Für Zahlungen mit PayPal über Google Pay wird eine virtuelle Kreditkarte generiert Foto: obs/Mastercard

Deutsche Nutzer von Google Pay berichten von unberechtigten Abbuchungen durch mysteriöse Empfänger. Den Aussagen eines deutschen Sicherheitsforschers zufolge könnte dafür eine Lücke verantwortlich sein, die PayPal bereits seit einem Jahr kennt.

Stuttgart - Bei zahlreichen deutschen Google-Pay-Nutzern ist laut dem Fachportal „Heise online“ das verknüpfte Paypal-Konto mit unberechtigten Zahlungen belastet worden. Nutzer sollten ihren Zahlungsverlauf daher besonders genau prüfen.

So geht aus Schilderungen von Nutzern im Google-Pay-, sowie im PayPal-Forum hervor, dass etwa Abbuchungen an die US-Discounterkette „Target“, aber auch an kryptische Empfänger wie „IWCWJQAUNHKLALD FUQNI“ gegangen sind. Dabei variiert die Höhe der entsprechenden Beträge stark, sowohl ein-, als auch hohe dreistellige Summen sollen abgebucht worden sein.

Lesen Sie hier aus unserem Plus-Angebot: So wehrt sich die Sparda-Bank gegen Google

Betroffene sollten sich laut dem Bericht von Heise an den PayPal-Support wenden, da Google oder beispielsweise Target keine direkte Hilfestellung leisten können. PayPal storniere die Zahlungen dann „bestenfalls innerhalb von 24 Stunden“.

Sicherheitsforscher vermutet alte Sicherheitslücke hinter den Abbuchungen

Bislang gibt es nur Vermutungen, wie die Abbuchungen zustande gekommen sind. Heise zitiert den Sicherheitsforscher Markus Fenske, der dahinter eine Sicherheitslücke vermutet, die er bereits im Februar 2019 entdeckt und an PayPal gemeldet habe.

Demnach erzeuge PayPal bei der Verknüpfung mit Google Play eine virtuelle Kreditkarte inklusive üblicher 16-stelliger Nummer und einem Ablaufdatum. Für Online-Käufe ist auf Kreditkarten üblicherweise zusätzlich eine dreistellige Ziffernfolge, die sogenannte CVC, auf der Rückseite aufgedruckt, damit sich der Karteninhaber identifizieren kann.

Um sich als Inhaber einer virtuellen Mastercard von PayPal auszugeben, kann laut Fenske aber eine beliebige dreistellige Zahl eingegeben werden. Auch für Onlinekäufe ist die virtuelle Karte von PayPal nicht gesperrt. Im Gegensatz dazu werde laut Heise etwa bei der Hinterlegung einer physischen Bank-Kreditkarte eine seperate Kreditkartennummer generiert, die das verhindert.

Nutzer können Schutzmaßnahmen treffen

So reiche es bei der Verknüpfung von Google Pay mit PayPal aus, Kreditkartennummer und Ablaufdatum zu kennen, um im Namen des „Karteninhabers“ einzukaufen. Laut Caschys Blog kann diese Karte sogar in einem anderen Google-Pay-Konto hinterlegt werden, um damit zu bezahlen. Die ersten acht Zahlen der Kreditkartennummer sind aufgrund derselben „Bank Identification Number“ bei jeder Bank und damit auch bei PayPal identisch, die letzte Zahl ist eine Prüfziffer. Daher müssten laut Fenske nur sieben Stellen der Nummer und das Ablaufdatum geknackt werden.

Um Abbuchungen auf diesem Wege zu verhindern, sollte laut Sicherheitsforscher Fenske die Abbuchungsvereinbarung mit Google Pay im PayPal-Konto beendet werden. Das ist möglich, indem man sich bei PayPal einloggt, auf „Zahlungen“ klickt und anschließend unter „Zahlungen im Einzugsverfahren verwalten“ die neueste aktive Abbuchungsvereinbarung von Google, Inc. storniert. Außerdem sollten betroffene Nutzer zur Sicherheit ihre bei den Diensten verwendeten Passwörter ändern.