Die ‘schmutzigen’ Seiten des PayPal-Hacks

[English]Ich möchte nochmals die Geschichte über die unrechtmäßig belasteten PayPal-Konten deutscher Nutzer aufgreifen. Denn es kommen immer mehr Details zu diesem Sachverhalt ans Tageslicht.


Anzeige

Rückblick: Die PayPal-/Google Pay-Abbuchungen

Vor einigen Tagen wurde bekannt, dass deutsche PayPal-Nutzer Opfer von unberechtigten Abbuchungen für fingierte Bestellungen über Google Pay wurden. Nachfolgender Screenshot aus dem Google Pay-Forum stammt von einem der Betroffenen und listet einige dieser ominösen Zahlungsanforderungen auf.

Paypal: Unberechtigte TARGET-Abbuchungen
(Paypal: Unberechtigte TARGET-Abbuchungen, Google Pay-Forum)

Ich hatte im Blog-Beitrag Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal berichtet. Später ging mir von PayPal eine Erklärung zu, dass es nur eine geringe Zahl Betroffener gegeben habe und diesen die Abbuchungen erstattet würden. Das ist im Blog-Beitrag Neues zu unberechtigten PayPal-/Google Pay-Abbuchungen thematisiert. Also alles in Butter? Nein, denn auf die Ursache des Missbrauchs ist PayPal nicht eingegangen – und am Artikelende finden sich Links zu Beiträgen hier im Blog, die weitere PayPal-Hacks und offene Sicherheitslücken aus den letzten 2 Wochen thematisieren.

Ein Fall vom letzten Sommer

Durch meine Berichterstattung bin ich über Twitter mit einer Person aus Frankreich in Kontakt gekommen. Diese berichtete mir von einem ähnlichen Fall, der sich bereits im Sommer 2019 ereignet habe. Hier die Kurzfassung:

  • Ein französischer PayPal-Nutzer wurde bereits im Juni 2019 Opfer dieses Betrugs. Von seinem Paypal-Konto wurden mehr als 1.000 Euro gestohlen. Das Opfer hat nie eine Bestätigungs-E-Mail der Transaktion erhalten.
  • Dem Nutzer war es nicht gelungen, eine Zweifaktor-Authentifizierung einzurichten: Die beiden bereits angegebenen Mobiltelefonnummern erhielten nie den erforderlichen Sicherheitscode zugesandt.
  • An dem Tag, als er den Betrug bemerkte, konnte das Opfer den technischen Support von PayPal erreichen. Morgens wurde ein Disput-Fall eröffnet, aber am späten Nachmittag schon geschlossen. Eine Erstattung wurde abgelehnt, da die Transaktion seitens des Kontoinhabers angeblich durchgeführt wurde. Auf Kontaktversuche per Twitter und Facebook reagierte Paypal nicht.
  • Das Opfer widerrief daraufhin sofort seine PayPal-Lastschrifteinzugsermächtigungen seiner Bankkonten. Weiterhin ließ es über die Bank die Lastschrift mit der Buchung zurück gehen. Das ist binnen 30 Tagen möglich.
  • PayPal startete dann eine 'Belästigungskampagne' per Telefon und per E-Mail, um den Storno rückgängig zu machen. Schließlich wurde ein Inkassounternehmen beauftragt, den Betrag einzutreiben und es wurde mit einem Gerichtsverfahren gedroht.
  • Dem Opfer gelang es sogar den Empfänger des gestohlenen Geldes ausfindig zu machen. Es machte Screenshots von all diesen Informationen (Paypal-Seite, Zahlung usw.).

Die französische Quelle schrieb mir: Das PayPal nur in England (nicht in Luxemburg) verklagt werden kann. Nach Brexit haben sich die Bedingungen für die Unterstützung der Opferhilfe durch Verbände geändert. In Frankreich waren alle Institutionen, die sich mit Cyber-Betrug befassen und die vom Opfer kontaktiert wurden, nicht in der Lage, auf diese Art von Problemen, die sie nicht einmal kennen, zu reagieren und/oder Lösungen zu finden. Zusammenfassend kann man sagen, so die Quelle, dass Paypal unangreifbar ist. Prüfen kann ich die Aussagen natürlich nicht, für mich lesen sie sich schlüssig.

