[English]Aktuell scheinen wohl PayPal-Kunden verstärkt Opfer von unberechtigten Abbuchungen für fingierte Bestellungen über Google Pay zu werden. Hier einige Informationen, was ich so herausgefunden habe. Ergänzung: Die Nacht (24./25.2.) sind eine Reihe neuer Fälle, alle aus Deutschland, aufgeschlagen. Diverse Informationen im Text nachgetragen.
1000 Euro-Abbuchung über Google Pay
Erstmals bin ich heute Vormittag bei Golem über diesen Artikel auf das Problem aufmerksam geworden. Im PayPal-Forum gibt es beispielsweise diesen deutschsprachigen Thread.
Hohe Abbuchung nach Googlepay zahlung
Hallo,
ich habe eine Parkticket für 6€ mit GooglePay gezahlt und das wurde per Kreditkarte auch abgebucht. Nur kurze Zeit später kommt eine Abbuchung über 6,47 von IWCWJQAUNHKLALD FUQNI und eine halbe Stunde später über 646,75€ von TARGET T-0762 . Ich habe keine der Zahlungen veranlasst geschweige denn das ich was davon weiss. […]
Im Thread gibt es über 40 Antworten, in denen sich Betroffene ähnlich äußern. Es wurden Abbuchungen über Google Pay veranlasst, wobei dieAngaben über den Zahlungsempfänger auf TARGET- und Starbucks-Filialen in den USA hinweisen. Hier ein Betroffener:
Betreff: Hohe abbuchung nach Googlepay zahlung
Hallo, ich habe exakt das gleiche Problem nur das bei mir Target T – 2475 (Wenn ich es bei Google eingebe erscheint ein Starbucks in NY?!?!?) mit 461,96€ abbuchen will. Auch über GooglePay veranlasst.
Kann ebenfalls keinen Fall bei PayPal selbst eröffnen und habe das Problem bei GooglePay gemeldet. Dort stand das die Prüfung bis zu 10 Tage dauern kann.
Die abgebuchten Beiträge reichen von 500 bis 1.000 Euro oder sogar mehr. Theoretisch könnten auch Testabbuchungen in Höhe von 1 Euro-Cents vorkommen, wenn Betrüger das Belastungsverfahren über Google Pay testen. Auch im Google Pay-Forum gibt es Threads wie hier zum Thema.
Fremdzugriff auf mein Konto, nicht autorisierte Zahlungen
Hallo Zusammen,
ich habe eine Frage und zwar wurden heute bei meinen Google Pay Konto 5 zahlungen getätigt die nicht von mir sind. Die zahlungen wurden sehr warscheinlich in den USA in verschiedenen Geschäften getätigt.
Hat jemand schon mal solch eine Erfahrung gehabt und habt ihr euer geld zurück bekommen?
Danke im Voraus für eure Antworten
Nachfolgender Screenshot aus dem Google Pay-Forum stammt von einem der Betroffenen und listet einige dieser ominösen Zahlungsanforderungen auf.
(Paypal: Unberechtigte TARGET-Abbuchungen, Google Pay-Forum)
Google hat auf dieser Seite Informationen zusammen gestellt, wie man nicht autorisierte Zahlungen anfechten kann. Und es gibt dieses Google-Kontaktformular für Google Pay-Hilfe.
Ergänzung: Im PayPal-Forum häufen sich aktuell die Meldungen über unberechtigte Abbuchungen von Target (hier mit Erstattung, hier, hier, …). Sind inzwischen wohl mehr als 20 Fälle.
Mysteriös: Google soll die Abbuchungen nicht sehen
Golem gibt an, dass Google auf Paypal als Zahlungsdienstleister verweist, wo man die Klärung bzw. Stornierung vornehmen solle. Gemäß obigen Zitaten aus dem Paypal-Forum können Betroffene aber bei PayPal keinen Fall zwecks Zahlungsklärung eröffnen. Golem schreibt, dass Google selbst, laut Auskunft mehrerer Benutzer nichts gegen diese Abbuchungen tun könne. Einem Nutzer wurde mitgeteilt, dass man die Abbuchungen im Google Pay-Konto nicht sehen könne.
