Neue PayPal-Betrugsmasche: Auch ohne PayPal Konto abgezockt

Im digitalen Zeitalter sind Zahlungen über PayPal weit verbreitet – ein praktisches System für Millionen von Nutzenden. Doch eine kürzlich entdeckte Sicherheitslücke bei PayPal eröffnet Betrügern eine gefährliche Möglichkeit, Bankkonten unbemerkt zu belasten. Dabei wird die sogenannte Gastzahlungsmöglichkeit des Zahlungsdienstleisters ausgenutzt, um Zahlungen mit fremden IBANs durchzuführen. Betroffene merken häufig erst zu spät, dass ihr Konto missbraucht wurde. Wir erklären, was hinter der PayPal-Betrugsmasche steckt und geben Tipps, wie Sie sich schützen können.

Die Gastkonto-Masche

Die Verbraucherzentrale Nordrhein-Westfalen warnt vor einer aktuellen Betrugsmasche, bei der Kriminelle mit fremden Kontodaten auf Einkaufstour gehen.

Wie die Verbraucherzentrale Nordrhein-Westfalen berichtet, wurde ein Mann Opfer der sogenannten „Gastkonto-Masche“. Dieser erhielt vom Zahlungsdienstleister PayPal eine Zahlungsaufforderung für einen Einkauf, von dem er allerdings gar nichts wusste. Er ignorierte die Forderung und erhielt nach einiger Zeit eine Brief einer Inkasso-Kanzlei eintraf.

Schnell stellte sich heraus: Der Betroffene hatte zwar einen Paypal-Account, aber seine alte IBAN daraus schon vor Jahren gelöscht.

Wie funktioniert der Betrug?

Die Sicherheitslücke betrifft die sogenannte „Gastzahlung“ beim Zahlungsdienstleister PayPal, bei der Nutzende ohne eigenes PayPal-Konto Zahlungen vornehmen können – bis zu drei Zahlungen oder einen Betrag von insgesamt 1500 Euro. Statt sich also über ein PayPal-Konto anzumelden und eine sichere Verifizierung durchzuführen, reicht es aus, eine IBAN einzugeben, von der der Betrag per Lastschrift abgebucht wird.

Hier setzen die Kriminellen an: Sie verwenden IBANs von Bankkonten Dritter, um unbefugt Zahlungen auszulösen. Der Unterschied zu regulären Zahlungen über ein PayPal-Konto: Bei der Gastzahlung entfällt die notwendige Identitätsprüfung. Eine TAN oder eine Zwei-Faktor-Authentifizierung sind nicht erforderlich.

Versäumnisse von PayPal

PayPal prüft offenbar nicht, ob die angegebene IBAN auch tatsächlich der bestellenden Person zuzuordnen ist. Auf eine entsprechende Anfrage der Verbraucherzentrale NRW antwortete der Zahlungsdienstleister nämlich: „PayPal führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch.“ Das ist eine eher ausweichende Antwort, statt eine befriedigende.

Warum ist diese Masche so gefährlich?

Sobald die IBAN eines Opfers vorliegt, können die Kriminellen Zahlungen über die Gastzahlungs-Funktion von PayPal veranlassen und so Gelder von deren Bankkonto abheben. Durch die fehlende Sicherheitsüberprüfung bei Gastzahlungen bleibt der Betrug unentdeckt, bis die Abbuchungen auf dem Kontoauszug auftauchen – manchmal sogar erst, wenn Inkassobüros Mahnungen verschicken oder das Konto belastet wird.

IBAN-Betrugsmasche: PayPal offenbar kein Einzelfall

Tatsächlich ist aber nicht nur PayPal von dieser IBAN-Betrugsmasche betroffen. Auch einige Verkehrsverbünde, die das Abonnement des Deutschlandtickets über beliebige IBANs zulassen, klagen bereits über die Folgen: Seit Einführung des Deutschlandtickets wurden allein bei den Dresdner Verkehrsbetrieben bereits 15.000 Fehlbuchungen registriert und auch der Rhein-Main-Verkehrsverbund sah sich schon regelmäßig mit Betrugsfällen konfrontiert. Betrüger verursachten bereits einen Millionenschaden mit gestohlenen IBANs. Ebenfalls klagen die Verkehrsverbünde in Baden-Württemberg über massiven Betrug mit hohem Schaden beim Verkauf des Deutschlandtickets . Auch hier hatten Kriminelle bei Bestellungen des Tickets falsche oder gestohlene Kontodaten angegeben. Die Abbuchung schlugen dann entweder fehl oder belasteten ein Konto, dessen Inhaber die Bestellung gar nicht ausgelöst hatte.