Eine mögliche Schwachstelle

Bleibt noch die Frage, wieso die unberechtigten Abbuchungen stattfinden konnten. Bereits bei meinen ersten Artikeln hatte ich auf nachfolgenden Tweet hingewiesen.

Der Sicherheitsforscher Markus Fenske meldete sich nach Bekannt-werden der Missbrauchsbuchungen bei Golem und heise. Fenske vermutete hinter den missbräuchlichen Abbuchungen bereits von ihm im Februar 2019 entdeckte und an PayPal gemeldete Sicherheitslücke.


Anzeige

heise hat hier einen Artikel mit den Details veröffentlicht – und bei Golem lassen sich die Details hier nachlesen. Ich kann mir also das erneute Niederschreiben hier ersparen. Mittlerweise hat Fenske gegenüber heise nochmals nachgelegt – auch wenn PayPal schreibt, dass man reagiert habe, ist die von Fenske gefundene Schwachstelle in virtuellen Kreditkarten weiterhin ungeschlossen. In diesem Artikel schreibt heise, dass die Schwachstelle noch größer als befürchtet und einfacher als gedacht auszunutzen sei.

Der Punkt ist wohl dass die benutzen IDs für die virtuellen Kreditkarten aus einer 7 stelligen Zufallszahl besteht, wobei eine Ziffer zur Prüfung dient. Damit bleiben 6 Ziffern, die Hacker errechnen und ausprobieren könnten. PayPal führt keine ausreichende Prüfung und Absicherung durch.

Ergänzung: Mir ist noch eine weitere Information aus Facebook-Kreisen unter die Augen gekommen. Nutzer können das PayPal-Konto mit Google Pay verknüpfen und bekommen so eine virtuelle Kreditkarte. Diese lesen sie dann mit einer App aus und löschen die Verknüpfung wieder. Dann wiederholen sie den Vorgang einige Mals – und bekommen so einen Vorrat an virtuellen Kreditkarten IDs. Hacker könnten per Script sehr viele solche Vorgänge durchführen. Sollte PayPal diese gelöschten IDs irgendwann für andere Nutzer wiederverwenden, hätte der 'Hacker' diese vorrätig und braucht nur noch seine Sammlung durchzuprobieren (z.B. per Script 0,01 Cent transferieren).

Abschließend festgehalten: Es ist alles andere als klar, was da im Hintergrund passiert ist. PayPal mauert und der Fall ist aktuell für Betroffene nur durch die Berichterstattung glimpflich ausgegangen.

Nutzer bekommen PapPal-Sicherheitscode auf Smartphone

Ergänzung: Und mir ist auch die Information zugegangen, dass am 25. Februar 2020 einige Leute einen PayPal Sicherheitscode auf ihr Smartphone bekamen:

PayPal: Ihr Sicherheitscode lautet xxxxx. Er laeuft in 10 Minuten ab. Teilen Sie diesen Code ….

Dieser Code wird nur gesandt, wenn jemand das Kennwort für das Konto korrekt eingegeben hat. Ergo: Da probierte jemand im Hintergrund die Übernahme der Konten aus. Man sollte also zumindest das Kennwort für PayPal ändern – sofern das noch geht.

Beim Bug-Bounty ausgetrickts

Im Blog-Beitrag Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt hatte ich über die Klage anderer Sicherheitsforscher berichtet, die Sicherheitslücken meldeten. Diese Meldungen wurden abgewiesen, eine Prämie wurde verweigert.

In obigem Tweet greift iblue dieses Thema auf und fragt, wieso PayPal am Bug-Bounty teilnimmt, wenn man so etwas dann nicht umsetzt. Da ist einiges faul bei PayPal. Unter diesem Aspekt erhalten Meldungen wie hier zum Erfolg des HackerOne Bug Bounty-Programms schon ein Geschmäckle. Da passt dann auch diese Golem-Meldung, die über Proteste gegen Massenentlassungen bei PayPal-Deutschland berichtet.