Bei Paypal stornieren lassen, Google Pay entfernen
Bei Golem heißt es, dass die Nutzer die Zahlungen bei Paypal melden sollen und diese dort stornieren lassen können. Problem ist hier, dass die Stornierung erst möglich ist, wenn die Abbuchung wirklich erfolgt (würde erklären, warum die Betroffenen oben angeben, dass kein Fall bei Paypal eröffnet werden kann). Auf Twitter gibt es hier eine Diskussion zu diesem Thema.
Klar die meisten werden sich erstmal erschrecken, aber letztenendes passiert dem Anwender nichts. Entweder per Paypal oder spätestens von der Bank bekommt der Kunde sein Geld ja auf jeden Fall wieder.
— Marius Hoffmann (@derhoffi13) February 24, 2020
Wenn ich mir aber diesen Forenpost im Google Pay-Forum ansehe, ist das ein ganz schönes Hickhack. Die Empfehlung lautet aktuell, die Google Pay-Zahlungsoption aus seinem PayPal-Konto zu löschen – sofern das überhaupt geht.
Auf heise gibt jemand in diesem Kommentar den Ratschlag, die Abrechnungsvereinbarung mit Google Play auf der PayPal-Seite zu kündigen. Wie belastbar das ist, kann ich nicht beurteilen. Ein Betroffener gibt in diesem Forenbeitrag konkrete Handlungsempfehlungen zur Vorgehensweise. Möglicherweise hilft auch die hier genannte Telefonnummer 0800-7234500, wo man sich über eine Auswahl bis zu einem menschlichen Operator durchhangeln kann.
Ergänzung 2: Bei Facebook gibt es inzwischen eine private Gruppe, in der sich Geschädigte organisieren können. Aktuell habe ich keine Freigabe, private Infos hier einzustellen. Aber die Zahl der Betroffenen steigt und es kristallisiert sich für mich heraus, dass Paypal, Google Pay und den Zahlungsempfängern die Zahl der Fälle und die Brisanz noch nicht ganz klar ist.
Rückzahlungen teilweise von PayPal abgelehnt
Ergänzung 3: Inzwischen gibt es einen dokumentierten Fall im Paypal-Forum mit dem Titel ‚Rückzahlung abgelehnt‘. Hier der Text.
Hey,
wurde dir das Geld tatsächlich aufs Konto überwiesen?
Ich habe mich gestern auch beim Paypal Kundenservice gemeldet, als die Zahlung noch gar nicht durch war, wo mir zugesichert wurde, dass das auch nicht abgebucht werde, da ihnen Informationen fehlen würden. Als es dann abgebucht wurde habe ich mich wieder gemeldet, woraufhin mir gesagt würde, dass das einzige was ich machen kann ist, dass ich das ganze über die Konfliktlösung als unautorisierten Zugriff melde und abwarte. Heute morgen dann die Mail, dass nach Prüfung festgestellt wurde, dass es sich nicht um einen unbefugten Zugriff handele…. Bin grad sprachlos.
Mir liegen ähnliche Infos aus privaten Mitteilungen vor, das ist also kein Einzelfall. Das Thema ist noch nicht ausgestanden – wenn es aktuell wohl auch nur deutsche (und russische) Nutzer trifft.
Gab es den Hinweis bereits vor einem Jahr?
Im Rahmen der Recherchen zu diesem Beitrag bin ich hier auf den nachfolgenden Tweet gestoßen.
Reported a critical issue to PayPal ONE YEAR AGO.
„Not an issue. Please self-close“. Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up.
Found that it’s actively exploited by now. Sorry PP, you suck.https://t.co/48IVszRqlb
— iblue (@iblueconnection) February 24, 2020
Der Entdecker hat dann in einem Folge-Tweet das Problem offen gelegt. PayPal ermöglicht kontaktlose Zahlungen über Google Pay. Wenn diese eingerichtet wurde, können die Kartendaten einer virtuellen Kreditkarte vom Handy aus gelesen werden, sofern das mobile Gerät aktiviert ist (geht über kurze Entfernungen per NFC). Das erfordert keine Berechtigung. Und laut Tweets hat das keine zeitliche und monetäre Begrenzung – so wie ich es verstanden habe. Möglicherweise kommt das aktuelle Problem daher aus dieser Richtung – aber das ist Spekulation.