Wie gelangen Betrüger an die IBANs?

Woher die Betrüger die IBANs haben, lässt sich nicht eindeutig nachverfolgen. Jedoch ist es wahrscheinlich, dass sie aus früheren Datenlecks bei Unternehmen oder aus Hacks von Unternehmens-IT-Systemen, bei denen Bankdaten gestohlen wurden, kommen. Häufig stammen die IBANs auch aus Datensammlungen im Darknet oder aus unseriösen Gewinnspielen. In Deutschland ist zudem die IBAN oft leicht zugänglich und etwa auf Rechnungen, Spendenquittungen oder anderen Dokumenten zu finden.

Was tun, wenn Sie von IBAN-Betrug betroffen sind

Handeln Sie schnell, wenn verdächtige Abbuchungen auf Ihrem Kontoauszug auftauchen. Wir raten Ihnen, die folgende Schritte umgehend zu unternehmen:

1. Bank informieren: Kontaktieren Sie umgehend Ihre Bank und lassen Sie die unautorisierten Lastschriften zurückbuchen. Bei Lastschriften haben Sie bis zu acht Wochen Zeit, die Rückbuchung vorzunehmen – bei unberechtigten Abbuchungen sogar bis zu 13 Monate.

2. PayPal benachrichtigen: Melden Sie den Vorfall an PayPal, damit der Zahlungsdienstleister Gegenmaßnahmen ergreifen kann. Legen Sie schriftlich Widerspruch gegen die Forderung ein, da die Abbuchung unerlaubt erfolgte.

3. Anzeige erstatten: Gehen Sie zur Polizei und erstatten Sie Anzeige, um die Täter rechtlich verfolgen zu können. Eine Anzeige kann Ihnen außerdem helfen, Inkassoforderungen zu bestreiten und einen negativen Eintrag bei der Schufa zu vermeiden.

So schützen Sie sich vor der PayPal-Betrugsmasche

Obwohl die aktuelle Schwachstelle bei PayPal aufzeigt, wie wichtig eine umfassende Sicherheitsprüfung durch den Zahlungsdienstleister ist, gibt es einfache Maßnahmen, mit denen Sie sich auch in anderen Fällen vor solchen und ähnlichen Betrugsmaschen schützen können:

IBAN mit Bedacht teilen: Geben Sie Ihre Bankdaten niemals auf unsicheren oder nicht vertrauenswürdigen Webseiten ein.

Vorsicht bei Phishing-Versuchen: Seien Sie skeptisch gegenüber E-Mails, die Sie auffordern, Bankdaten preiszugeben oder auf Links zu klicken.

Starke Passwörter verwenden: Setzen Sie für Ihr PayPal-Konto und Ihr Online-Banking starke, einzigartige Passwörter ein. Heißt: Mindestens 12 bis 16 Zeichen lang und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Kontoauszüge regelmäßig prüfen: Achten Sie darauf, Ihre Kontoauszüge regelmäßig zu überprüfen, um unbefugte Abbuchungen frühzeitig zu erkennen.

Fazit

Die jüngst aufgedeckte Schwachstelle bei PayPal zeigt, wie wichtig es ist, nicht nur auf die Sicherheit des eigenen Kontos zu achten, sondern auch regelmäßig die Abbuchungen zu überprüfen.

Während PayPal im Allgemeinen als sicher gilt, bleibt der Zahlungsdienstleister dennoch in der Verantwortung, diese Schwachstelle schnellstmöglich zu beheben, um den Schutz seiner Nutzerinnen und Nutzer zu gewährleisten. Es würde helfen, wenn PayPal seine Sicherheitsvorkehrungen für Gastzahlungen verbessert und in einem ersten Schritt zusätzliche Authentifizierungsmethoden einführt, wie zum Beispiel eine SMS-TAN oder eine Bestätigung der persönlichen Daten. Banken hingegen sollten generell schnell auf unberechtigte Lastschriften reagieren und betroffene Kunden umgehend informieren, um den Schaden zu minimieren.

Nichts desto trotz gilt: Werden Sie selbst aktiv, um ihre Bankdaten zu schützen. Bleiben Sie stets wachsam und handeln Sie bei Verdacht auf Betrug sofort.