Zufriedenheitsumfrage bei PayPal-Kunden

Abschließender Schwank: Nach meinen Informationen bekommen Betroffene eine Zufriedenheitsumfrage von PayPal zugeschickt, die sie beantworten sollen. Na gut, alles im gründen Bereich.

Ähnliche Artikel:
Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal
Neues zu unberechtigten PayPal-/Google Pay-Abbuchungen
Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt
Massen-Newsletter-Spam und der Paypal-Konten-Hack


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Die ‘schmutzigen’ Seiten des PayPal-Hacks

  1. chriscrosser sagt:

    paypal deutschland ist eh ein sch*** verein!
    bei denen hatte sich mal jemand mit meiner email adresse angemeldet…
    die haben das nicht mal bei MIR verfiziert! (der hatte lediglich einen ähnlichen real namen)
    ich bekam dann immer mahnungen von paypal, bis die das nach ewigkeiten gescheckt haben, das das ein anderer typ war, der einfach nur meine mailadresse benutzt hatte…
    habe mich mit denen fast 2 jahre deswegen rumgeärgert (telefonate und emails) bis dann endlich irgendwann mal ruhe im karton war!
    wie gesagt, es ist ein sch*** verein

    • Ärgere das Böse! sagt:

      Dort arbeiten Leute, welche nicht dorthin gehören.

      • chriscrosser sagt:

        …das problem war, das ich dort gar nichts hinterlegt hatte (KK, kontonummer, einzugsermächtigung oder ähnliches)
        ich habe das damals immer direkt mit den anbietern gemacht (per überweisung – bzw. vorkasse!)
        es wurde damals aber dann doch über ebay und dann ÜBER paypal einfach abgewickelt und danach hatte ich mit denen stress und die (nerverei) mit dem verein…
        aber wer es mag – ich persönlich möchte mit denen jedenfalls nix mehr zu tun haben – ist aber meine persönliche meinung dazu…
        mir erschienen die (paypal) auch schon sehr unseriös

  2. Ärgere das Böse! sagt:

    "…Das Opfer widerrief daraufhin sofort seine PayPal-Lastschrifteinzugsermächtigungen seiner Bankkonten. Weiterhin ließ es über die Bank die Lastschrift mit der Buchung zurück gehen…"
    Es ist einfach:
    – Bei Paypal keine Kreditkarten hinterlegen
    – Keine Einzugsermächtigung und
    – immer nur soviel Geld auf dem Paypal-Konto, wie maximal nötig, oder gar nichts und erst auf das Konto überweisen, wenn man mit Paypal bezahlen will.
    – Anstatt Paypal eine Prepaid-Kreditkarte benützen und dort auch immer nur den nötigsten Betrag drauf haben, und erst überweisen, bevor man etwas kauft.

    Paypal kann nicht mal einen brauchbaren Konto-Auszug herstellen. Wie wollen schwierigeres schaffen?

    • Günter Born sagt:

      Zu 'Es ist einfach:' – das ist ein Oxymoron, wenn die Daten dort eingetragen sind. Ich habe zwar keine Kreditkartendaten eingetragen (besitze ich nicht mehr) – aber ich brauchte in Zielkonto, um Paypal-Guthaben aufzuladen und ggf. später zurück zu transferieren. Ich habe inzwischen wohl den Händlerstatus, weil es Geldeingänge über den Blog gab.

      Löschen oder kündigen des Bankkontos geht bei mir definitiv nicht. Muss mir jetzt überlegen, ob ich das Ganze ggf. komplett kündige und den Paypal-Spenden-Button rausnehme – habe aber noch keine endgültige Entscheidung getroffen. Zumal PayPal schon bei den meisten Shops akzeptiert wird.

      • Ärgere das Böse! sagt:

        Natürlich musst Du ein Bankkonto hinterlegen. Das macht aber nichts, denn via Paypal kann niemand auf dein Bankkonto zugreifen.
        Das mit dem Bankkonto bei Paypal ist kein Problem, wenn Du keine Einzugsermächtigung hinterlegt hast.