Ergänzung: Bei Caschy gibt es diesbezüglich noch einige Informationen mehr. Obwohl dieses Angriffsszenario möglich ist, habe ich persönlich Schwierigkeiten, das als Angriffsvektor nachzuvollziehen. Grund: Dann hätten wir vermutlich ein Cluster bei den Betroffenen – niemand zieht quer durch Deutschland, um einige virtuelle Kreditkarten über Google Pay aus Smartphones abzugreifen. Ich tippe eher darauf, dass einige Point of Sale (POS) Terminals durch Skimming-Scripte infiziert und dort die virtuellen Kreditkartendaten bei den Opfern abgezogen wurden. Dann würde man quer durch Deutschland Leute erwischen, die an einem infizierten POS-Terminal mit Google Pay auf Handy per NFC bezahlt haben.
Alternatives Szenarios wäre eine App, die die virtuelle Kreditkarte auf den Android-Smartphones abgreift.
Abschließende Gedanken
Wenn ich hier im Blog über Apple Pay, Google Pay und diverse Zahlungsmethoden berichte und zur Zurückhaltung mahne, bekomme ich speziell auf Twitter von jungen progressiven Nutzern zu hören, wie verkalkt wir Alten doch seien. Jetzt wird das lange Ende der ‘Black Box’ Zahlungsdienstleistungen mal wieder sichtbar. Da knirscht es ganz gewaltig im Getriebe und es ist unklar, wie man die drehen Rädchen überhaupt anhalten kann, geschweige denn, den Schaden zu reparieren.
Und das Zweite, was mir durch den Kopf geht: Ich hatte vorige Woche den Blog-Beitrag Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt veröffentlicht, wo Sicherheitsforscher auf mögliche Schwachstellen bei PayPal hinwiesen. Diesen Beitrag hatte ich auch publiziert, weil mir von zwei PayPal-Nutzern Hinweise auf gehackte PayPal-Konten bzw. unberechtigte Abbuchungen zugingen. Es muss zwar keinen Zusammenhang geben – aber das alles ist jetzt sehr suspekt.
PS: Inzwischen hat es der Beitrag bzw. das Thema über meinen englischsprachigen Blog bis nach Amerika zu Bleeping Computer und ZDNet.com geschafft. Die Kollegen dort haben nach einem Tipp von mir die Nacht noch weitere Informationen zusammen getragen.
Nachdem sich die Fälle häufen, habe ich zudem die Pressestelle von Paypal um eine Stellungnahme gebeten – speziell, was die mir bekannten Fälle betrifft, wo hohe 3 stellige Belastungen im Disputfall ohne Klärung einfach geschlossen wurden.
Ergänzung 3: Mir liegt jetzt eine Stellungnahme von PayPal vor – Details unter Neues zu unberechtigten PayPal-/Google Pay-Abbuchungen.
Mein Mitleid hält sich mehr als in Grenzen.
Wenn man in der Pulverkammer mit der Kerze den Vorrat prüft lebt man mit gewissen Risiken.
Die Leute verwenden die verschiedenen Zahlungsmöglichkeiten WEIL es sie gibt, ohne ein Jota Verstand einzusetzen und deren Steuerungsmöglichkeiten zu überblicken.
Schöne neue Welt.
Ich Dinosaurier kann wenigstens meinem Bankberater persönlich die Hölle heiß machen und muss mich nicht mit ferngesteuerten Antwortmaschinen abspeisen lassen, die im Endeffekt mich als Betroffenen alles abarbeiten lassen und selbst ausser vorgefertigten Textnachrichten nichts weiter dazu beitragen und das deutsche Recht bleibt komplett aussen vor.
Das sehe ich ähnlich. Ich habe nie verstanden, warum man bankenähnliche Dienste wie PayPal nutzen soll, die sich einer normalen Bankhaftung entziehen, wenn man Zahlungen auch einfach per Bankkonto vornehmen kann. Ich war kurzzeitig in einem Betrieb tätig, der PayPal-Zahlungen zuließ. Die Schwierigkeiten, mit denen wir zu kämpfen hatten, haben mich darin bestätigt, in meinem eigenen Laden einen weiten Bogen um solche Dienste zu machen.
Ließe meine Bank eine unberechtigte Abbuchung zu (in >25 Jahren noch kein einziges Mal passiert), würde ein kurzer schriftlicher Widerspruch genügen, und die Sache wäre gegessen.
