Paypal-Konten werden für betrügerische Zahlungen missbraucht

Hacker haben einen Fehler in der Google-Pay-Integration von Paypal gefunden und nutzen diese für betrügerische Zahlungen von Paypal-Kunden aus. Seit letzten Freitag berichten Nutzer über mysteriöse Transaktionen in ihrem Paypal-Konto, die auf Google Pay zurückzuführen sind.

Über Probleme wurde auf zahlreichen Plattformen berichtet, wie in den Foren von Paypal [1, 2, 3, 4, 5, 6, 7], Reddit [1, 2], Twitter, [1, 2], und Google Pay [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].

Die Opfer berichten, dass Hacker ihre Google-Pay-Konten missbrauchen, um Produkte über verknüpfte Paypal-Konten zu kaufen. Laut Screenshots und verschiedenen Zeugenaussagen finden die meisten illegalen Transaktionen in US-Shopping-Geschäften statt, insbesondere in Target-Shops. Die meisten der Opfer scheinen deutsche Nutzer zu sein. Der geschätzte Schaden liegt nach öffentlichen Berichten im Bereich von Zehntausenden von Euro. Einige Transaktionen gehen über 1.000 Euro. Welchen Bug die Hacker ausnutzen, ist noch nicht klar. Paypal teilte gegenüber ZDNet mit, dass sie das Problem untersuchen.

Ein deutscher Sicherheitsforscher hat eine Theorie

Der deutscher Sicherheitsforscher Markus Fenske vermutet, dass die illegalen Transaktionen möglicherweise auf einen Fehler zurückzuführen sind, den er zusammen mit einem Kollegen im Februar 2019 an Paypal gemeldet hat, dessen Behebung Paypal aber nicht priorisiert habe.

Demnach ist das Problem darauf zurückzuführen, dass Paypal bei der Verknüpfung eines Paypal-Kontos mit einem Google-Pay-Konto eine virtuelle Karte mit eigener Kartennummer, Ablaufdatum und CVC erstellt. Wenn sich ein Google-Pay-Nutzer für eine kontaktlose Zahlung über sein verknüpftes Paypal-Konto entscheidet, wird die Transaktion über diese virtuelle Karte belastet. „Wenn die virtuelle Karte nur für POS-Transaktionen erlaubt wäre, gäbe es kein Problem, aber Paypal erlaubt die Verwendung dieser virtuellen Karte auch für Online-Transaktionen“, sagte Fenske. Laut Fenske könnten Hacker einen Weg gefunden haben, um die Details dieser virtuellen Karten auszuspionieren und ihre Daten für nicht autorisierte Online-Transaktionen zu verwenden.

Der Forscher sagte, es könne drei Wege geben, auf denen ein Angreifer an die Daten einer virtuellen Karte gelangen könne. Erstens, indem er die Kartendetails vom Telefon eines Benutzers liest. Zweitens, programmgesteuert, durch die Verwendung von Malware, die das Gerät eines Benutzers infiziert hat. Drittens, indem er sie errät. „Es ist möglich, dass Angreifer über Brute-Force-Attacken an die Kartennummer und das Gültigkeitsdatum, das nur etwa ein Jahr beträgt, gelangen“, so Fenske. „Der CVC spielt keine Rolle“, fügte er hinzu. „Jeder wird akzeptiert.“

Auf die Verknüpfung eines Paypal-Kontos mit Google Pay sollte man angesichts der Betrugsfälle vorerst verzichten (Screenshot: ZDNet.de).

Paypal untersucht

Das Sicherheitsteam von Paypal untersucht inwzischen die nicht autorisierten Transaktionen. Es befasst sich mit verschiedenen Problemen – einschließlich des von Fenske beschriebenen Angriffsszenarios und seines Fehlerberichts vom Februar 2019. „Die Sicherheit von Kundenkonten hat für das Unternehmen höchste Priorität“, sagte ein Paypal-Sprecher gegenüber ZDNet. „Wir prüfen und bewerten diese Informationen und werden alle geeigneten Maßnahmen ergreifen, die wir zum weiteren Schutz unserer Kunden für notwendig erachten.“

Paypal erstattet Geld zurück

Laut Anwenderberichten erstattet Paypal die fehlerhaften Buchungen. Betroffene sollten sich sofort mit Paypal in Verbindung setzen.