterbinden. Der Bezahldienst müsste lediglich die Abfrage von Prüfnummer und Namen zur Pflicht machen und die Nutzung für Online-Käufe beenden. Doch offenbar hat das Unternehmen daran kein Interesse.

Problem ein Jahr lang ignoriert?

Laut "Golem" meldete die Sicherheitsfirma das Problem Paypal bereits vor einem Jahr über dessen Bugbounty-Programm, bei dem der Bezahldienst Belohnungen für entdeckte Schwachstellen anbietet. Zunächst habe Paypal zwar bestritten, dass es sich um eine echte Sicherheitslücke handelt. Doch nachdem die Sicherheitsfirma einen Angriff mit einem Video demonstrierte, habe das Unternehmen den Bericht akzeptiert und die Belohnung ausbezahlt.

Doch offensichtlich hat Paypal seine virtuellen Kreditkarten bis heute nicht abgesichert. Die Sicherheitsfirma überprüfte dies erneut mit einem Angriff und kam ohne CVC-Prüfnummer und Namen durch. Paypal hat bisher auf eine Anfrage von "Golem" nicht geantwortet.

Quelle: ntv.de, kwe