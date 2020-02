Panagiotis Kolokythas

Google-Pay-Nutzer klagen über seltsame Aktivitäten auf ihrem Konto. Das steckt hinter der Attacke - und das sagt Paypal.

Vergrößern So sehen die - noch nicht authorisierten - Abbuchungen aus, über die Google-Pay-Nutzer klagen © https://support.google.com/pay/thread/29529465?

Update, 25.2.2020: Wir haben dem Artikel Informationen darüber hinzugefügt, wie es zu der Attacke gekommen sein könnte. Diese Infos finden Sie ab "Deutsche Sicherheitsexperte: Paypal kannte Problem seit Februar 2019". Außerdem erreichte uns per Mail vor wenigen Minuten die folgende Stellungnahme von Paypal zu diesem Thema:

"Wir haben uns unverzüglich der Behebung dieses Problems angenommen. Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen. Das Problem wurde inzwischen behoben. Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten. Gemäß unserer Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten."

Im Forum von Google Pay und hier im Forum von Paypal häufen sich seit wenigen Tagen die Klagen von Nutzern über ungewöhnlich hohe Abbuchungen, die über Google Pay veranlasst wurden, mit denen die Nutzer selbst aber nichts zu tun haben. Ein Nutzer hatte am Sonntag gemeldet, dass über sein Google-Pay-Konto mehrere Zahlungen in verschiedenen Geschäften in den USA getätigt wurden. Anschließend meldeten sich immer mehr Nutzer, die ebenfalls solche ungewöhnliche Abbuchungen bemerkten. Offenbar sind Nutzer betroffen, die ihre Google-Pay-Konten mit ihrem Paypal-Konto verknüpft haben, um dann mit Google Pay überall kontaktlos zahlen zu können, wobei die Beträge dann über das bei Paypal hinterlegte Konto abgebucht werden.



Den in Google Pay aufgelisteten Aktivitäten zufolge, wurden die Abbuchungen vor allem in Geschäften der US-Supermarktkette Target veranlasst. Unter anderem in Filialen in New York.

Teils wurden die Auszahlungen noch nicht autorisiert, andere Nutzer melden allerdings, dass tatsächlich auch zum Teil hohe Beträge von ihren bei Google Pay über die Verknüpfung zu Paypal hinterlegten Kreditkarten abgebucht wurden. Und dies obwohl bei ihrem Google-Pay-Konto alle Sicherheitsmaßnahmen aktiv sind und eine Zahlung ohne Smartphone gar nicht hätte möglich sein können. Nutzer, die ihr Google Pay mit einem Paypal-Konto verknüpft haben, klagen in diesem Paypal-Forumsthread über die seltsamen Abbuchungen.

So wehren Sie sich gegen die Abbuchungen

Google-Pay-Nutzer sollten überprüfen, ob über ihr Google-Pay-Konto ungewöhnliche und von ihnen nicht autorisierte Zahlungen getätigt wurden. Sollten Sie ebenfalls von dem Problem betroffen sein, dann sollten Sie sich umgehend mit Google Pay in Verbindung setzen. Wie Sie eine getätigte Zahlung anfechten, melden oder stornieren können, erläutert Google auf dieser Support-Seite. Den Support von Google Pay erreichen Sie über diese Website von Google.

Zusätzlich sollte auch Paypal umgehend informiert werden. Auf dieser Seite finden Sie alle Informationen, wie Sie sich mit dem Paypal-Kundenservice in Verbindung setzen können. Laut einem Forumsbeitrag im Google-Pay-Forum hat sich mittlerweile auch Google zu den Problemen geäußert. Zitiert wird aus einer Mail, laut der Google bereits an einer Lösung des Problems arbeite.

Deutsche Sicherheitsexperten: Paypal kannte Problem seit Februar 2019

Die deutschen Sicherheitsexperten von Exablue berichten mittlerweile über mehrere Tweets hinweg, dass ein freier Mitarbeiter des Unternehmens schon im Februar 2019 im kontaktlosen Bezahlsystem von Paypal ein "ernstes Problem" gefunden und auch an Paypal gemeldet habe. Paypal habe auch eine Belohnung in Höhe von 4.400 US-Dollar für die Entdeckung ausgezahlt, aber offenbar das Problem nicht gelöst.

Konkret beschreiben die Sicherheitsexperten das Problem wie folgt:

Für die NFC-Bezahlung erhalte der Kunde eine virtuelle Kreditkarte. Mit dieser virtuellen Karte seien nicht nur Point-of-Sales-Transaktionen an NFC-Terminals möglich, sondern diese virtuellen Kreditkarten können auch für Online-Zahlungen verwendet werden. Bei diesen Online-Zahlungen würden aber nur die Kreditkarten-Nummer und das Ablaufdatum der virtuellen Kreditkarte überprüft und jede CVC-Nummer und jeder Karteninhaber-Name akzeptiert. Alle Informationen einer virtuellen Kreditkarte könnten über eine NFC-Leseapp ausgelesen werden.



Exablue kommt aber zur Einschätzung, dass bei den aktuellen Vorfällen die Angreifer eine Brute-Force-Attacke verwendet haben, weil einige der Betroffenen angeben, nie die Möglichkeit des kontaktlosen Bezahlens genutzt zu haben und auch NFC auf ihren Smartphone deaktiviert haben.

Brute-Force-Attacke bedeutet, dass die Angreifer die Kreditkarten-Nummern erraten haben. Eigene Recherchen hätten ergeben, dass bei den betroffenen deutschen Kunden die ersten acht Ziffern, die die Bankidentifikationsnummer enthalten, immer identisch gewesen seien, wodurch nur noch sieben Ziffern erraten werden mussten. Die letzte Ziffer der Kreditkartennummer lasse sich aus den ersten acht Ziffern und den weiteren sieben Ziffern errechnen.

Nachdem Paypal den Service erst seit Oktober 2018 anbietet, gäbe es auch nur 17 mögliche Varianten eines Ablaufdatums einer virtuellen Kreditkarte. Der Rest sei Mathematik: Davon ausgehend, dass es rund 170 Millionen mögliche Kreditkarten-Nummern gibt und davon 1 Million Nutzer in Deutschland die NFC-Zahlung aktiviert haben, führe jeder 170te Versuch zu einer gültigen Kreditkarten-Nummer.