Bei Kreditkartenzahlungen, die verdächtig scheinen, ruft meine Bank MICH an, um zu prüfen, ob alles OK ist.
Das deutsche Bankensystem ist ein echter Luxus, was Sicherheit, Komfort und Transparenz angeht, auch wenn es dafür nicht immer eine App gibt.
Paypal hat durchaus seine Daseinsberechtigung – zumindest als Onlinekäufer, weniger als Verkäufer.
Leider Gottes kommt es immer häufiger vor, daß man bestellte (und bezahlte) Waren nicht erhält. Blöd gelaufen, wer eine reguläre Überweisung getätigt hat, für Nachnahmesendungen wird ja mittlerweile teils ein Vermögen verlangt – Rechnungen wiederum bieten (aus verständlichen Gründen) nur wenige Firmen an.
Bei Paypal habe ich sehr gute Chancen mein verloren geglaubtes Geld wiederzubekommen. Eine getätigte Überweisung hingegen nur für eine sehr begrenzte Zeit und auch nur mit guter Begründung (im Gegensatz zur Lastschrift).
Ganz nebenbei kann ich damit auch weltweit einkaufen, ohne ständig Währungsdifferenzen bei X Banken im Auge zu behalten.
Das deutsche Bankensystem ist vor allem eines: Abgehängt. Die einzige Bank, die ich hier noch gerne nutze, ist die ING. Sowohl Commerzbank, als auch Volksbanken, SPARDA Banken, Sparkassen – ein Hohn, ein Sinnbild schlechter Kundendienstleistungen.
Die öffentlichen Meinungsäußerungen zu diesen Banken sprechen da auch eine klare Sprache.
Deutsche Bank in Finanznot? Wäre schön, wenn Onkel Trump mal seine Milliardenschulden dort tilgt, für seine Wolkenschlösser, denn zahlen werden die Zeche letztlich wir.
Tja, Nordkorea sammelt wohl wieder Devisen ein. 😬
Vorausschauend:
Bei Paypal keine Kreditkarte hinterlegen und immer noch soviel Geld auf dem Konto haben, wie einem nicht wehtut, wenn man es verliert.
Sehe ich ähnlich.
„…Wenn ich hier im Blog über Apple Pay, Google Pay und diverse Zahlungsmethoden berichte und zur Zurückhaltung mahne, bekomme ich speziell auf Twitter von jungen progressiven Nutzern zu hören, wie verkalkt wir Alten doch seien…“
Verkalkt und dement sind diejenigen, welche den Müll benützen.
Naja, bin auch älter … Sehr aber das Problem eher darin, das manche mehrere Dienstleister verknüpfen. PP und GooglePay. PP selbst ist recht sicher. Mein Kredo: Ein Bankkonto und PP, das reicht.
Nachdem Institute mittlerweile völlig hemmungslos Aktivitäten auf dem Konto selber filtern und darauf basierend Deine Bonität „erraten“, sehe ich das nicht mehr so.
Ich nutze mittlerweile mehrere Bankkonten (Gehaltseingang, laufende Fixkosten) und ein Spaßkonto für sinnfreie Ausgaben / Einnahmen (bspw. eBay-Einnahmen) – diese Konten werden von mir getrennt behandelt und nirgends zusammengeführt.
Hat zur Folge, daß ich bei Bank #1 eine ganz andere Bonität und Handlungsspielraum habe, als bei Bank #2.
Zusätzlich hierzu Kreditkarten, die unterschiedlich beschaffen sind: Eine „Echte“ (kostenfreies Geldabheben an allen Automaten), eine „Prepaid“ (wird bei mir wenig bekannten und ausländischen Shops verwendet) und eine für „Kommerz“ (keine Bargeldverfügungen möglich).
Aber den Sinn und Vorteil Kosten/Nutzen (oder halt Nachteil) muß jeder für sich selbst evaluieren. Mehr Zahlungsmöglichkeiten = mehr potentielle Sicherheitsrisiken.
Wie Du jedoch schon sagst: Dieses hin und her verknüpfen ist ein riesiges Problem. Und das nicht nur datenschutztechnisch. Durch die Querverzahnung aller potentiellen Daten wird man als Konsumvieh dermaßen transparent, daß man gezielt mit Werbemaßnahmen getriggert und manipuliert werden kann. Obendrein sind Betrugsmaschen, wie hier im Artikel angesprochen, schon fast an der Tagesordnung. Sollte man wirklich nach Möglichkeit vermeiden.
