Dubiose Abbuchungen

Kriminelle nutzen Lücke in PayPal und Google Pay

PayPal-Nutzer, die den Bezahldienst mit Googles Google-Pay-Service zum kontaktlosen Zahlen mit dem Smartphone verknüpft haben, werden seit einigen Tagen von mysteriösen Abbuchungen überrascht. Offenbar nutzen Kriminelle eine bereits vor einem Jahr entdeckte Sicherheitslücke in der Kombination der beiden Dienste aus, um ihre Taschen zu füllen.

Hierzulande ist das kontaktlose Bezahlen mit Google Pay noch nicht verfügbar, es ist also davon auszugehen, dass die Problematik kaum Österreicher betrifft. Dennoch werfen Berichte aus Deutschland ein schlechtes Licht auf das kontaktlose Zahlen mit dem Handy.

Konkret klafft die Lücke laut einem „Golem“-Bericht in virtuellen Kreditkarten, die PayPal dem Google-Bezahldienst bei Verknüpfung der beiden Angebote bereitstellt. Die Lücke soll bereits seit einem Jahr bekannt sein: Das IT-Security-Unternehmen Exablue hatte die Lücke laut eigenen Angaben schon 2019 an PayPal gemeldet und erhielt dafür offenbar 4400 US-Dollar „Kopfgeld“. Repariert wurde die Lücke aber seither nicht.

(Bild: AP)

Mehrere Sicherheitslücken entdeckt
Laut Exablue scheint es bei der Google-Pay-Zahlung mit virtuellen PayPal-Kreditkarten mehrere Sicherheitslücken zu geben: Zum einen schalte PayPal die Karten nicht nur für das kontaktlose Zahlen über NFC frei, sondern auch für Online-Bezahlvorgänge. Zum anderen werde beim Bezahlvorgang weder der Name des Inhabers noch die Prüfnummer der Karte abgefragt.

Damit braucht ein Angreifer nur mehr die Nummer der virtuellen Kreditkarte und deren Ablaufdatum, um Zahlungen damit durchzuführen. Beides ließe sich in der Nähe eines Google-Pay-Nutzers problemlos und unbemerkt mit NFC-Lesegeräten in Erfahrung bringen und dann missbrauchen.

Symbolbild.

(Bild: ©terovesalainen - stock.adobe.com)

Wurden die Kartennummern erraten?
Denkbar sei auch, dass Kreditkartennummern und Ablaufdaten einfach maschinell geraten wurden: Die ersten acht Stellen der virtuellen Kreditkarten sind immer ident, die letzte Ziffer ist eine Prüfzahl. Damit müssten Angreifer nur sieben Stellen der Nummer erraten und mit 17 möglichen Ablaufdaten - die virtuellen Karten gibt es erst seit kurzem - ausprobieren.

Bei Exablue ist man sich nicht sicher, ob der Angriff tatsächlich wie beschrieben abgelaufen ist. Im Gespräch mit Golem.de betont man aber, dass man das vor einem Jahr entdeckte Angriffs-Szenario nun nochmals ausprobiert hat und man immer noch allein mit der Kreditkartennummer und einem Ablaufdatum auf Kosten Dritter einkaufen könne. PayPal selbst hat sich noch nicht zu den Problemen geäußert.

(Bild: AP)

Bisher kein Google Pay in Österreich
Betroffen von dem Problem sind Google-Pay-Nutzer mit verknüpftem PayPal-Konto nicht nur in den USA, sondern auch in Europa. In Deutschland berichten User, dass ihnen aus den USA unrechtmäßig Geld abgebucht wurde. In Österreich funktioniert das kontaktlose Bezahlen mit Google Pay offiziell noch nicht, hierzulande dürften also kaum Betroffene existieren.

Wer PayPal und Google Pay bereits verknüpft hat und verhindern will, dass unrechtmäßig Geld von seinem PayPal-Konto abgebucht wird, sollte den Google-Pay-Abbucher bei PayPal sicherheitshalber deaktivieren. Das funktioniert auf der PayPal-Website unter dem Punkt „Zahlungen“, Unterpunkt „Zahlungen im Einzugsverfahren verwalten“.