        Und wenn Du keine Kredit-Karten-Daten hinterlegt hast, haben die auch keine.

    • Andreas W. sagt:

      Ich halte es so:

      – Bei Paypal keine Kreditkarten hinterlegen (für mich eine einfache Operation, denn ich habe keine – wirklich nicht!);
      -Immer 0 € auf dem Paypal-Konto, denn dann können die auch nie etwas einfrieren;
      – zielgerichtete Einzugsermächtigung vom Bankkonto (prktisch selten), denn das ist bei dieser Konstellation nicht anders möglich.

      Hatte damit noch nie Probleme.

      • Ärgere das Böse! sagt:

        Ich zahle mittlerweile nur noch via pre-paid-Kreditkarte. auf welcher immer nur etwa 100 Eier drauf sind :-)
        Spontankäufe darüber sind nicht mehr möglich, macht aber auch nichts :-)

  3. Uwe sagt:

    Ich sehe das Problem etwas anders. PP hat sehr viele Nutzer, 99,99% dürften zufrieden sein. PP möchte, wie jedes Unternehmen, den max. Profit. Deshalb gibt es (denke ich) sehr wenige Menschen aber viel Technik. Vermutung: Diese Menschen sind Billiglöhner, wie z.: in Callcentern üblich. Kommt es jetzt zu einem Problem, wie diese Sache, dauert es sehr lange, ehe das fachlich sauber angegangen wird.

    Das sind aber alles Vermutungen von mir.

  4. Uwe sagt:

    Das war nur eine Schätzung! Ja, ist man Betroffener, ist man hoch verärgert! Aber das wäre auch bei der Telekom und Co so, wo aber trotzdem Millionen zufrieden sind. Das soll das Schlamassel bei PP nicht im Geringsten gut reden!!!! Wenn ich meinen Ärger mit MS aufschreiben würde, allein nur mit W10 und von mir pers. bekannten Betroffenen, würde das ein Buch füllen!

  5. Steter Tropfen sagt:

    Wie es scheint, ist man bei PayPal momentan besonders vorsichtig. Soeben habe ich ( nach einer herkömmlichen PayPal-Zahlung per Browser-Login) die Mailbenachrichtigung erhalten: „Wir haben festgestellt, dass sich jemand mit einem unbekannten Gerät in Ihr PayPal-Konto eingeloggt hat. " Dazu meine Browsersignatur und eine Zeitangabe, die irreführend ist, weil in „PST" (Pacific Standard Time) ist.

    Da bei mir Cookies das Verlassen einer Seite nicht überleben, wird PayPal sich noch öfter mit meinem „unbekannten Gerät" konfrontiert sehen. Falls solche Mails dann zur Gewohnheit werden, verfehlen sie ihren Zweck.

  6. Katzenhai sagt:

    "Und mir ist auch die Information zugegangen, dass am 25. Februar 2020 einige Leute einen PayPal Sicherheitscode auf ihr Smartphone bekamen:

    PayPal: Ihr Sicherheitscode lautet xxxxx. Er laeuft in 10 Minuten ab. Teilen Sie diesen Code ….

    Dieser Code wird nur gesandt, wenn jemand das Kennwort für das Konto korrekt eingegeben hat. Ergo: Da probierte jemand im Hintergrund die Übernahme der Konten aus. Man sollte also zumindest das Kennwort für PayPal ändern – sofern das noch geht."

    Ich habe mehrere solche SMS gestern auf mein Diensthandy geschickt bekommen. Ich habe über meine dienstliche Mailadresse allerdings gar kein Paypal-Konto. Welchen Sinn kann diese SMS dann machen?

    • Karl-Gustav sagt:

      > Welchen Sinn kann diese SMS dann machen?

      Rückruf an teuere Nummer, Anklicken eines sonstigen Trojaner Links darin, Vertipper bei der Nummer, jemand anders nutzt Ihr Diensthandy wie auch immer mit, usw.

      Ihr Diensthandy hat übrigens nichts mit Ihrer dienstlichen Mailadresse zu tun, was ein mögliches PayPal-Konto angeht.

Schreibe einen Kommentar zu Karl-Gustav Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.