Google Pay: Welchen Vorteil habe ich, wenn ich diesen Dienst verknüpfe? Also abseits einer einmaliger Köderzahlung einiger Banken? Eigentlich gar keinen, außer daß man mittels Smartphone und NFC bezahlen kann (wieder ein Sicherheitsrisiko).
Ich sehe keine zusätzliche Sicherheit, keine weite Zahlungsakzeptanz, nichts.
Aber gut, Bitcoin wurde einst auch als Heilsbringer unweigerlich von den Youngsters propagiert. Genau so funktionieren Schneeballsysteme. Die, die es etablieren, streiten es ab, die, die es durchschauen werden als Ewiggestrige abgetan. :D
Man sollte auch nichts übertreiben. Zu viele Girokonten und Kreditkarten wirken sich nämlich negativ auf die Schufa-Einstufung aus.
Ob man sich mit Werbung manipulieren lässt, ist auch immer noch ein Ding der Eigenverantwortung. Als bewusster Zeitgenosse ist man nicht so ein leichtes Opfer. Dazu gehört bewusstes Zahlen: Wenn man immer den Geldbeutel aus der Hosentasche ziehen und echtes Geld anfassen muss, gibt man seine Kröten nicht unbedacht her.
Spendiere dem armem Ca_s_chy doch noch das fehlende „s“ im Linktext ;-) (Ich vergesse ja meistens das „c“)
Sind die virtuellen PayPal Kreditkartennummern eventuell fortlaufend vergeben (abgesehen von der Prüfziffer)? Dann würde schon einfaches Ausprobieren helfen…
Ist im Moment alles Spekulation. Zur Zeit untersucht Paypal – auch auf Grund der Berichterstattung und kann sich nicht weg ducken. Mal schauen, ob da was kommt.
Ich nutze PAYPAL schon seit Jahren über Kreditkarte, allerdings nur via PC von zuhause für Online-Einkäufe. Da gab´s noch nie Schwierigkeiten, zumal Vermeldungen über Vorgänge sofort per Email gemeldet werden. Da die Kreditkarte nur 1x zur Monatsmitte abrechnet über mein Bankkonto, hätte ich Zeit zum reagieren, wenn etwas nicht stimmt.
Wer Google-Pay nutzt, dann existiert eine Erlaubnis, bei PayPal Geld einzuziehen. Hierfür wird eine ID von PayPal verwendet, mit der ohne Kundeninteraktion Geld von PayPal abgebucht werden kann. (Ähnlich dem Lastschriftverfahren bei Banken.)
Meine Annahme ist, dass diese ID in Umlauf gekommen ist. Das Entkoppeln vom Googlekonto mit dem PayPal-Konto reicht ggf. nicht, da die Einzugserlaubnis ggf. bestehen und aktiv bleibt.
Daher diese Einzugserlaubnis kontrollieren und im PayPal-Konto kündigen!
Zu finden ist das unter: Einstellungen > Zahlungen > Verwalten Sie Zahlungen im Einzugsverfahren
Direktlink: https://www.paypal.com/myaccount/autopay/
Mir wurde von Google im Einzugsverfahren 99,99€ über Paypal für eine Leistung namens: Super Puck! (Adventur of Space) abgezogen.
Ich habe nichts dergleichen bestellt geschweige denn erhalten.
Auch die Google-Suche spuckt nichts aus zu „Super Puck“. Ich vermute einen Hack der nicht auffallen soll. Klingt ja nach einem Game..
Bei PayPal will man mir nicht helfen (Stichwort Käuferschutz) da es sich um eine Einzugsermächtigung von 2017 handle. Diese habe ich nie wissentlich/absichtlich erteilt.
Google kann auch keinen Fremdzugriff festellen.
Die Ermächtigung habe ich natürlich alle (es war u.a. noch dazn drauf..) bereits gelöscht.
Ich hoffe nun auf eine Erstattung, da es ja keine Lieferung gab, bzw eine Bestellung meinerseits mir gegenüber nachgewiesen werden müsste was ich wo gekauft habe.